编辑点评:非常好用的十六进制编辑器
功能很强大的一款可以在Windows下执行的十六进制编辑软件,Winhex还有很强的分区管理和文件管理的功能,可以自主的分析,数据恢复功能,对硬盘进行不同方式不同程度的备份等操作,知识兔站分享的是绿色便捷版,打开即用,是中文。
20.5更新
* X-Ways Forensics 工具菜单中的新命令“捕获进程”允许连续获取实时系统上正在运行的进程的内存中的所有数据(即按进程分配的顺序排列的页面)。进程的创建时间可以看作是内存转储的创建时间戳。标记为包含可执行代码(PAGE_EXECUTE* 样式)的页面是可选的,如果您只对关键字搜索或雕刻而不是恶意软件分析感兴趣,则如果省略将适当地减少数据量。可以通过发现嵌入数据来执行内存转储(显示为“mem”类型的文件)中的雕刻,这是卷快照细化的功能之一。
* 此命令还可以生成所有顶级窗口的制表符分隔列表,其中包含其标题和相应的进程以及(逗号分隔)其子窗口的标题。一些顶级窗口的屏幕截图会自动获取并输出。如果在没有管理员权限的情况下使用此功能,则仅涵盖当前用户的进程,否则将涵盖所有进程。
* “捕获过程”的输出文件夹默认是案例的子目录,或者 - 如果没有案例处于活动状态 - 图像目录的子目录。一旦输出完成和/或作为目录添加到活动案例中,它可以在 Windows 文件资源管理器中自动探索。
* 如果您在其中键入文本的应用程序(例如电子邮件客户端)突然冻结并且您想恢复您所写的内容,“捕获进程”转储的内存在您自己的系统上也很有用。
* 将 Windows 11 识别为一个平台,并确认可以在 Windows 11 和 Windows 10 上运行。
* 支持 Windows 11 的新样式的重解析点文本。
* 将 X-Tensions 应用于所选目录中的文件现在是可选的。(如果特定的 X-Tension 仅在应用于目录时有用。)
* 高级排序规则现在也应用于哈希集列。
* 改进了 PNG 截图识别。特别是,支持主要用于 Android 屏幕截图的新 Exif 格式。这允许验证此类 Android 屏幕截图是否为原创。
* 进一步修改了生成设备标识(尤其是智能手机,尤其是所有三星智能手机),包含约 34,000 个定义和两个新的 iOS 版本标识。
*几个小的改进。
20.4更新
添加了对当前汽车娱乐系统中常见的 QNX 文件系统的支持。X-Ways Forensics,如果分享了从这样的系统中提取的图像,现在可以解析文件系统结构,包括时间戳和 UNIX 权限,正如其他文件系统所知。还显示了代表关键文件系统结构的单个虚拟文件,以及专家 | 技术细节报告也将显示文件系统的基本原理。
现在支持使用快照的 Btrfs 卷。
现在 Btrfs 中的每个卷最多支持 127 个子卷(包括快照),而之前是 31 个子卷。与其他子卷(都显示在主卷的第一级)不同,快照显示在与快照创建日期对应的 .snapshots 子目录中。
对于 Btrfs 的所有子卷(包括快照),技术细节报告确定了它们各自的官方父(子)卷,就像以前一样。
现在可以理解名为“AddDir”的新命令行命令。后面跟着一个冒号,然后您指定要添加到案例中的目录,例如 AddDir:X:\。如果冒号后的字符为星号,则所有可用驱动器号的根目录都将添加到大小写中:AddDir:*。但是,网络驱动器是可选的,因为它们可能过大且探索缓慢。添加网络驱动器取决于选项 | 中的新选项 卷快照。如果您从具有驱动器号的卷运行 X-Ways Forensics,则该驱动器号将被忽略,假设您这样做是为了对实时系统进行分类并从您自己的可移动设备运行 X-Ways Forensics。
现在可以理解名为“AddDrive”的新命令行命令。后面跟着一个冒号,然后您指定要添加到大小写的驱动器号,大写,例如 AddDir:C。与通过操作系统访问和探索的目录不同,驱动器号需要扇区级访问权限(因此需要管理员权限),如果支持,任何现有文件系统都将由 X-Ways Forensics 本身解析。如果冒号后的字符是星号,则系统中所有可用的驱动器号都将添加到大小写中:AddDrive:*。但是,网络驱动器是可选的,因为它们可能过大且探索速度缓慢,并且无法被具有扇区级访问权限的 X-Ways Forensics 读取。添加网络驱动器取决于选项 | 中的新选项 卷快照。如果您从具有驱动器号的卷运行 X-Ways Forensics,则该驱动器号将被忽略,假设您这样做是为了对实时系统进行分类并从您自己的可移动设备运行 X-Ways Forensics。如果您在没有管理员权限的情况下运行软件时指定 AddDrive:命令,则将运行 AddDir:命令。
