WinHex是一款专业的十六进制编辑器。编程人员都在使用的十六进制编辑器WinHex。它也有一个名为X-Ways Forensics的名称,但通常显示为WinHex。该程序主要用于数据分析。它具有广泛的应用,主要是通过计算机对不同类型的数据和文件进行取证研究;该程序在获得专家许可的情况下,还提供了多个附加的取证功能,但不支持图像或功能的解释或解释。在X-Ways取证中,仅以查看模式(只读),解释的图像文件,虚拟内存和物理RAM严格打开磁盘以执行取证程序;用户还可以通过该程序编辑磁盘扇区并擦除整个磁盘,可用空间,松弛空间,所选文件,所选磁盘区域等;功能强大实用,要求用户可以下载体验。
使用说明:
磁盘克隆,磁盘映像
创建驱动器/分区/磁盘(例如磁盘驱动器)的精确副本。例如,为了节省时间在同一类型的多台计算机/硬盘上完整安装操作系统和其他软件,或者在数据丢失或丢失时可以恢复正常运行的安装(备份/保险丝)安装损坏。它也适用于计算机取证专家,因为当您寻找数据载体上的线索时,他们必须处理副本。您可以直接克隆,也可以从映像文件克隆。菜单:其他|磁盘实用程序克隆磁盘
RAM编辑器
出于调试目的(编程),检查/操纵任何正在运行的程序,尤其是计算机游戏(作弊)
ng)。其他| RAM编辑器
分析文件
例如,确定从磁盘扫描程序或chkdsk恢复的数据类型为丢失的群集链。例。其他|分析文件
销毁机密文件并安全删除卷
这样,任何人(甚至不是计算机法医专家)都无法再次显示它们。要删除文件,请使用文件管理器。删除。安全删除。要完全擦除光盘,请使用光盘编辑器将其打开,然后使用“编辑” |“删除”。删除。填补部门。覆盖z。具有零字节(十六进制值00)或随机位。
删除未使用的内存和可用空
为了弥补安全漏洞,因为初始化区域可以压缩99%,所以可以安全地破坏现有的和通常已删除的秘密或机密文件,或者缩小磁盘备份(例如WinHex备份或Norton Ghost备份)的大小。在NTFS驱动器上,WinHex甚至可以清除所有当前未使用的$ Mft(主文件表)文件记录,因为它们可能仍包含文件名和存储在其中的内容片段。在与文件相关联的最后一个集群的未使用的尾部发现了松弛空间,该集群通常包含先前存在的文件的痕迹。滑动内存可以像处理其他所有内容一样快地处理WinHex。另请参阅X-Ways安全性。
ASCII-EBCDIC转换
允许在大型机和PC之间双向交换文本。您甚至可以根据自己的需要在WinHex(ebcdic.dat)中自定义字符转换表。编辑转换
二进制,十六进制ASCII,Intel-Hex和Motorola-S转换
对于(E)PROM程序员。编辑转换
合并和拆分偶数和奇数部分/单词
进行(E)PROM编程。文件管理器合并/拆分
分解大文件不适用于较小的磁盘。文件管理器反汇编/链接
WinHex作为发现和学习工具
您确定Microsoft Word确实放弃了文档中的先前内容吗?您可能会惊讶于您仍然可以在.doc文件中找到长时间删除的文本。与您共享.doc文件的人可能不想看到的文本...发现各种软件程序在其文件中存储了什么。检查未知的文件格式,并了解它们如何工作。分析z。例如,可执行文件的结构以及如何将其加载到内存中。可能性几乎是无限的。这是另一个重要的:
使用组合搜索或文件比较功能在保存游戏以供以后操纵的存储区中找到有趣的值(例如生命数,弹药,资产等)。
通过遵循Internet上现有的备忘作弊页面教程或开发自己的作弊行为,为每个计算机游戏操作游戏商店
升级使用更大的硬盘驱动器升级MP3点唱机,Xbox等。
为此,您必须首先准备一个新的硬盘驱动器。这是Creative Nomad MP3自动存储塔,DAP自动存储塔和Microsoft Xbox的说明。您还可以更改Xbox的名称。
编辑文字
