[디지털 포렌식] HxD(Hex Editor and Disk Editor) 설치 및 사용법

HxD(Hex Editor and Disk Editor)

HxD는 16진수 편집기로 Raw Disk 편집과 Main Memory (RAM) 수정뿐만 아니라, 크기에 관계없이 모든 파일을 처리할 수 있는 무료 소프트웨어다.

 

HxD 설치

https://mh-nexus.de/en/hxd/

HxD - Freeware Hex Editor and Disk Editor | mh-nexus

 

위 사이트에 접속 후 다운로드 페이지로 이동한다.

 

한글판을 설치한다.

 

설치된 .zip 파일 압축 해제 후, 실행 파일을 실행한다. 경고는 무시하고 설치 진행하면 된다.

 

설치 언어를 선택한다.

 

HxD Hex Editor Portable 설치 마법사를 시작한다.

 

동의하고 다음을 클릭한다.

 

HxD를 설치할 경로를 설정 후 다음을 클릭한다.

 

다음을 클릭한다.

 

설치를 클릭하면 설치를 마칠 수 있다.

 

readme.txt 표시, 설치 폴더 열기를 해제한 후 종료를 클릭한다.

 

HxD 인터페이스

 

• 행 당 바이트: Viewer에서 몇 바이트씩 볼 것인지
• 텍스트 인코딩: Decoded text에서 어떤 방식으로 인코딩할 것인지
• 오프셋 형식: Offset을 몇진수로 볼 것인지
• 시작 섹터: 0번 섹터로 이동
• 이전 섹터: 현재 섹터 기준 -1 섹터 이동
• 다음 섹터: 현재 섹터 기준 +1 섹터 이동
• 마지막 섹터: 마지막 섹터로 이동
• 섹터 위치: 입력한 섹터로 이동

 

새로 만들기

"파일" → "새로 만들기"

 

아래 이미지와 같이 무제1 파일이 생성된다.

 

• Offset: 데이터 구조 내 특정 요소 또는 위치의 시작점부터 얼마나 떨어져 있는지를 나타내는 값
• Hex: 해당 Offset 위치의 실제 데이터를 16진수로 제공
• Decoded text: 16진수 데이터를 사람이 읽을 수 있는 문자(텍스트)로 변환하여 제공

 

파일 저장

"파일" → "저장" → "저장할 경로 및 파일 이름" → 실행

 

색상이 검정색으로 변하고, 파일 이름도 "무제1"에서 "HxD_test"로 변한 것을 확인할 수 있다.

 

다른 이름으로 저장

"파일" → "다른 이름으로 저장" → "다른 이름으로 저장할 경로 및 파일 이름" 실행

 

파일 이름이 "HxD_test"과 동일한 데이터가 "test_HxD"로 변한 것을 확인할 수 있다.(덮어쓴 것이 아니라 두 파일 따로 저장된다.)

 

모두 저장

"파일" → "모두 저장" → "저장할 경로 및 파일 이름 #1" → "저장할 경로 및 파일 이름 #2" 실행

 

파일 닫기

"파일" → "닫기" 실행

 

HxD_test 파일이 닫힌 것을 확인할 수 있다.

 

파일 모두 닫기

"파일" → "모두 닫기" 실행

 

모든 파일이 닫힌 것을 확인할 수 있다.

 

파일 열기

"파일" → "열기" → "열 파일 경로" 실행

 

HxD_test 파일은 연 것을 확인할 수 있다.

 

디스크 열기

"도구" → "디스크 열기" 실행

 

"읽기전용으로 엵기"를 해제하려면 관리자 권한으로 실행해야 한다.

 

가상 하드 디스크이므로 수락

 

섹터 번호는 관리자 권한으로 실행할 경우 Viewer에서 보인다.

 

블록 선택

"원하는 오프셋" 우클릭 → "블록 선택" 또는 "편집" → "블록 선택" 실행

• 시작 오프셋 = 우클릭한 오프셋

 

• 시작 오프셋: 시작 위치
• 종료 오프셋: 해당 위치까지 선택 (길이 자동 입력)
• 길이: 블록 선택할 길이 (종료 오프셋 자동 입력)
• 16진수 또는 10진수 또는 8진수 (입력 진수에 따라 변경)

 

1 섹터(512 bytes) 만큼 선택된 것을 확인할 수 있다.

 

선택 채우기(덮어쓰기)

"블록 선택한 범위" 우클릭 → "선택 영역 채우기" 실행

• 패스 목록: 다양한 패스 패턴을 추가 및 삭제하여 즐겨찾기와 같은 기능
• 패스 패턴 설정: 해당 패스에서 사용할 덮어쓰기 데이터 유형 설정
  • 16진수: 직접 입력한 16진수 값으로 덮어쓰기
  • 무작위 바이트: 선택 영역을 무작위 바이트로 덮어쓰기

16진수 / 무작위 바이트

• 프리셋 삭제 방법: HxD의 보안 삭제 방식
  • 제로바이트: 선택 영역을 모두 00 바이트로 덮어쓰기 (패스 패턴 설정 16진수 00 바이트와 동일)
  • DoD 정리: 무작위 바이트로 덮어쓰기 (패스 패턴 설정 무작위 바이트와 동일)

 

되돌리기

우클릭 → "되돌리기" 실행 또는 Ctrl + Z 실행

 

전체 블록 선택

우클릭 → "전체 선택" 실행

 

오프셋 복사

우클릭 → "복사" 실행

우클릭 → "현재 오프셋 복사" 실행 (오프셋 주소 복사)

 

붙여넣기 삽입

우클릭 → "붙여넣기 삽입" 실행

 

삭제

우클릭 → "삭제" 실행

 

찾기

"찾기" → "찾기" 실행

 

• 텍스트 문자열: Decoded text에서 검색
• 16진수 값: Hex에서 검색
• 검색 대상: 검색 대상 입력
• 수락: 가장 처음 찾은 값 표시 (F3으로 이어서 표시)
• 모두 검색: 모든 검색 값 표시

 

비교

"분석" → "데이터 비교" → "비교" 실행

 

비교 대상 두 개 파일 경로 입력 → 창 정렬 선택 → 범위 선택 → 수락

 

F6 = 다음 차이점, Shift + F6 = 이전 차이점

 

메인 메모리 열기

"도구" → "메인 메모리 열기" 실행

 

디스크 이미지 열기

"도구" → "디스크 이미지 열기" 실행

• 섹터 크기 지정
  • 256 (오래된 플로피 디스크)
  • 512 (하드 디스크/플로피 디스크) → 일반적으로 추천
  • 2048 (CD/DVD)
  • 2352 (RAW-CD/DVD)
  • 4096 (현대적인 하드 디스크)