如果指定的 .xfc 文件已存在,则命令行命令“NewCase”后跟分号而不是冒号会生成唯一的文件名。使用冒号,现有案例将被删除和覆盖(没有提示或怜悯)。
“NewCase”命令现在支持相对大小写路径以及对环境变量的引用。
可以在对话窗口而不是弹出菜单中选择多个文件类型类别进行过滤,而不仅仅是一个类别。
计算在操作系统目录列表中找到的文件中的数据总量现在是可选的(参见选项 | 卷快照)。将原始数据量与重新打开证据对象时检测到的新数据量之间的任何差异带给用户'
现在可以使用更易于使用和简化的对话窗口版本来创建报告表关联,减少了可能会使新用户感到困惑的设置,这是 X-Ways Investigator 中的新默认设置,并且可选择在 X-Ways Investigator 中使用Ways 取证和 X-Ways 调查员。例如,在由应用程序创建的简化版报告表中,不会列出某些内容,由应用程序创建以让用户知道某些内容,并且可以在不使用键盘快捷键的情况下专门从选定文件中删除报告表关联。
在拍摄卷快照时解析符号链接(取决于文件系统)现在是可选的,参见。选项 | 卷快照。
原始子模式现在可用于文件模式下的 WofCompressed 文件,以查看带有 slack 的完整压缩数据。List Clusters 命令现在会列出此类文件的所有集群,包括 slack。WofCompressed 数据的松弛区域也在分区/音量模式下突出显示。
现在有一个用于逻辑搜索的专用复选框,以控制是否针对 NTFS 压缩的某些松弛区域。它没有标签,但有一个工具提示。如果完全检查,则在普通 NTFS 压缩文件的每个压缩单元末尾的未定义松弛区域将被原始搜索(原样,未解压),就像在以前的版本中一样。如果该复选框至少被选中一半,则 WofCompressed 文件的定义明确的 slack 将成为目标(原始搜索,未解压),这是 v20.4 的新功能。
当文件中的文本被解码以用于同时搜索或索引并保存在卷快照中以备将来重用时,并且电子表格中数字和日期的特殊选项当时未处于活动状态,稍后您再次运行搜索*使用*特殊电子表格选项,那么如果搜索原始解码的文本,您可能无法从中受益。这就是为什么在这种情况下,如果卷快照的解码文本已经加载,您现在会收到警告,或者在加载时将完全丢弃。
几个小的改进。
至少对 v20.3 SR-2 进行了一些修复。
破解说明
反汇编处理,解锁专家版,集成注册信息,专业工具可用聽
补充翻译了简体中文语言,删除多国语言文件及帮助文档聽
预设配置,默认启动简体中文,重置选项临时路径聽
7zSFX手工打包,支持传递参数,可拖拽打开文件聽
单文件多开时可以创建互斥,避免重复解压和误删
软件亮点
X-Ways WinHex,全球知名的计算机取证及数据恢复软件,十六进制编辑器和磁盘编辑器。
这款专业十六进制编辑器,用于取证搜集、数据恢复、文件分析和编辑、底层数据处理和安全领域收集文件报告。
使用它可以检查修复各种文件、硬盘及内存卡等损坏造成的数据丢失等问题,编辑修改Hex与ASCII编码,多文件搜索与替换,磁盘扇区 (支持FAT16、FAT32和NTFS)自动搜索编辑,文件比对和分析,RAM编辑工具等。
winhex使用教程
1 打开磁盘
菜单:工具-打开磁盘;
选择要打开的磁盘;
2 界面
上方是文件夹和文件情况;下边是打开磁盘的16进制数值。
3 找下MBR的结束标志
按前文所述,MBR占1个扇区,512字节,结束标志是55AA。可从Winhex直接打开计算器,10进制的512转换为16进制是200;
找到偏移00000200,例如以下图,每一个扇区结束有一个横线标志;偏移从00000000開始,那么第二个扇区的起始偏移是00000200;看下下图,Offset列值为000001F0所相应行的最后2个字节。为55 AA,正是MBR的结束标志。这样就找到了MBR所在区域;
4 查看分区表
分区表位于结束标志之前的64个字节;每行16字节,4*16=64;那么第一扇区倒数第五行,倒数的第2个字节,就是分区表的起始;例如以下图。其值为0D;
到此就出现故障了;
按网上资料,分区表第一字节是引导标志。若值为80H表示活动分区。若值第1字节 为00H表示非活动分区。那么我的0D是表示什么?
