- 软件介绍
- 更新日志
- 软件信息
- 软件截图
- 相关下载
- 下载地址
winhex完整版是一款十六进制编辑器与磁盘取证工具,集低级数据查看、修复、恢复、分析与安全擦除于一体,可在硬盘、U 盘、内存、光盘、RAID、虚拟机映像等任意层级进行字节级操作,是IT运维、司法取证、数据恢复工程师等人员的常备利器。
winhex完整版特色
1、底层访问
直接绕过操作系统缓存,对磁盘、分区、文件、物理内存进行原始字节读写。
2、多方案解析
内置20余种文件系统与30余种分区表模板,结构字段自动标注,无需手动计算偏移。
3、数据恢复
通过残留目录项、文件签名与智能雕刻三种模式叠加扫描,恢复率远高于常规软件。
4、司法取证
提供只读锁、哈希校验、证据文件镜像、操作日志、时间线、过滤掩码与案例报告导出。
winhex完整版亮点
1、瞬间快照
可对任意磁盘或分区生成带压缩的原始镜像,镜像支持分卷、加密与增量追加,后续分析无需再接触原始证据。
2、内存透视
直接读取物理内存、虚拟内存转储文件与hiberfil.sys,可提取未保存文档、BitLocker 密钥、聊天记录等易失数据。
3、可视化对比
提供字节级、结构级与目录级三重视图对比,差异自动标红,一键生成 patch 脚本。
4、多语言即时切换
界面内置14 种语言,一键切换无需重启,帮助文档与错误提示同步切换,降低团队协作门槛。
下载安装
1、 在本站下载winhex完整版安装包。
2、 下载完成后解压安装包,找到并双击.exe安装文件。
3、软件无需安装过程,打开即可使用。
功能介绍
1、硬盘, 软盘, CD-ROM 和 DVD, ZIP, Smart Media, Compact Flash, 等磁盘编辑器...
2、支持 FAT, NTFS, Ext2/3, ReiserFS, Reiser4, UFS, CDFS, UDF 文件系统;
3、支持对磁盘阵列 RAID 系统和动态磁盘的重组、分析和数据恢复;
4、多种数据恢复技术;
5、可分析 RAW 格式原始数据镜像文件中的完整目录结构,支持分段保存的镜像文件;
6、数据解释器, 已知 20 种数据类型;
7、使用模板编辑数据结构 (例如: 修复分区表/引导扇区);
8、连接和分割、以奇数偶数字节或字的方式合并、分解文件;
9、分析和比较文件;
10、搜索和替换功能尤其灵活;
11、磁盘克隆 (可在 DOS 环境下使用 X-Ways Replica);
12、驱动器镜像和备份 (可选压缩或分割成 650 MB 的档案);
13、程序接口 (API) 和脚本;
14、256 位 AES 加密, 校验和, CRC32, 哈希算法 (MD5, SHA-1, ...);
15、数据擦除功能,可彻底清除存储介质中残留数据;
16、可导入剪贴板所有格式数据, 包括 ASCII、16 进制数据;
17、可进行 2 进制、16 进制 ASCII, Intel 16 进制, 和 Motorola S 转换;
18、字符集: ANSI ASCII, IBM ASCII, EBCDIC, (Unicode);
19、立即窗口切换、打印、生成随机数字;
20、支持打开大于 4 GB 的文件,非常快速,容易使用;
21、广泛的联机帮助。
更新日志
查看历史日志>>v21.6 SR-3
* 索引引擎略有修改。
* 如果正确的启动密钥可用,X-Ways Forensics现在可以解密受启动密钥保护的BitLocker卷。启动密钥存储在.BEK文件中,而这些文件通常存储在可移动USB存储设备上。每当X-Ways Forensics在获取卷快照时遇到任何证据对象中的.BEK文件,它都会将该.BEK文件复制到案件目录中并保留在那里。(是案件目录,而不是案件的目录。)在该目录中,每当打开BitLocker卷时,系统会自动查找.BEK文件,以查看是否有匹配的。您也可以手动将找到的.BEK文件复制到同一目录中,以便X-Ways Forensics尝试。
* 在将WinZip格式(.z01、.z02、...、.zip)的跨区/分段文件存档添加到案例中时,您无需再像文档中所述的那样确保选择第一个分段(.z01)。如果您改为添加最后一个分段(.zip),由于其众所周知的扩展名,这一操作也是直观且可行的,即所有分段都将被找到并根据需要进行内部拼接。如果最后一个分段的扩展名为.ufdr,例如在跨区的Cellebrite UFDR报告的情况下,这一操作同样适用。
* X-Ways Forensics在崩溃后重启时,不再需要依赖单线程来找出有问题的文件,将其忽略并标记为崩溃原因。这将提高性能。
* 常规过滤器(内部可与AND或OR组合)现在除了可以与逻辑AND组合外,还可以与FlexFilters(内部可与AND或OR组合)通过逻辑OR进行组合。
* 一些小的改进。
v21.4
避免了多线程卷快照优化中的一些延迟。
通过多线程加速了并行文件归档处理,特别是对于智能手机收购等超大文件归档的证据对象。
图片内容分析现在对计算出的通用相关性有更大的影响。例如,根据检测到的内容有多不寻常以及这种发现的置信度,相关性可能会增加。
图片内容分析现在应用于一些以前无法应用的外来文件。
新添加的.e01证据文件中使用的压缩算法现在显示在证据对象属性中。
在v21.3及更早版本中,当一个RVS线程处理存档中的文件时,如果其他线程想从同一存档中的其他文件读取,则必须等待,除非这些文件的内容已经在缓存中。在v21.4中,其他线程不再等待,而是继续处理卷快照中不在该存档中的其他文件。忙于该存档的线程将专门负责处理该存档中的剩余文件。如果整个证据对象是单个文件存档,则所有线程都可以同时读取该存档中的文件。
加快了对某大型GZ档案的提取。
能够解构Windows可执行文件(EXE、DLL等)和Unix/Linux可执行文件,就像它们是文件存档一样。如果您对此感兴趣,您可以在“专家”|“优化卷快照”|“包含文件存档内容”|…下用复选标记将文件类型名称(如exe、dll、elf)添加到文件类型列表中。。。默认情况下,它们现在列在“特殊兴趣”部分,该部分没有被积极使用,主要是为了让你了解如果你愿意可以处理的文件类型。
现在,不仅可以通过卷快照细化,还可以通过常规卷快照选项来实现将文件包含在卷快照中的设置,因为在将档案作为证据对象添加到案例中时,这些选项也是相关的。
几个小的改进。
软件信息
下载地址
- 本地下载通道:
- 本地下载
