WinHex: una herramienta poderosa para edición

Félix el Gato tenía una bolsa mágica de trucos que solía sacarlo de situaciones difíciles. Todos los buenos técnicos de soporte tienen su propia bolsa mágica de trucos, pero generalmente contiene varias utilidades de software que les ayudan a resolver problemas técnicos complicados. Una de las utilidades más útiles que un técnico de soporte puede tener es un editor de sectores. Con el editor de sectores correcto, un técnico de soporte puede recuperar datos o incluso leer áreas de un disco que contienen datos eliminados o dañados. WinHex es un práctico editor de sectores que encajará perfectamente en tu bolsa de trucos.

Índice de Contenido
  1. ¿Qué es WinHex y cuánto cuesta?
  2. Descarga e instalación
  3. Utilizando WinHex
  4. Edición de discos y otros medios
  5. Más opciones de acceso al disco
  6. Crear copias de seguridad y restaurar MBR, tablas de particiones y sectores de arranque
  7. Herramientas adicionales
  8. Eliminar archivos confidenciales

¿Qué es WinHex y cuánto cuesta?

WinHex, desarrollado por X-Ways Software Technology AG de Alemania, es una potente aplicación que puedes utilizar como un editor hexadecimal avanzado, una herramienta de análisis, edición y recuperación de datos, una herramienta de eliminación de datos y una herramienta forense utilizada para recopilar pruebas. Entre los clientes que utilizan WinHex se encuentran el Laboratorio Nacional de Oak Ridge, Hewlett Packard, National Semiconductor, varias agencias de aplicación de la ley y muchas otras empresas con necesidades de recuperación y protección de datos.

WinHex, compatible con Windows 95 hasta Windows XP, ofrece la capacidad de:

  • Leer y editar directamente unidades de disco duro (FAT y NTFS), discos flexibles, CD-ROM, DVD, tarjetas Compact Flash y otros medios.
  • Leer y editar directamente la memoria RAM.
  • Interpretar 20 tipos de datos.
  • Editar tablas de partición, sectores de arranque y otras estructuras de datos utilizando plantillas.
  • Unir y dividir archivos.
  • Analizar y comparar archivos.
  • Buscar y reemplazar.
  • Clonar e imaginar unidades.
  • Recuperar datos.
  • Cifrar archivos (con una protección de 128 bits).
  • Crear hashes y sumas de verificación.
  • Borrar unidades.

Las características forenses (que requieren una licencia especialista) incluyen la capacidad de:

  • Recopilar espacio libre y residuo.
  • Buscar texto basado en palabras clave.
  • Crear tablas de contenido del disco. Estas tablas se pueden importar a una hoja de cálculo como Microsoft Excel y ordenar.

Las licencias tienen un costo de $44 (Privada, $25 por licencia adicional), $84 (Profesional, $48 por licencia adicional) y $126 (Especialista, $67 por licencia adicional), lo que convierte a esta aplicación en una ganga dada las características que ofrece.

Descarga e instalación

Si deseas probar WinHex, descarga una versión de evaluación de Winhex.zip. Esta versión funciona en su mayoría, pero las funciones profesionales y especialistas están desactivadas. Después de descargar Winhex.zip, descomprime el contenido en un directorio temporal de tu computadora de administración.

Cómo encontrar la clave de producto de Windows XP con ViewKeyXP

Ejecuta el programa de instalación y elige una carpeta de destino y el idioma para la instalación. WinHex está disponible en inglés, alemán, francés, español, italiano y portugués. (La versión más reciente es la versión 10.75). El programa de instalación de WinHex funciona como cualquier otro asistente de instalación de Windows que hayas utilizado anteriormente. Solo sigue las indicaciones en pantalla y no tendrás problemas.

WinHex no almacena información de configuración en el registro ni archivos de configuración en las carpetas del sistema operativo de Windows, lo que lo hace portable y ayuda a mantener el tamaño del registro bajo control.

Para que los usuarios de Windows 9x y Me puedan acceder directamente a los sectores de CD-ROM, debe estar presente el archivo wnaspi32.dll de Windows. Normalmente, el archivo se instala junto con Windows. Si no es así, puedes encontrarlo en el CD de instalación de Windows.

Para editar sectores de disco duro en Windows NT, 2000 o XP, necesitarás privilegios de administrador.