第五字节是分区类型;按网上资料,
00H——表示该分区未用
06H——FAT16基本分区
0BH——FAT32基本分区
05H——扩展分区
07H——NTFS分区
0FH——(LBA模式)扩展分区
83H—— Linux分区
数到第五个字节,我的为什么是4F?
刚才打开的C盘,再打开B盘。是一样的。
到此就搞不下去。下次再说吧。
例如以下图的箭头button。能够输入偏移值,进行跳转;
功能介绍
1、磁盘克隆和镜像功能,进行完整数据获取
2、可分析 RAW/dd/ISO/VHD/VHDX/VDI/VMDK 格式原始数据镜像文件中的完整目录结构,支持分段保存的镜像文件
3、可读取磁盘、RAIDs以及超过2TB大的镜像文件(超过 232 个扇区) 扇区最大为8KB
4、内置解析磁盘阵列JBOD、RAID 0、RAID 5、RAID 5EE, RAID 6, Linux 软件磁盘阵列、windows动态磁盘以及LVM2逻辑卷管理器。
5、自动识别丢失的/已删除的分区
6、支持 FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3?, CDFS/ISO9660/Joliet, UDF 文件系统
7、支持扇区叠加分析, 例如,即使在数据损坏的情况下,也能通过更正的分区表或文件系统数据结构对文件系统进行完整解析,而不改变原始磁盘或镜像
8、察看并完整获取内存转储,并能获取虚拟内存中的运行进程
9、使用多种数据恢复技术,能快速发现需要恢复的数据,并支持碎片级数据恢复
10、文件头数据库支持GRPE检索
11、能分析20种不同类型的数据
12、通过模板查看并编辑二进制数据结构
13、数据擦除功能,可彻底清除存储介质中残留数据
14、可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙以及通用文本中的信息
15、创建证据文件中的文件和目录列表
16、能够非常简单地发现并分析ADS数据(NTFS备用数据流)
17、支持多种哈希计算方法 (CRC32, MD4, ed2k, MD5, SHA-1, SHA-256, RipeMD, ...)
