X-Ways WinHex中文版是一款全球知名的计算机取证用途的数据恢复软件及十六进制编辑器和磁盘编辑器.WinHex最新版可以用于取证搜集,数据恢复,文件分析和编辑,底层数据处理和安全领域收集文件报告.使用它可以检查修复各种文件,磁盘及内存卡等损坏造成的数据丢失等问题,包括编辑修改Hex与ASCII编码,多文件字符搜索与替换,磁盘扇区(支持FAT16,FAT32和NTFS)自动搜索编辑,文件数据比对分析,RAM编辑工具等.
X-Ways WinHex 曾经和 UltraEdit 文本/十六进制编辑器齐名,但后来两者发展路线截然不同,UltraEdit做了全功能编辑器,而WinHex的功能更加趋于检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。利用WinHex可看到其他程序隐藏起来的文件和数
软件功能
1、用于硬盘,软盘,CD-ROM和DVD,ZIP,智能媒体,Compact Flash的磁盘编辑器 ......
2、对于FAT12 / 16/32,exFAT的,NTFS的本地支持,Ext2的/ 3/4,Next3 ® ,CDFS,UDF
3、内置的RAID系统和动态磁盘解释
4、各种数据恢复技术
5、RAM编辑器,提供对物理RAM和其他进程的虚拟内存的访问
6、数据解释器,了解20种数据类型
7、使用模板编辑数据结构 (例如,修复分区表/引导扇区)
8、连接和分割文件,统一和分割奇数和偶数字节/字
9、分析和比较文件
10、特别灵活的搜索和替换功能
11、磁盘克隆 (在DOS下使用X-Ways副本)
12、驱动器映像和备份(可选择压缩或拆分为650 MB存档)
13、编程接口(API)和脚本
14、256位AES加密,校验和,CRC32,哈希(MD5,SHA-1,...)
15、安全擦除(擦除)机密文件,硬盘清理 以保护您的隐私
16、导入所有剪贴板格式,包括 ASCII十六进制值
17、在二进制,十六进制ASCII,Intel十六进制和Motorola S之间转换
18、字符集:ANSI ASCII,IBM ASCII,EBCDIC,(Unicode)
19、即时窗口切换。打印。随机数发生器。
20、支持任何大小的文件。非常快。使用方便。广泛的计划帮助。
更多
使用帮助
一、启动中心
所谓的“启动中心”是一个对话窗口,可选择在启动时显示,用作开始工作的简化控制面板。它允许快速打开文件,磁盘,内存模块和文件夹以及最多255个最近编辑的文档(默认情况下为16个左侧列表)。这些可能是文件,文件夹,逻辑驱动器或物理磁盘。再次打开时,WinHex将恢复每个文档的最后一个光标位置,滚动位置和块(如果已定义),除非禁用相应的选项。
从StartCenter,您还可以访问项目和案例(右上角列表)。项目由一个或多个要编辑的文档(文件或磁盘)组成。它会记住编辑位置,窗口大小和位置以及一些显示选项。通过将窗口排列保存为项目,您可以在离开它们的位置继续使用多个文档,只需单击一下即可。这对重复性任务特别有用。加载项目时,所有当前打开的窗口将首先自动关闭。
此外,WinHex会自动将WinHex会话结束时的窗口排列保存为项目,并可在下次启动时重新创建窗口排列。每个项目都存储在.prj文件中。可以在StartCenter(上下文菜单或Del/F2键)中删除或重命名。
最后,StartCenter是管理脚本的地方。您可以使用上下文菜单检查,编辑,创建,重命名和删除脚本。要执行脚本,请双击它或单击它,然后单击“确定”按钮。
二、目录浏览器