Utilizando WinHex

En su nivel más básico, WinHex es un editor hexadecimal. Es decir, al igual que la mayoría de los editores hexadecimales, muestra tres columnas: una dirección, una vista hexadecimal de 16 bytes y una vista de texto de 16 caracteres.

El visor de datos se puede configurar ampliamente. Por ejemplo, haciendo clic en las flechas hacia arriba, abajo, derecha e izquierda en la barra de herramientas, puedes agregar líneas, eliminar líneas, agregar columnas y eliminar columnas de la vista de datos. Puedes ver solo hexadecimal, solo texto o ambos haciendo clic en las casillas de verificación en el menú Ver. Las opciones generales te permiten establecer los colores y la fuente, y haciendo clic en la columna de desplazamiento alternas entre valores de dirección decimal y hexadecimal.

Cómo agregar nuevos tipos de archivo al menú Nuevo en Windows

Las sesiones de WinHex comienzan con el Centro de inicio, que se muestra en Figura A, donde puedes abrir archivos, discos, RAM y archivos editados anteriormente que puedes seleccionar de una lista. WinHex recuerda la última posición de edición de archivos anteriores y el estado de la última sesión, y te permite abrir la sesión completa anterior haciendo clic en Continuar última sesión en la ventana Proyectos del Centro de inicio. También puedes abrir proyectos y ejecutar scripts (un editor de scripts está habilitado en las versiones Profesional y Especialista).

WinHex: una herramienta poderosa para edición - Microsoft | Imagen 1 Newsmatic

Figura A: Inicia tu sesión de WinHex en el Centro de inicio.

Al igual que otros editores hexadecimales, WinHex puede abrir archivos como editables o solo para lectura. Los datos editados se almacenan en un archivo temporal hasta que se guardan, momento en el que se confirman los cambios. También hay un modo de edición en el lugar en el que todos los cambios se realizan directamente en tiempo real (es el valor predeterminado al editar la RAM). Puedes elegir el modo de edición desde el cuadro de diálogo Abrir archivo. Al abrir un disco completo o una partición, el modo predeterminado es Editar.

Figura B muestra la barra de estado de WinHex, que aparece a la derecha de la vista hexadecimal. Además de la información de estado familiar como el nombre de archivo, fecha de creación y hora, la barra de estado también muestra el estado del archivo (Original/Modificado) y los niveles de deshacer.

WinHex: una herramienta poderosa para edición - Microsoft | Imagen 2 Newsmatic

Cómo ocultar carpetas y recursos compartidos en Windows

Figura B: La barra de estado muestra estadísticas vitales sobre los datos que se están editando.

El intérprete de datos, en la parte inferior de la barra de estado, traduce los valores hexadecimales en el punto de inserción a equivalentes decimales, según los tipos de datos que elijas. Los tipos predeterminados son de 8, 16 y 32 bits. Haz doble clic en el Intérprete de datos para abrir un menú de opciones adicionales, que incluyen mostrar códigos de lenguaje ensamblador, formatos de fecha y diferentes tipos de enteros, como se muestra en Figura C.

WinHex: una herramienta poderosa para edición - Microsoft | Imagen 3 Newsmatic

Figura C: Por defecto, el Intérprete de datos muestra valores de 8, 16 y 32 bits para el código hex seleccionado "EB". Las opciones añadidas aquí son valores flotantes y código de operación de lenguaje ensamblador.

Edición de discos y otros medios

Cuando usas WinHex como un editor de disco, puedes acceder a los medios a través del sistema operativo (lógicamente) o a través de la BIOS (físicamente). Acceder de forma lógica te permite navegar por el disco por clústeres. Puedes ver el sistema de archivos y acceder a los sectores de arranque de las particiones y a las tablas de asignación de archivos. Con la licencia Profesional, también puedes ver el espacio libre y el espacio excedente.

Cuando accedes físicamente a un disco, a menudo es posible editar un disco al que el sistema operativo no puede acceder, por cualquier motivo. También es posible ver, editar y realizar copias de seguridad del Registro de arranque maestro (MBR), las tablas de particiones y los sectores de arranque de particiones.

Cómo solucionar problemas de autenticación en una red segura

Abre el Editor de discos seleccionando Editor de discos desde el menú Herramientas. Aparecerá la ventana Editar disco, que te permite elegir qué disco, lógico o físico, deseas modificar. El disco ahora está abierto en modo de edición. Los cambios no se realizan de inmediato, solo cuando eliges Guardar.

