Hexedit
Хотя Hexdump является прекрасным инструментом для просмотра содержимого файлов, инструмент hexedit представляется собой лучшую альтернативу. hexedit позволяет пользователю редактировать файл и отображать его в формате, аналогичном hexdump.fmt. И что еще важнее, hexedit позволяет аналитику отыскивать шестнадцатеричные и/или ASCII-строки, то есть нечто, что нельзя выполнить, используя только утилиты Hexdump и grep (инструмент, который ищет соответствия заданному образцу, доступный в большинстве операционных систем Unix), потому что вывод может быть разбит переходом на новую строку.
Например, если вы ищете строку "utxZ" среди данных, изображенных на рис. 24.1, она была бы пропущена утилитой grep (стандартный инструмент поиска, просматривающий строку за строкой). Это происходит потому, что строка "utxZ" расположена на двух строках в выводе Hexdump. Однако с помощью hexedit, аналитик может легко найти эту строку в выводе ASCII-кода.
hexedit является эффективным судебным инструментом еще и потому, что он может открывать большие файлы (такого большого размера, как файлы поддержки операционной системы) без катастрофического замедления работы машины. Это происходит потому, что hexedit открывает входной файл по мере необходимости, по фрагменту за раз. Следовательно, при необходимости, с помощью hexedit можно производить поиск и анализировать целое устройство (типа жестких дисков на 80 Гб).
Инструмент hexedit можно исследовать, загрузив его со следующих сайтов: http://www.chez.com/prigaux/hexedit.html, http://merd.net/pixel/hexedit-1.2.2.bin.i386.dynamic.tgz и http://merd.net/pixel/hexedit-1.2.2.src.tgz.
