自己操作Winhex_v15.1 With_Forensics软件的一个小技艺（好，常用）

cnanti · 发表于 2008-12-10 22:57:51

点开winex，如果不选法证界面，再次打开就没有forensic界面，先是通过自已的分析，通过跟踪文件，肯定是建立了一个文件或是通过写进注册表了内容，用
hook检测发现是创建了文件
c:\Documents and Settings\CNANTI\桌面\setup1\winhex.TMP 创建了
c:\Documents and Settings\CNANTI\桌面\setup1\WinHex cnanti.cfg 创建了
c:\Documents and Settings\CNANTI\桌面\setup1\indexcha.txt 创建了
c:\Documents and Settings\CNANTI\桌面\setup1\Recently Opened.dat 创建了

只是这一个文件起到了作用
c:\Documents and Settings\CNANTI\桌面\setup1\indexcha.txt 创建了
第一次运行如果没有选中法证界面，删除这一个文件，再打开又可以选中了。
前提是没有注册
转自中国硬盘基地技术社区 http://bbs.intohard.com ,原文地址：http://bbs.intohard.com/viewthread.php?tid=51716