WinHex: una herramienta poderosa para edición - Microsoft | Imagen 4 Newsmatic

Figura D: Utiliza el Editor de discos para acceder lógica o físicamente a una unidad.

Para reparar un disco utilizando WinHex, es esencial conocer la diferencia entre ver los datos del disco que se muestran de forma lógica y ver los datos del disco que se muestran físicamente.

Cuando abres la unidad C: a través del acceso lógico, lo que aparece como la dirección 00 del disco es en realidad el primer byte del sector de arranque de esa partición, no el primer byte del disco. Refiriéndose nuevamente a Figura D, se puede ver que el acceso lógico en mi disco ofrece dos opciones: C:\ y D:\ (el disco duro de esta máquina está particionado en C:, formateado en FAT32, y D:, formateado en NTFS), mientras que el acceso físico solo ofrece una opción: Hard Disk One.

Seleccionando Hard Disk One se lee todo el disco. Aquí, el desplazamiento 00 realmente significa el inicio físico real del disco duro, cabeza 0, cilindro 0, sector 1, donde se almacenan el código de inicio y las tablas de particiones del disco. En la vista física, la unidad C: comienza en el desplazamiento 7E00h. Para comparar, Figura E muestra los primeros 16 bytes de C:\, la primera información de 16 bytes del disco duro obtenida físicamente y la primera información de 16 bytes de la partición C: obtenida físicamente.

Dónde se encuentran los programas que se inician automáticamente en Windows XP

WinHex: una herramienta poderosa para edición - Microsoft | Imagen 5 Newsmatic

Figura E: Estas tres vistas de datos demuestran la diferencia en el direccionamiento y el acceso a los datos cuando se accede lógica y físicamente a una unidad.

¿Qué significa esta discusión sobre el acceso lógico frente al físico? Para hacer una copia de seguridad y restaurar tu MBR con su código de arranque y las tablas de particiones del disco, accede al disco físicamente (preferiblemente desde otro disco en el que esté instalado WinHex). Si solo quieres hacer una copia de seguridad y restaurar el sector de arranque de tu partición, es un poco más fácil acceder al disco lógicamente.

Más opciones de acceso al disco

Cuando abres una unidad, aparece un botón de Acceso a la derecha de la vista. Al hacer clic en Acceso, se abren una serie de opciones, según el tipo de medio abierto.

Por ejemplo, como C:\ es una partición FAT32 en mi sistema, al hacer clic en Acceso puedo saltar al sector de arranque, FAT 1, FAT 2, un explorador de directorios, directorio raíz, clústeres libres, sectores excedentes y otros, como se muestra en Figura F. En una partición NTFS, podría acceder a los registros de la tabla de archivos maestros.

WinHex: una herramienta poderosa para edición - Microsoft | Imagen 6 Newsmatic

Cómo recuperar contraseñas perdidas en Windows: técnicas y herramientas

Figura F: Estas opciones están disponibles cuando accedes lógicamente a una unidad.

Si hubiera abierto C:\ físicamente, al seleccionar Acceso se me habrían ofrecido las opciones de acceder a una partición de disco, ver la tabla de particiones y el sector de arranque, clonar una partición y crear una copia de seguridad, como se muestra en Figura G.

WinHex: una herramienta poderosa para edición - Microsoft | Imagen 7 Newsmatic

Figura G: Las opciones para trabajar con unidades son diferentes para el acceso físico. Utiliza la herramienta que necesites.

En Figura F, ten en cuenta las dos opciones de Acceso: Plantilla de sector de arranque y Plantilla de directorio raíz. Las plantillas son formas convenientes de ver y editar estas áreas del disco. Figura H muestra el resultado de elegir Plantilla de sector de arranque. También puedes modificar directamente la información en la vista hexadecimal.

WinHex: una herramienta poderosa para edición - Microsoft | Imagen 8 Newsmatic

Cómo mover el archivo de intercambio de Windows a otro disco

Figura H: Las plantillas facilitan el trabajo con datos en bruto.

Existen otras plantillas disponibles para ver tu disco. Elige Ver | Administrador de plantillas para ver una lista. Además, los usuarios de WinHex han puesto a disposición otras plantillas. Por ejemplo, hay plantillas para leer discos Zip y formatos de bases de datos Palm.

