» X-Ways WinHex

Автор: Ciber SLasH
Дата сообщения: 15.05.2016 15:05

sendeg
Благодарю. Действительно была опечатка.
Сделал такие правила:

Код: *** Custom
AVCHD-MTS: footer as header    mts    \x47\x40\x00\x10\x00\x00\xB0\x11\x00(\x00|\x01)\xC1\x00\x00\x00\x00\xE0\x1F\x00\x01\xE1\x00(\x23\x5A\xAB\x82|\x24\xAC\x48\x84)\xFF{163}.{4}\x47\x41\x00\x10\x00\x02\xB0.\x00\x01.\x00\x00\xF0\x01\xF0\x0C\x05\x04HDMV    4    .{4}\x47\x40\x00\x10\x00\x00\xB0\x11\x00(\x00|\x01)\xC1\x00\x00\x00\x00\xE0\x1F\x00\x01\xE1\x00(\x23\x5A\xAB\x82|\x24\xAC\x48\x84)\xFF{163}.{4}\x47\x41\x00\x10\x00\x02\xB0.\x00\x01.\x00\x00\xF0\x01\xF0\x0C\x05\x04HDMV    5368709120/68719476736    f
AVCHD-MTS: footer type1    mts    \x47\x40\x00\x10\x00\x00\xB0\x11\x00(\x00|\x01)\xC1\x00\x00\x00\x00\xE0\x1F\x00\x01\xE1\x00(\x23\x5A\xAB\x82|\x24\xAC\x48\x84)\xFF{163}.{4}\x47\x41\x00\x10\x00\x02\xB0.\x00\x01.\x00\x00\xF0\x01\xF0\x0C\x05\x04HDMV    4    (.{4}\x47\x1F\xFF\x10\xFF{184}){3,30}    5368709120/1099511627776    b
AVCHD-MTS: footer type2    mts    \x47\x40\x00\x10\x00\x00\xB0\x11\x00(\x00|\x01)\xC1\x00\x00\x00\x00\xE0\x1F\x00\x01\xE1\x00(\x23\x5A\xAB\x82|\x24\xAC\x48\x84)\xFF{163}.{4}\x47\x41\x00\x10\x00\x02\xB0.\x00\x01.\x00\x00\xF0\x01\xF0\x0C\x05\x04HDMV    4    .{9}\x00\xFF{101}\x08\x08\x08\x21\x01\x01\x01\x04\x20\x20\x20\x20\x84\x04\x04\x04\x1F.{64}    5368709120/1099511627776    b

Автор: sendeg
Дата сообщения: 15.05.2016 18:33

Ciber SLasH
Ха, вот с этой подписью оба файла вырезаются корректно (не забываем про табуляцию между колонками):

AVCHD-MTS: footer combo mts \x47\x40\x00\x10\x00\x00\xB0\x11\x00(\x00|\x01)\xC1\x00\x00\x00\x00\xE0\x1F\x00\x01\xE1\x00(\x23\x5A\xAB\x82|\x24\xAC\x48\x84)\xFF{163}.{4}\x47\x41\x00\x10\x00\x02\xB0.\x00\x01.\x00\x00\xF0\x01\xF0\x0C\x05\x04HDMV 4 (.{9}\x00\xFF{101}\x08\x08\x08\x21\x01\x01\x01\x04\x20\x20\x20\x20\x84\x04\x04\x04\x1F.{64}|(.{4}\x47\x1F\xFF\x10\xFF{184}){3,30}) 5368709120/1099511627776 b

Автор: Ciber SLasH
Дата сообщения: 15.05.2016 18:38

sendeg
Благодарю!
Но я так и не понял, почему в моём варианте не работает?

Автор: sendeg
Дата сообщения: 15.05.2016 19:18

Ciber SLasH
И в вашем варианте у меня работает, может где пробел затесался вместо табулятора?
Правда выбирал я либо тип1, либо тип2.

Автор: Ciber SLasH
Дата сообщения: 16.05.2016 02:06

sendeg
Что-то не работает мой вариант. Ничччего не понимаю...
У меня версия 18.7 SR-2.
Варианты поиска выбирал всякие разные.
Но мой вариант не работает.
Может сбросите свою сборку WinHex-а, где работает мой вариант?

Автор: sendeg
Дата сообщения: 16.05.2016 20:20

Ciber SLasH
Ваш вариант работает (в смысле полностью извлекает файл либо типа 1, либо типа 2) при выборе подписи либо типа 1, либо типа 2 соответственно.

Автор: Ciber SLasH
Дата сообщения: 16.05.2016 23:37

sendeg
Не работает у меня мой вариант. Вот моя сборка WinHex (пароль стандартный).
Вот видео с ошибкой: https://youtu.be/LkQqkiMVlso

Автор: sendeg
Дата сообщения: 17.05.2016 18:55

Ciber SLasH
Судя по ошибке "An exception of type 216" - со сборкой чего-то не то.
Хотя, возможно виной - длинные названия "AVCHD-MTS: footer ...". Вот текст из руководства:
1 колонка: File Type
Читаемое человеком обозначение типа файла, например "JPEG". Всё после первых 19 символов игнорируется.

Автор: Ivan 3259 r1
Дата сообщения: 24.05.2016 05:06

WinHex 18.8 SR4 23 May 2016

Цитата:

* Fixed an exception error that could occur in v18.8 when uncovering embedded data in P7M and VCF files.
* The file header signature search option "Output as child objects of existing files if suitable" did not work correctly. It did not check the surroundings of carved files thoroughly enough and occasionally made wrong decisions about whether to present newly added files as child objects. That was fixed.
* Fixed an error in Quoted Printed decoding.
* X-Tension API: In all releases from today, ProcessItem[Ex] is also called for virtual files such as "Free space" as part of volume snapshot refinement although these files are otherwise largely ignored by that operation.

Автор: Ivan 3259 r1
Дата сообщения: 20.06.2016 20:39

WinHex 18.8 SR8 Jun 14, 2016

Цитата:

* The XML list export did not include the contents of the "Report table" column. That was fixed.
* Prevented a rare exception error that could occur when the case was saved.

Автор: Victor33Man
Дата сообщения: 18.08.2016 14:08

В версии 18.9 появился Dokan.exe.
О продукте:
http://dokan-dev.github.io/
https://habrahabr.ru/post/111186/
Судя по описанию, в Winhex он нужен для версии Forensics.
А зачем он в обычной присутствует?

Автор: sendeg
Дата сообщения: 18.08.2016 19:12

Victor33Man
Судя по руководству, - может использоваться wh с любым типом лицензии, даже ознакомительной, бесплатной для монтирования контейнеров файлов данных (evidence file container - уже имеющихся, ведь сами контейнеры wh делать не умеет), в которых не более 1000 объектов. Для xwf такого ограничения нет, там можно монтировать много чего. А полезно, например, для проверки контейнеров антивирусом или анализа содержимого контейнера внешней программой.
В xwf монтирование работает для всех поддерживаемых файловых систем, для всех поддерживаемых методов разделения, для всех поддерживаемых типов образов (сырые образы, .e01, VDI, VMDK, VHD и, конечно, контейнеры файлов данных), даже для образов внутри образов, также для разделов физически пристыкованных дисков, форматированных файловой системой, неизвестной Windows. Доступ ко всем файлам полностью только для чтения, монтирование томов в образах или разделах диска не изменяет ничего в образе/ на диске.

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27

Предыдущая тема: Как грузануть RedHat при NTLoader в MBR?

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.