用十六进制编辑器查找系统漏洞

　　虽然金山毒霸、瑞星等，以及国外的一些安全软件都可以帮助我们查找漏洞，但用十六进制编辑器实现有着它自身的优越性。

　　十六进制编辑器可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。它一直是计算机专业人员非常喜欢的工具。其实，如果将它用在一个恰当的环境中，十六进制编辑器能够发现Windows以及一些应用程序的漏洞，这些漏洞可能还没有引起你的注意，但绝对不可忽视。在病毒、木马等横行的今天，我们应该充分这种工具。实际上，笔者认为，它是最被忽视的安全检查、测试工具之一。

　　总体而言，你可以通过Winhex等十六进制编辑器执行如下的操作，从而找出Windows环境中的安全漏洞。

　　1、检查仍保存于Windows、浏览器和其它应用程序中的口令。口令等机密信息保存在内存中可以导致的风险是不言而喻的，这种方法能够向我们显示登录账户和其它的私密信息是多么的脆弱不堪，这在那些公共访问的计算机上更是如此。如图1：

　　图：用Winhex查找Firefox的内存区域搜寻敏感信息

　　如果这还不足以证明漏洞的存在，你还可以搜寻计算机的整个内存，进一步查找Windows应用程序的口令或其它的敏感信息。笔者曾多次在应用程序关闭之后，仍能找到由Web浏览器保存在内存中的敏感信息。通过Winhex等十六进制编辑程序在全部的内存中搜寻这种类型的敏感信息是相当简易、快捷的。

　　2、在本地系统文件中（如pagefile.sys和hiberfil.sys）或整个物理磁盘中，搜寻敏感信息。笔者每次使用这个功能是总是有所收获。这对于检查计算机硬盘上的数据资料确实是大有帮助的。下图2显示了Winhex查找本地文件的界面。

　　图：使用Winhex查找C盘上的敏感信息

　　3、查找在内存中的恶意软件或磁盘上的敏感数据，这些位置对于我们来说正是难于搜寻的地方。

　　4、查找机密文档，例如查找可以揭示一些敏感信息的doc（word文档）文件，因此这些文件绝对不能离开我们的网络。这包括文件作者、草稿措词、评论或应该删除的第三方的信息等。例如，在word中有这样一个隐私选项“保存时从文件属性中删除个人信息（R）”，如图3

　　我们在发布和传送一些机密doc文件时应该钩选此属性，因此利用Winhexr的此功能有助于我们查找忘掉选中这个功能的那些文件。

　　十六进制编辑器种类很多。除了Winhex之外，还有Hex Workshop，XVI32等工具。这些功能强大的十六进制编辑工具可以修改内存中或存储于磁盘上的任何数据。不过，强大的工具有可能是一把双刃剑：其结果有可能是有益的，也有可能是破坏性的。因此使用时应该格外小心。