Crear copias de seguridad y restaurar MBR, tablas de particiones y sectores de arranque

Para que una máquina arranque, el disco duro debe contener un MBR válido, una tabla de particiones que nombre al menos una partición activa y un sector de arranque válido en esa partición (que también contendrá el cargador de arranque del sistema operativo). Para que una partición de disco sea visible para el sistema operativo, debe estar listada en la tabla de particiones del MBR y tener un sector de arranque válido.

El MBR consta de los primeros 512 bytes de información (512 bytes por sector) del disco duro, en el sector 1. Los primeros 446 bytes de información contienen el código de arranque real. Los siguientes 64 bytes son la tabla de particiones, cuatro registros de 16 bytes, y los últimos dos bytes contienen una firma que identifica el final de todos los sectores de arranque: 55h AAh.

Hacer una copia de seguridad y restaurar el sector de arranque de una partición primaria es un poco más seguro que trabajar con el MBR, y es una forma útil de demostrar las características de WinHex.

El sector de arranque se encuentra en los primeros 512 bytes de cada partición. En cada caso, el sector termina con el código hexadecimal de firma 55h AAh. WinHex facilita hacer una copia de seguridad y restaurar manualmente estos bytes cruciales de código. También es posible editar manualmente esta información directamente o a través de una plantilla.

Cómo evitar que Windows 98 permita el acceso al escritorio sin autenticación

Para hacer una copia de seguridad del sector de arranque de una partición, haz clic en Acceso | Sector de arranque. Desde el menú, elige Editar | Copiar sector | A nuevo archivo. Se te pedirá un nombre de archivo. Elige un nombre como bootcopy.dat (dat es un tipo de archivo de WinHex) y guarda. Se abrirá una nueva ventana con el sector copiado.

Ten en cuenta que si guardas este archivo en el mismo disco o partición que estás visualizando, habrás cambiado los datos en esa partición. Si estás intentando recuperar datos borrados, es posible que se pierdan algunos de los datos. Cuando trabajas con un disco que puede ser utilizado como evidencia, nunca debes trabajar con una copia original. Para eso, clonarías un disco. Sin embargo, para nuestro ejemplo, seguiremos trabajando con el disco del sistema operativo.

Puedes imprimir la información de la plantilla para guardar una copia impresa en caso de que alguna vez necesites reconstruir tu MBR manualmente. En ese momento, simplemente accede al disco con WinHex y escribe los datos en la plantilla de sector de arranque.

Hay algunas formas de restaurar el sector de arranque. Un método sería abrir tu copia de seguridad y pegar la información en el área del sector de arranque.

Otra forma que no implica tanta manipulación de archivos sería copiar el sector de arranque de la copia de seguridad, si existe, siempre que no haya sido dañado por un virus o se haya corrompido de alguna manera, de nuevo al principio de la partición.

En un sistema de archivos FAT32, la copia del sector de arranque se almacena en el sector 6, que comienza en el desplazamiento C00h. Los sistemas de archivos NTFS guardan una copia cerca del final del volumen. Pero podrías encontrar la copia de seguridad sin esta información buscando el encabezado del sector de arranque, casualmente una buena manera de demostrar la función de búsqueda de WinHex.

Cómo configurar el inicio de sesión automático en Windows XP

El sector de arranque comienza con un comando de salto (EBh) y contiene un encabezado en la cuarta posición (desplazamiento 3). Los encabezados FAT32, por ejemplo, se leerán como MSWN4.1.

Copia toda la cadena desde JMP hasta MSWN4.1 arrastrando el cursor sobre ella en la columna de texto o en la columna de vista hexadecimal. La cadena se resaltará (Figura I). Desde el menú, elige Editar | Copiar bloque | Normal para copiar una cadena de texto al portapapeles, o Editar | Copiar bloque | Valores hexadecimales para copiar el código hexadecimal. La elección es tuya.

WinHex: una herramienta poderosa para edición - Microsoft | Imagen 9 Newsmatic

Figura I: WinHex resalta el bloque de datos que se está manipulando.

Ahora elige Buscar | Buscar texto si copiaste texto, o Buscar | Buscar valores hexadecimales si copiaste una cadena hexadecimal. Pega la cadena en el cuadro de búsqueda y haz clic en Aceptar. La primera búsqueda se detendrá en el sector 0. Presiona F3 para continuar la búsqueda. El siguiente resultado probablemente será la copia de seguridad del sector de arranque.

Asegurémonos de que este sector sea realmente una copia exacta del sector de arranque utilizando la función de Comparar. Con el cursor en ese sector, elige Editar | Copiar en archivo. Nombra ese archivo bootcopy2.