WinHex和X-WaysForensics中最重要的用户界面元素是所谓的WinHex,X-WaysForensics提供了一个目录浏览器,类似于Windows资源管理器的右侧列表。其主要任务是显示(并与之交互)卷快照。完整功能仅适用于取证许可证。默认情况下,目录浏览器首先列出目录,然后列出文件。压缩文件以蓝色加密文件显示为绿色(仅限NTFS)。右键单击目录浏览器中的任何项目将打开一个上下文菜单,其中包含用于打开文件或目录,浏览目录,查找磁盘上文件或目录的开头,查找相应目录条目(FAT)或文件记录的命令(NTFS),在单独的窗口中列出分配的集群等。
当从一个目录导航到另一个目录时,浏览带有子对象的文件(例如带有附件的电子邮件),导航到子对象的父级,激活或停用过滤器,尝试不同的排序标准等,请注意您可以使用“导航”菜单中的“后退”命令或工具栏中的“后退”按钮轻松返回上一个视图。
图标在程序中直接在图例中解释(仅限取证许可)。以前存在的文件和目录在目录浏览器中用较亮的图标表示。带有蓝色问号的图标表示原始文件或目录内容可能仍然可用。WinHex知道的已删除对象不再可访问(因为它们的第一个集群已被重新分配,因为它是未知的,或者因为它们的大小为0字节)具有红色划掉的图标。FAT卷上带箭头的图标(仅限专家或取证许可证)和(在完善卷快照之后)NTFS卷显示已重命名和移动的文件,其原始名称为/在其以前的目录中。在Reiser4上,这些文件是在其以前的目录中以其当前名称移动的文件。蓝色箭头表示文件的内容可用(尽管这些不是重命名或移动文件之前的内容)。红色箭头表示没有可用内容。
在目录浏览器的标题行中,您可以在左侧看到已探索的路径(在以斜体和绿松石颜色进行递归探索的情况下)。单击当前路径的任何组件时,现在将直接导航到您单击其名称的该目录(或具有子对象的文件)。在右侧,您可以看到列出的文件和目录的数量(通常是现有对象的单独图形+以前存在的对象+虚拟对象)。此外,如果有任何标记文件,则会显示列出的标记文件数。在左侧的蓝色滤镜符号旁边也会显示有效滤镜的数量。基于列和独立于列的有效过滤器将单独计算。这很有用,因为可能存在对目录浏览器中当前不可见的列激活的基于列的过滤器,并且只有在检查目录浏览器选项对话框时,列独立过滤器处于活动状态才会显而易见。
目录浏览器可以按升序或降序对文件和目录进行排序,并且仍然使用较轻的箭头显示前两个排序条件。例如,如果首先单击文件名列,然后单击文件扩展名列,则具有相同扩展名的文件将在内部按名称排序。要取消定义二级和三级排序条件,请在单击列标题时按住Shift键以确定主要排序条件。在内部,它选择内部ID作为辅助排序标准。这是为了确保在主要分类标准的具有相同数据的项目的顺序仍然很好地定义并且在同时按其他分类标准排序之后可再现。无论您如何排序,卷或磁盘级别的虚拟文件(覆盖可用空间,卷松弛,未分区空间等的文件)始终列在底部,因为它们更好地与普通文件分开处理。
用作主要排序标准的列也是“键入时跳转”的目标。也就是说,当目录浏览器具有焦点以自动导航并从当前位置开始选择列表中的第一个或下一个匹配项时,您可以键入要查找的条目的第一个字符或前几个字符。例如,如果目录浏览器按类型列排序,如果要在列表中找到第一个zip文件,请键入“z”。但是,如果列出的另一个文件的类型以“z”开头,一个按字母顺序排在“zip”之前,例如“zac”,则键入下一个字符(在该功能超时之前,忘记你所拥有的“z”)已输入),在本例中为“i”,直到找到您要找的内容或者没有任何其他情况发生(如果没有匹配的项目)。匹配发生在一个循环中。这意味着即使当前位置显示zip文件,您也可以键入任何前面的字母再次从顶部跳转到第一个匹配项,例如“d”表示.docx。如果您正在寻找.docx文件,但找到一大组.doc文件,那么您需要键入docx的所有四个字符,因为只有“x”区分docx和doc。
1、过滤
您可以根据标准(列)激活过滤器,例如文件名,描述,文件类型类别,属性或哈希集。每当活动过滤器实际过滤掉目录浏览器中的文件或目录时,在目录浏览器的标题行中都会标记一个蓝色过滤器图标,并且您将被告知列表中确切地省略了多少项。您还可以通过单击目录浏览器标题行右侧的“打开文件”/“保存文件”图标,将过滤器和排序设置存储在单独的文件中,然后再次加载它们。随时。这些文件的扩展名为“.settings”。请注意,不保证不同版本的软件可以加载彼此的设置。