18、强大的物理搜索和逻辑搜索功能,可同时搜索多个关键词
19、可以在子目录中反复查看现有文件和已删除的文件
20、自动用彩色显示NTFS文件结构
21、书签和注释
22、能在符合法证要求的Windows FE环境中运行,比如,有限制的分类/查看
23、非常便携, U盘即插即用,无需安装,支持任何一个操作系统
24、能与F-Response 配合使用,分析远程计算机
25、能快速获取磁盘镜像,还分享生成镜像压缩程度的选项
26、能够读写.e01 格式的证据文件,可选择对证据文件进行 256位AES加密 (注:并非仅仅采用口令保护方式)
27、能创建Skeleton镜像 和Cleansed镜像 (更多信息)
28、能够拷贝相关文件至证据文件管理器文件中,如:可将相关证据文件保存至管理器中,管理并选择性的共享给不同的需求者
29、完整的案例管理功能
30、自动创建软件操作日志 (审计日志)
31、数据写保护功能,确保数据真实性
32、可以任意添加对网盘的远程分析功能(更多信息)
33、支持 HFS, HFS+/HFSJ/HFSX, ReiserFS, Reiser4, XFS, UFS, UFS2文件系统, [APFS]
34、能分析、过滤所有卷影副本(但不包括重复数据),找到快照属性等
35、点击鼠标即可查看文件列表。轻松浏览文件系统的数据结构,例如,文件记录,索引记录, $LogFile,卷影副本, FAT 目录项, Ext* inode等。
36、支持分区类型: 苹果格式, MBR, GPT (GUID), Windows动态卷 (MBR+GPT), LVM2 (MBR+GPT), 未分区 (软盘/大容量软盘)
37、能对Windows 2000 , XP , Vista,2003 server, 2008 server, Windows 7的本地内存或内存转储进行主内存分析,功能非常强大
38、显示文件的所有者,NTFS文件权限,对象ID/GUID 以及特殊属性
39、弥补 NTFS压缩时所造成的数据丢失和 文件雕复时的Ext2/Ext3区分配逻辑
40、前后目录和多个步骤之间可以快速切换、并可快速导航回到排序选项、过滤器激活(停止)、选择的界面
41、内置缩略图图片浏览
42、内置日历浏览
43、自动进行文件签名、特征比对
44、内置文件预览功能,支持270种以上文件类型
45、能够直接从程序中打印相同的文件类型,该程序首页包含所有元数据
46、能查看 Windows事件日志文件 (.evt, .evtx), Windows 快捷方式文件 (.lnk) , Windows 预读文件, $LogFile, $UsnJrnl, 系统还原点 change.log, Windows Task Scheduler (.job), $EFS LUS, INFO2, 系统还原点change.log.1, wtmp/utmp/btmp 登陆信息, MacOS X kcpassword, AOL-PFC, Outlook NK2 自动完成, Outlook WAB 地址簿, Internet Explorer 浏览记录 (a.k.a. RecoveryStore), Internet Explorer index.dat 历史和浏览器缓存数据库 , SQLite数据库例如Firefox 历史记录, Firefox 下载, Firefox 表单历史, Firefox 签名, Chrome cookies, Chrome历史归档, Chrome 历史, Chrome 登陆信息, Chrome 网络数据, Safari 缓存, Safari feeds, Skype 的main.db数据库(包括联系人和文件传输记录, ...
47、在可用空间或虚拟文件中的闲置空间中收集Internet Explorer历史记录和浏览器缓存 index.dat
48、能从各种类型的文件中提取元数据和内部生成的时间戳,例如: MS Office, OpenOffice, StarOffice, HTML, MDI, PDF, RTF, WRI, AOL PFC, ASF, WMV, WMA, MOV, AVI, WAV, MP4, 3GP, M4V, M4A, JPEG, BMP, THM, TIFF, GIF, PNG, GZ, ZIP, PF, IE cookies, DMP memory dumps, hiberfil.sys, PNF, SHD & SPL printer spool, tracking.log, .mdb MS Access database, manifest.mbdx/.mbdb iPhone 备份, ...
49、记录并追踪已浏览的文件
50、把源文件链接到外部文件,例如,原文件的翻译版、解密版或更改后的版本
51、能够分析检查抽取出的电子邮件数据,支持Outlook (PST/OST)注, Exchange EDB, Outlook Express (DBX), AOL PFC, Mozilla (包括 Thunderbird), generic mailbox (mbox, Unix), MSG, EML
52、生成一个功能强大的事件列表,生成该列表的时间戳来自:所有支持的文件系统,操作系统(包括事件日志,注册表,回收站等),文件内容(例如,邮件头,exif时间戳,GPS时间戳,最后打印时间;浏览器数据库,skype 聊天记录,通话记录,文件传输记录,创建的账户信息……)
53、在分析中引入时间的纬度,按照时间顺序展示事件发展延伸的整个过程。在时间线中,事件以图形显示,可方便地查看某活动在哪个时间段活跃,哪个时间段不活跃。只需点击鼠标即可快速过滤某个时间段的事件
54、拥有基于签名和专门算法的文件类型自动验证功能
55、可标记文件,并将所标记的文件添加至自定义案件报告中
56、自动生成HTML格式案件报告,可以用Word查看并编辑
57、案件报告中可关联文件注释或过滤信息
58、软件窗口左侧显示目录数结构,能够浏览并标记相关目录及子目录
59、在扇区视图模式下,可同步显示对应扇区的文件和目录
60、强大的动态过滤功能,能以文件类型、哈希库、时间、文件大小、注释、报告表等方式组合进行文件过滤
61、通过递归浏览功能,同时显示所有目录下的文件和删除数据
62、能从硬盘或者硬盘镜像中复制文件,内容可包含相应文件的完整路径,还可包含或排除文件闲置区域的数据,或将文件闲置区域的数据单独导出或全部导出。
63、自动识别加密的MS Office 和PDF文件
64、能从其他任何类型的文件中提取几乎任何一种嵌入式的文件(包括图片), 从 JPEGs和thumbcaches中提取缩略图,从跳转列表中提取 .lnk 快捷方式 , 从Windows.edb中提取各种数据,从SQLite中提取浏览器缓存、 PLists和表单记录, 从 OLE2 和 PDF 文档中提取各种数据, ...