即使是那些不打算更改的文件,例如二进制文件。这不是很方便,但是您可以通过编辑可执行文件中的文本将几乎所有软件翻译成另一种语言:B.源代码不可用(丢失)。或者,您可能希望编辑特定二进制类型文件中的文本,该特定二进制类型文件不允许构建应用程序直接执行。例如,程序员发现他们的编译器会自动为其项目创建一个配置文件,该文件的文件名(应用程序名称+ .cfg)与使用其自身软件的文件冲突。如果您当地的法律和许可
使用“磁盘编辑器”来查看和操作无法以常规方式编辑的文件,因为它们受Windows保护(例如,页面文件或临时目录和Internet Explorer中的文件)。
其他|磁盘编辑
查看,编辑和修复系统区域
例如,主引导记录及其分区表和引导扇区。其他|磁盘编辑器|存取开关
隐藏数据或找到的隐藏数
例如,在.jpg文件(隐藏)的可疑结尾之后或在未使用的区域中,是逻辑驱动器或物理磁盘。特别是,WinHex支持访问操作系统未使用的开销扇区,因为它们无法添加到整个群集(分配单元)或整个柱面中。
复制和粘贴
使用复制和粘贴或复制和写入文件,媒体和内存(=覆盖)。您可以z。例如,无论扇区边界如何,都可以随时从硬盘驱动器复制并再次写入剪贴板的内容!
无限撤消
编辑允许您撤消任何步骤。限于可用磁盘空间。编辑撤消
前进和后退WinHex跟踪偏移量,并允许您使用允许访问网页的Internet浏览器前后跟踪链。工作机会后退前
使用脚本的脚本
自动编辑文件甚至磁盘,以简化重复的例行任务或在网络上未占用的远程计算机上执行特定任务。执行脚本的能力
除了所提供的以外,保留给专业被许可人。您可以从启动中心或命令行运行脚本。在脚本运行时,您可以按Esc取消。借助其扩展的应用程序选项,脚本可以替换WinHex早期版本中已知的例程。
API(应用程序编程接口)
专业用户可以在其Delphi,C / C ++和Visual Basic程序中利用WinHex的高级功能。 WinHex API为您提供了一个方便的界面,用于随机访问文件和卷(在扇区级别)。现有功能类似于脚本中可用的命令。细节
数据恢复...用于错误删除的文件或通常在数据丢失后使用。可以手动或自动操作。 FAT12,FAT16,FAT32和NTFS驱动器具有非常简单的自动数据恢复模式(“按名称保存文件”),该模式仅需要指定一个或多个文件名掩码(例如* .gif,Peter * .doc等)。然后WinHex完成其余的工作。此外,可通过FAT驱动器访问开关使用的机制可以复制整个嵌套目录结构。 )和另一种(“按类型保存文件”),可以与任何文件系统一起使用,并且可以一次还原特定类型的所有文件(支持的文件类型:jpg,png,gif,tif,bmp,Dwg ,psd,rtf,xml,html,eml,dbx,xls / doc,mdb,wpd,eps / ps,pdf,qdf,pwl,zip,rar,wav,avi,ram,rm,mpg,mpg,mov,ASF , 中)。 ESP。数码相机所有者通常会在使用的媒体上遇到问题。使用WinHex中的此内置功能,您将有机会再次看到图片,因为此功能具有所谓的文件头(每个文件开头的功能签名)。其他|磁盘实用程序恢复的文件
犯罪学计算机调查/计算机取证
WinHex是网络犯罪调查人员,专家和专家,私人公司和执法机构手中的宝贵工具。
受信任的下载/可靠的数据导出
如果要将未分类的资料从安全级磁盘复制到未分类的磁盘,则必须确保复制的文件不会盲目地复制其可用空间中的数据(集群开销),因为群集已分配给另一个文件。 ,这可能是机密数据或机密数据。命令工具|专业工具|可信下载仅将文件复制到当前大小,而不复制整个扇区或群集。文件末尾的字节均未复制到目标卷。需要专家许可。
128位加密
使别人变得面目全非。编辑转换
校验和/汇总计算
确保文件不被损坏或篡改,或标识已知文件。其他|计算哈希。