每当一个或多个过滤器处于活动状态,实际上过滤掉当前显示的目录浏览器中的项目时,目录浏览器的标题行中有两个蓝色过滤器符号。他们指出,由于活动文件,您当前的视图不完整,并且它们还允许您通过单击鼠标停用所有过滤器,以确保在不再需要过滤器时不丢失任何文件。只需在按住Shift键的同时单击列标题的过滤器符号,即可单独激活或停用基于列的过滤器。在这种情况下,相应滤波器的选项保持不变。
当从父文件导航到子文件时,过滤器已被赋予一些“智能”,反之亦然,以便过滤器“知道”何时是关闭的好时机。
例如:
-如果使用过滤器以递归方式关注所有提取的电子邮件,然后双击单个电子邮件以查看目录浏览器中的附件,则会自动停用过滤器,以便你实际上可以看到这些附件。只需单击“返回”按钮,即可返回上一个探索点,并恢复先前的过滤器设置和最后一个选择,以便您可以轻松地继续查看下一封电子邮件!
-如果您使用过滤器来关注视频或文档,然后双击视频或文档以分别查看为该视频或该文档中的嵌入图片导出的视频静态图像,则会自动停用过滤器,太。
-当您仅在图库中查看视频静止图像时,使用Backspace键或“查找父对象”菜单命令导航到仍然属于该视频的视频(例如,为了播放该视频),然后任何活动过滤器将被关闭,以便实际列出视频。只需单击“返回”按钮,即可返回上一个静止图像概览,再次启用先前的过滤器,并恢复上一个选定的项目,以便您可以轻松地继续下一个静止图像!
-这类似于系统地查看电子邮件附件时,如果偶尔需要查看包含电子邮件的相关附件(例如打印或将其包含在报告中),然后返回附件列表。
当找到孤立的物体时,例如,已删除的文件及其原始路径无法由程序确定,或者通常在程序未知原始路径时,此类对象将列在特殊的虚拟目录“路径未知”中。使用专家或取证许可证,根目录中有虚拟文件,可以方便地处理卷中的特殊区域:
文件系统区域:文件系统本身为内部目的声明的预留扇区和/或集群。
可用空间:文件系统标记为未使用的集群。取决于卷快照选项。
空闲空间:WinHex不知道它们用于什么体积的区域,包括由文件系统标记为正在使用的集群,但其确切分配无法确定。如果文件系统丢失了它们,即忘记这些簇实际上可用于重新分配,则可能是这种情况。通常没有闲置空间。空闲空间的大小和第一个空闲群集的数量仅在需要时确定(例如,当您第一次单击“空闲空间”文件时),因为根据群集的数量,这可能是一个耗时的操作。
卷松弛:文件系统未使用的分区末尾的扇区,因为它们不会添加到另一个群集。
间接块(Ext2,Ext3,UFS):包含块编号的特殊块。不属于“文件系统区域”。
未注释的属性集群(NTFS):包含尚未由X-WaysForensics单独处理的非驻留属性的集群。不属于“文件系统区域”。
.journal(ReiserFS):形成固定日记区域的块。在Ext3和HFS+上,这不被视为虚拟文件,因为它由文件系统本身在专用记录中定义。
新版变化
X-Ways User Forum: Public Announcements
http://www.x-ways.net/winhex/forum/messages/1/1.html
特点描述
- 解锁专家版,集成注册信息,可以使用所有专业功能
- 更新翻译中文语言,如:“文件类型恢复”的类型标题
- 32位/64位自适应,删除多国语言, 帮助文档, 安装程序
- 预设默认配置: 启动中文,选项临时路径通用%temp%
- 7zSFX打包单文件,支持传递参数(即拖拽文件打开)
- 多开单文件时支持创建互斥,避免重复解压或误删除
相关文件下载地址
如遇下载链接失效或无法下载,请联系客服处理!客服①QQ:752523399 客服②QQ:752523388