65、肤色图片检测功能,(根据肤色比例,以图片集方式排序,加速对儿童色情图片、黑白图片的搜索)
66、检测黑白或灰度的图片,这可能是扫描到的文件或数字化存储的传真
67、能检测到可以用OCR识别的 PDF 文档
68、能通过MPlayer或Forensic Framer,根据用户自定义的时间间隔,从视频文件中提取静态图像,这样就能在必须查看不恰当或非法内容时大大减少要查看的数据
69、内置 Windows 注册表查看器(支持所有 Windows 版本),并自动生成注册表报告
70、能够以目录方式逐级浏览压缩文件中内容
71、易用的逻辑搜索功能,可在所有文件、选中文件和压缩文件、PDF, HTML, EML, ..., 等类型文件中进行搜索, 可选项有: GREP, 用户自定义的“全字匹配”。
72、强大的搜索及搜索结果预览功能,支持关键字临近的上下文预览。如:可搜索Documents and Settings目录下,最后访问时间为2004年,包含关键词A, B, D 的doc和ppt文件
73、在Unicode 和各种代码页中进行搜索和索引
74、高度灵活的索引算法,并可在索引结果中搜索固定复合词
75、AND ,fuzzy AND,NEAR +和 – 逻辑运算符组合使用,搜索结果
76、能将搜索结果导出为HTML,并高亮显示文件内容以及文件元数据
77、可检测并排除硬盘HPA区域和ATA加密硬盘保护区域,并连续标注
78、依据内部哈希库,可以快速定位特定类型文件
79、能够导入 NSRL RDS 2.x, HashKeeper 和ILook格式的哈希库
80、可创立用户专用哈希集
81、能够解压缩整个hiberfil.sys文件和单独的xpress 块
82、X-Tensions API (编程接口) ,添加您自己的功能或者现有的功能
83、无需设置并链接复杂的数据库,避免了竞争产品无法再次打开你的案件的风险
84、分析外部程序的界面,例如 PhotoDNA (for law enforcement only), 能识别已知的图片(即使图片以不同格式保存或已经改动)并把图片的类别(“CP”, “relevant”, “irrelevant”)报告给 X-Ways Forensics
85、...please see the English version of this page for a more up-to-date feature listing...
版本特色
反汇编处理,解锁专家版,集成注册信息,专业工具可用聽
补充翻译了简体中文语言,删除多国语言文件及帮助文档聽
预设配置,默认启动简体中文,重置选项临时路径聽
7zSFX手工打包,支持传递参数,可拖拽打开文件聽
单文件多开时可以创建互斥,避免重复解压和误删
更新说明
v20.3 预览版 1 中有哪些新内容?