生成出于各种目的(例如模拟)而生成伪随机数。编辑填充文件
X-Ways取证和WinHex的核心是文件,磁盘和RAM的十六进制编辑器。它们周围有许多专用的取证功能。这些功能使WinHex成为用于计算机磁盘的强大分析工具:提取可用磁盘空间,可用空间,分区间空间和文本;从所有现有和已删除的文件和目录,甚至备用数据流(NTFS)创建驱动器目录;贝茨编号文件等等。 WinHex还用作克隆和映像软件,以创建真实副本(包括松弛空间),并复制大多数磁盘类型,并支持任何大小的驱动器和文件(对于NTFS,甚至TB)。
X-Ways Forensic和WinHex可以在本地解释和显示FAT,NTFS,Ext2
3.图像文件上的Reiser,CDFS,UDF和目录结构。从硬盘,存储卡,软盘,ZIP,JAZ,CD,DVD等中安全地恢复文件。WinHex结合了各种自动数据恢复机制和方便的方法来手动恢复数据。 WinHex提供复杂,灵活和快速的并行搜索功能,使您可以搜索整个卷或图像文件(包括松弛空间,已删除文件和隐藏数据)。通过访问物理磁盘,即使操作系统无法识别分区,也可以完成此操作。
磁盘编辑器,文件编辑器,RAM编辑器
WinHex是高级的二进制编辑器,可让您访问计算机中的所有文件,群集,扇区,字节,半字节和位。它支持几乎无限的文件和卷,最大容量为TB(数千GB!)。对内存的需求很小。访问速度非常好
FAT,NTFS,Ext2 / Ext3,ReiserFS,CDFS / ISO9660,UDF目录浏览器
目录浏览器与Windows资源管理器(右侧列表)一样易于使用。它列出了现有和已删除文件的目录以及所有详细信息。它使显示集群链,使用磁盘编辑器导航到文件和目录以及从磁盘复制文件成为可能。由于它对本机文件系统的支持,它还可以与未在Windows中作为驱动器加载的图像文件和分区一起使用!
在DOS和Windows下克隆磁盘克隆/磁盘映像
WinHex可以逐个扇区地将大多数媒体类型复制到其他媒体(克隆,重复,镜像)或图像文件中。这些副本是“法医完美”的,并且都包含空闲空间和可用驱动器空间。这对于取证很重要,因为它允许您处理原始卷的副本。您可以选择将图像文件压缩或拆分为单独的段。 WinHex可以创建日志文件来跟踪克隆过程中发现的每个损坏的扇区,而不必不断单击错误消息。所有可读数据将被传输到副本。
此外,WinHex包括一个用于克隆硬盘驱动器的基于DOS的程序。大多数Windows环境无需询问即可访问新连接的驱动器。例如,某些文件的最后访问日期已损坏。在DOS下克隆原始文件时可以避免这种情况。需要专家或法医许可证。 X-Ways复制
借助其高级磁盘编辑器,WinHex不仅可以实现有针对性的手动文件恢复。 WinHex还可以自动救援文件,甚至救援整个嵌套目录结构。集成了多种数据恢复方法:
1.“按名称保存文件”:只需输入一个或多个文件过滤器(例如* .gif,Meier * .doc等),WinHex将完成其余操作。适用于FAT12,FAT16,FAT32和NTFS。
2.“按类型保存文件”:WinHex营救可以通过特定文件头签名识别的所有文件(例如JPEG文件,MS Office文档)。这实际上适用于任何文件系统。
3.使用上述目录浏览器,您可以轻松并有选择地还原列出的文件和目录。
4.您可以通过访问菜单开关为FAT和NTFS驱动器提供特殊的救援模式。
恢复分区/启动记录
使用WinHex,您可以编辑FAT12,FAT16,FAT32和NTFS引导扇区以及带有自定义模板的分区表。
安全删除硬盘
WinHex用零字节填充硬盘的每个扇区(字节顺序可以任意确定,甚至可以随机选择)。您可以根据需要多次用零字节重复覆盖硬盘驱动器(以实现最大的安全性)。此方法将清除硬盘驱动器上文件,目录,病毒,专有和诊断分区的所有痕迹,并留下“临床上”干净的硬盘驱动器。它符合美国国防部发布的DoD 5220.22-M安全数据擦除标准