Cómo proteger tus contraseñas en Windows y evitar que sean fácilmente hackeadas

Asegúrate de que ambos archivos estén abiertos en WinHex. Desde el menú, elige Administrador de archivos | Comparar. Usa los botones de navegación para agregar los archivos bootcopy1.dat y bootcopy2.dat a las primeras y segundas casillas de archivo. A continuación, da un nombre al archivo de informe que creará WinHex, como se muestra en Figura J. Haz clic en Aceptar. Aparecerá un mensaje con el resultado, esperemos el que deseas: "No se encontraron diferencias", lo que significa que los dos archivos (y sectores de arranque) son idénticos.

WinHex: una herramienta poderosa para edición - Microsoft | Imagen 10 Newsmatic

Figura J: Estás listo para ver si has localizado el sector de arranque de respaldo.

En este punto, conoces la ubicación de la copia de respaldo del sector de arranque y tienes dos archivos que contienen copias exactas de tu sector de arranque actual.

Ahora práctica copiando y reemplazando el sector de arranque desde la copia de respaldo de la partición. Advertencia: esto no es para los débiles de corazón. Si cometes un error, es posible que tengas que volver a intentar reemplazar el sector de arranque de verdad.

Ve a la copia de respaldo del sector de arranque. Para las unidades FAT32, una forma rápida de hacer esto es seleccionar Posición | Ir al sector. Ingresa 6 y haz clic en Aceptar. Elige Editar | Copiar sector | Normal. Esto coloca los datos en el portapapeles.

Regresa el punto de inserción al desplazamiento 0 del sector de arranque original. Elige Editar | Datos del portapapeles | Escribir. Aparecerá un mensaje que te informa que "los datos del portapapeles se escribirán en el desplazamiento 0". Haz clic en Aceptar.

Los datos del portapapeles sobrescriben el sector 0 y se resaltan. La barra de estado ahora muestra la siguiente información útil: Estado: Modificado, Nivel de deshacer: 1, Deshacer invierte: Escritura del portapapeles.

Puedes deshacer los cambios eligiendo Editar | Deshacer. En este punto del ejercicio, también puedes salir de la unidad C: sin guardar los cambios. Si te sientes especialmente valiente y quieres poner a prueba tus habilidades de reparación de unidades, elige Archivo | Guardar sectores. Solo se guardarán las modificaciones que hayas realizado.

Ahora has reemplazado tu sector de arranque. Para hacer una copia de seguridad y reemplazar el MBR y las tablas de particiones del disco, elige Herramientas | Editor de discos y accede al disco físicamente. Luego, copia el MBR a un archivo y tenlo listo en caso de que necesites reemplazarlo.

Herramientas adicionales

Figuras K y L muestran otras herramientas y opciones disponibles para trabajar con discos. Entre ellas se encuentran la capacidad de ver la estructura de directorios, listar los clústeres de archivos y clonar un disco. Las herramientas Especialista incluyen la capacidad de recopilar espacio libre, espacio excedente y texto para análisis; buscar simultáneamente diferentes palabras clave; crear tablas de contenidos para la unidad; crear una tabla de números de Bates (un formato utilizado por abogados para referenciar pruebas); y resaltar el espacio libre y el espacio excedente.

WinHex: una herramienta poderosa para edición - Microsoft | Imagen 11 Newsmatic

WinHex: una herramienta poderosa para edición - Microsoft | Imagen 12 Newsmatic

Figura K: Herramientas de disco de WinHex

Figura L: Herramientas Especialista de WinHex

Eliminar archivos confidenciales

Una última característica digna de mención, ya que se refiere a lo opuesto a la recuperación de datos: la capacidad de WinHex para eliminar información confidencial de modo que no se pueda recuperar. La opción Administrador de archivos | Borrar de forma segura va más allá de muchas herramientas de eliminación de archivos. Según WinHex, cuando se aplica a un archivo, "Incluso los intentos profesionales de restaurar el archivo serán inútiles".

Borrar de forma segura no solo sobrescribe un archivo varias veces con ceros u otros caracteres. El archivo también se reduce a una longitud de cero y luego se elimina. Las licencias Profesional y Especialista van aún más lejos: WinHex borra también la entrada del nombre del archivo.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Microsoft, allí encontraras muchos artículos similares a WinHex: una herramienta poderosa para edición , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.