*现在可以在 X-Ways Forensics 和 X-Ways Investigator 中使用 Tesseract 软件包的 OCR 功能。该软件包可以从知识兔的 Web 服务器下载。更新的下载说明可以从同一个地方获得。第一次运行v20.3时,如果v20.3在安装目录的子目录\Tesseract中发现Tesseract,会自动激活Tesseract。否则请转到选项 | 查看器程序以指示路径。
*OCR 可作为逻辑搜索或索引的一部分应用于合适的文件,例如文档扫描或 TIFF 格式的数字存储传真或仅包含图形内容的 PDF 文档。默认文件掩码甚至包括 *.jpg,但是,在一个案例中对每个 JPEG 文件应用 OCR 是否有点过分或必要由您决定,无论如何您可以使用各种方式完全控制搜索范围. 请注意,高分辨率照片需要花费大量时间来检查文本。JPEG 和 HEIC 格式的数码照片将根据 Exif 元数据中的说明进行旋转,以恢复正确的方向,从而有望对最初大致水平拍摄的文本进行 OCR。如果普通文本解码对于包含在两个文件掩码 (*.pdf) 中的给定文件类型已经成功,则不会额外应用 OCR。选项“为上下文预览和未来搜索存储解码的文本”还将保留从 OCR 派生的文本存储在卷快照中。
*由 OCR 派生文本中的逻辑搜索返回的搜索命中在 Descr 中被标识为这样。列并以不同颜色突出显示。描述 filter 允许您仅列出此类 OCR 搜索命中或不列出 OCR 命中。旧版本的 X-Ways Forensics 在打开同一个案例时可以看到 v20.3 中的 OCR 搜索命中,但不会知道它们是 OCR 搜索命中。
*单击选项 | 中的 ... 按钮后,您最多可以同时选择两种语言进行文本识别。查看器程序。但是,如果您同时选择中文/日语和西方语言,则需要进行权衡。这会降低对亚洲字符的识别。您可能希望选择 *only*中文/日文,以便更好地识别该语言。在这种情况下,英语(实际上是拉丁语)字母仍然可以被识别,即使没有明确选择英语,但质量会降低。只有在正确识别西方语言对您来说更重要时,才能同时选择中文/日语和西方语言。
*预览模式现在除了原始子模式之外还有一个单独的子模式,称为文本模式,其中从非图片文件中提取纯文本,就像使用解码选项进行逻辑搜索一样。该子模式还可用于更好地了解如何从各种文档类型中提取文本,特别是从电子表格中提取文本,其中存在不同的提取选项,这些选项可能在输出方面有所不同,尤其是在格式方面。
*如果文本子模式中的普通文本提取/解码没有返回任何结果或者如果预览文件是图片文件,并且如果 Tesseract 可用且处于活动状态,则将应用 OCR。这使您可以更好地了解 OCR 在搜索您正在处理的文件类型时的工作情况。您还可以尝试选择不同的语言并比较结果的质量。子模式按钮默认命名为“文本”,但会将其标签更改为“OCR”,让您知道 OCR 正在或曾经用于检索文本。对于多页 TIFF 和 PDF 文件,OCR 可能很耗时,但如有必要,用户可能会中断。如果逻辑搜索或索引之前已将 OCR 应用于文件并且结果存储在卷快照中,
*在您离开预览模式或选择不同类型的文件之前,预览模式下的原始和文本子模式都保持活动状态。如果您希望使这些子模式中的任何一个更持久,以便即使在预览不同类型的文件时它也保持活动状态,您可以在单击相应子模式按钮的同时按住 Shift 键。
*可从知识兔的 Web 服务器下载的 Tesseract 包已经集成了对以下语言的支持,按字母顺序排列:
ara:阿拉伯语
chi_sim:简体中文(仅横向书写)
chi_tra:繁体中文(仅横向书写)
deu:德语
eng:英语
fra:法语
heb:希伯来语
it:意大利语
jpn:日语(仅横写)
kor:韩语(仅横向书写)
nld:荷兰语
pol:波兰语
rus:俄罗斯
spa:西班牙语
swe:瑞典语
tur:土耳其语
*支持的文件类型通常如下:PDF、PostScript (PS)、TIFF、JPEG、HEIC、PNG、GIF、BMP、WEBP、AutoCAD DXF、Photoshop PSP 和也许更多。
*能够使用描述。过滤器以专注于未对齐的 UTF-16 文本中的搜索命中。
*能够在替代电子邮件预览中突出显示搜索结果。
*在主窗口中定义的循环 Tab 键顺序也在搜索命中列表模式下。
*一些小的改进。
*与 v20.2 SR-1 相同的修复级别。
下载体验