此外,使用WinHex,您可以安全地删除单个文件,也可以删除硬盘上未使用的空间。另外,可以在克隆目标磁盘之前用特定的字节模式填充扇区,例如ASCII字符串“坏扇区”。这样可以很容易地识别出在克隆期间无法覆盖的硬盘部分,因为原始扇区无法读取(因为物理损坏了)或原始硬盘较小,因此无法覆盖。 (或者,可以将不可读扇区作为零填充扇区写入目标硬盘)
提取文件存储
收集目标文件中FAT12,FAT16,FAT32和NTFS操作系统的闲置空间(文件实际结束后,群集链中最后一个群集中的未使用字节)。每次出现松弛时,它都以换行符和找到簇的编号开头。然后,此信息另存为ASCII文本。 WinHex无法捕获在文件系统级别压缩或加密的文件的松弛存储。此功能需要专家许可。
提取可用内存
循环浏览当前打开的逻辑驱动器
并将所有未使用的群集收集到您指定的目标文件中。这对于检查尚未安全删除的现有文件中的数据片段很有用。未对要检查的驱动器进行任何更改。目标文件必须存储在另一个驱动器上。此功能需要专家许可。
提取分区间隙
捕获不属于目标文件中任何分区的物理磁盘的存储区域。因此,您可以快速检查是否有隐藏的东西,或者是否保留了较早分区的内存。需要专家或法医许可证。
提取文字
此功能可根据您指定的参数识别文本,并捕获文件,磁盘或内存区域中出现的所有内容,并将它们写入新文件。这种类型的过滤器可用于显着减少要评估的数据量,例如,在法医计算机分析的情况下,需要查找基于文本的提示(例如电子邮件,文档)。目标文件可以轻松分解为自定义大小。此功能还可以应用于具有累积的松弛或可用内存的文件,以及专有格式的损坏文件,这些格式无法由关联的应用程序(如MS Word)打开。需要专家或法医许可证。
创建驱动器内容表
创建所有现有和/或跟踪的已删除文件和目录的“目录”。它收集用户配置的信息,例如文件属性,所有可用的日期和时间,大小,群集占用,哈希值(校验和或摘要),备用数据流(仅具有NTFS驱动器的ADS包含隐藏数据)等。这对于系统地检查卷的内容很有用。通过掩码中的信息(例如* .jpg,* .Gif),搜索也可以限于某些类型的文件。可以从数据库或MS Excel导入结果表并重复使用。按日期排序时间可以很好地概述在什么时间使用了什么数量。例如,可以是NTFS属性“已加密”。例如,您可以快速提供最重要的线索,以查看哪些文件对于法医分析很有趣。
媒体详细信息报告
显示有关活动卷或文件的信息。例如,可以复制此信息。例如在报告中。可以在物理磁盘上找到非常详细的信息,该磁盘列出了有关每个分区以及与无分区相关联的所有内存间隔的详细信息。需要专家或法医许可证。
解释图像为体积
将打开的活动映像文件处理为逻辑驱动器或物理磁盘。此功能很有用,例如,如果您要检查磁盘映像的内容,从文件系统中提取单个文件,依此类推,而不必在磁盘上重播映像。当被解释为物理磁盘时,WinHex可以打开映像中包含的分区,就好像它们是“真实”物理磁盘一样。 WinHex甚至可以解释跨文件图像,即由任意大小的单个片段组成的图像文件(所谓的“跨度图像文件”)。为了使WinHex识别跨文件图像,第一段应具有任何名称和非数字扩展名,或扩展名“ .000”。第二段必须具有相同的基本文件名,但扩展名为“ .001”,第三段必须为“ .002”,依此类推。 DOS的磁盘克隆程序X-Ways副本可以在此段中创建磁盘映像。这很有用,因为FAT16和FAT32支持的最大文件大小为2GB或4GB。在此段中创建磁盘映像。这很有用,因为FAT16和FAT32支持的最大文件大小为2GB或4GB。在此段中创建磁盘映像。这很有用,因为FAT16和FAT32支持的最大文件大小为2GB或4GB。需要专家或法医许可证。
数据库
使用此工具,您可以双向转换所有整数和浮点数据类型,数据格式,汇编操作码以及其他数据类型
分析信息
此功能有效。 B.用于分析未知属性的数据。
二进制/全文搜索
使用WinHex,您可以搜索隐藏在十六进制,ASCII,EBCDIC拼写或常规文本段落中的所有可想象的数据。您可以选择是否在每次出现搜索数据时暂停WinHex,或者是否将所有找到的数据写入报告中。这使您可以自动搜索大型数据库。例如,在刑事调查中搜索某些关键字时,这很有用。根据要求,可以忽略读取错误,这对于损坏的数据载体尤其有用。 WinHex的搜索功能可以搜索整个存储区域,幻灯片存储和删除后释放的存储。
平行搜寻
此功能使您可以通过一次搜索硬盘来选择多个搜索词。搜索结果显示在位置管理器中或存档在制表符分隔的文本文件中,这些文本文件可以由MS Excel或任何数据库直接进行进一步处理。 WinHex存储
偏移搜索字词所在的位置
发现
在搜寻字词本身中
找到搜索词的文件或数据载体的名称
如果在逻辑驱动器上检测到搜索词,您甚至可以保存集群的分配。 (例如,以特定偏移量存储的文件的名称和路径)
软件功能:
功能取决于许可证类型,包括:
硬盘,软盘,CD-ROM,DVD,SmartMedia,CompactFlash和其他磁盘编辑器
FAT12 / 16/32,exFAT,NTFS和Ext2 / 3/4,Next3®,CDFS,UDF的本机解释
内置对RAID系统和动态磁盘的支持
各种数据恢复技术
RAM编辑器,用于编辑其他Windows程序的RAM和虚拟内存
用于20种数据类型的数据解释器
模板使用模板编辑数据结构(例如分区表,引导扇区)
链接,反汇编,分析和比较文件
特别灵活的搜索和替换功能
克隆数据载体,在DOS下也具有专家许可
磁盘映像和备份(例如,可压缩和可拆分为650 MB的碎片)
256位AES加密,校验和,CRC32,哈希码(MD5,SHA-1等)
安全删除机密数据
以文本格式导入所有剪贴板格式,包括十六进制值
转换二进制,十六进制ASCII,Intel十六进制和Motorola S格式
字符集:ANSI-ASCII,IBM-ASCII,EBCDIC(Unicode)
快速在编辑窗口之间快速切换
支持任何大小的文件,打印,随机数生成器,程序帮助
软件特色:
模板管理器在WinHex目录中列出所有包含模板定义的文本文件。显示模板的标题以及描述,文件名以及最后修改的日期和时间。单击“应用”按钮,使用当前位置的当前编辑器窗口中的数据选择模板来定义显示模板。您还可以创建新的模板定义,删除或编辑现有模板。
以十六进制表示的常量字节值:指定一个1、2、3、16、4、5、6、12、15或2个字符的十六进制值,该值将重复复制到当前块,整个文件或所有磁盘扇区。很快。
使用简单的伪随机字节值:指定一个十进制间隔(最大0到255)作为随机数,该间隔将分别重复复制到当前块,整个文件或所有磁盘扇区。随机字节是拉普拉斯分布的。快速。
模拟通过模拟加密的伪随机数据:与加密数据没有区别的随机数据。很快。
具有加密语音的伪随机数据:加密安全的伪随机数生成器(csprng)称为Isaac,它非常慢。
内存编辑器/分析
内存编辑器是工具菜单的一部分。它允许检查进程的物理RAM /主存储器和逻辑存储器(即正在执行的程序)。该进程提交的所有内存页面均以连续块的形式显示。默认情况下,未使用的(空闲或保留)页面将被忽略,但可以选择包含并显示“?”字符。没有这种差距,您可以将内存转储文件与另一个文件放在一起(绝对地址和虚拟地址相同),例如检查堆栈和堆的状态或观察病毒。
安装步骤:
1.用户可以单击本网站提供的下载路径下载相应的程序安装包
2.通过解压缩功能打开压缩包。打开程序数据包后,可以看到相应的程序文件。
3.找到主程序,双击主程序打开程序,弹出功能分配清晰的界面