功能
1、硬盘, 软盘, CD-ROM 和 DVD, ZIP, Smart Media, Compact Flash, 等磁盘编辑器...2、支持 FAT, NTFS, Ext2/3, ReiserFS, Reiser4, UFS, CDFS, UDF 文件系统
3、支持对磁盘阵列 RAID 系统和动态磁盘的重组、分析和数据恢复
4、多种数据恢复技术
5、可分析 RAW 格式原始数据镜像文件中的完整目录结构,支持分段保存的镜像文件
6、数据解释器, 已知 20 种数据类型
7、使用模板编辑数据结构 (例如: 修复分区表/引导扇区)
8、连接和分割、以奇数偶数字节或字的方式合并、分解文件
9、分析和比较文件
10、搜索和替换功能尤其灵活
11、磁盘克隆 (可在 DOS 环境下使用 X-Ways Replica)
12、驱动器镜像和备份 (可选压缩或分割成 650 MB 的档案)
13、程序接口 (API) 和脚本
14、256 位 AES 加密, 校验和, CRC32, 哈希算法 (MD5, SHA-1, ...)
15、数据擦除功能,可彻底清除存储介质中残留数据
16、可导入剪贴板所有格式数据, 包括 ASCII、16 进制数据
17、可进行 2 进制、16 进制 ASCII, Intel 16 进制, 和 Motorola S 转换
18、字符集: ANSI ASCII, IBM ASCII, EBCDIC, (Unicode)
19、立即窗口切换、打印、生成随机数字
20、支持打开大于 4 GB 的文件,非常快速,容易使用。
21、广泛的联机帮助。
特色
1、分析和比较文件2、搜索和替换功能尤其灵活
3、磁盘克隆 (可在 DOS 环境下使用 X-Ways Replica)
4、驱动器镜像和备份 (可选压缩或分割成 650 MB 的档案)
5、程序接口 (API) 和脚本
6、256 位 AES 加密, 校验和, CRC32, 哈希算法 (MD5, SHA-1, ...)
7、数据擦除功能,可彻底清除存储介质中残留数据
8、可导入剪贴板所有格式数据, 包括 ASCII、16 进制数据
9、可进行 2 进制、16 进制 ASCII, Intel 16 进制, 和 Motorola S 转换
10、字符集: ANSI ASCII, IBM ASCII, EBCDIC, (Unicode)
11、立即窗口切换、打印、生成随机数字
使用方法
1、属性:允许您编辑的大小、时间的文件或在自己的Windows系统目录和属性,只有在WinHex。可变属性是:(存档),s(系统),H(隐藏),R(只读),X(不被索引),T(临时)。在任何领域,进入新的值后(大小、时间戳或属性),只需按下回车键的应用。单击带有省略号的按钮选择一个新文件,或直接将路径和名称输入到该按钮旁边的编辑框中,然后按回车键。后者也将为目录工作。2、开放目录:打开一个窗口,代表自己计算机上的目录,可以让你看到所有的文件和子目录。
3、空剪贴板:此命令用于释放剪贴板使用的内存。
4、删除:从文件中删除当前块。后面的数据块被拉到前块开始。剪贴板不受此命令的影响。如果块在所有打开的文件(即它开始和结束在相同的偏移量)相同定义,这个命令甚至可以应用到所有打开的文件在同一时间。
5、继续全局搜索:此命令用于在下一个文件中继续全局搜索操作(即应用于所有打开的文件的搜索操作)。
6、继续搜索:允许在当前位置继续当前文件中的搜索操作。
7、该软件和X-Ways取证保存你偏跳的历史在文件或磁盘,允许回到这链以后。法医许可证只有:与后退和前进,您还可以方便地返回到某些目录浏览器设置。考虑到:探索路径,递归或非递归,排序标准,开/关状态的所有过滤器,设置一些过滤器,一些目录浏览器选项。返回和转发命令还允许在窗口之间切换时激活先前活动的数据窗口。
8、刷新视图:Redraws当前编辑窗口中的内容。如果当前文件被外部程序更新,WinHex分享驳回WinHex制造的任何变化,从零开始重新加载文件。
9、同时添加目录浏览器如果目录浏览器拥有输入焦点。例如,当标签项的筛选器处于活动状态时,您可以移除某些列出的文件的标记标记,如果您希望更新目录浏览器中的列表并清除那些不再被标记的文件。
10、运行在Windows的计算器计算器:“calc.exe”。模式切换到科学是高度推荐。
十六进制转换为十六进制数:使你转换成十进制数和反之亦然。简单型的数,然后按回车键。
11、可信下载:解决安全问题。当从一个硬盘驱动器的非机密材料分类未分类的媒体,你需要确定它会在任何群集或部门的“悬置”貌似复制随着实际文件没有多余的信息,因为这松弛的空间可能仍然包含机密材料的时候从它被分配到一个不同的文件。此命令以当前大小复制文件,而没有字节。它不复制整个扇区或集群,作为常规的复制命令做。同一文件夹中的多个文件可以同时复制。
使用说明
位置管理:1、位置管理器维护文件或磁盘偏移的列表和相应的描述,也称为注释。它也用于搜索命中时不工作的情况下,但远不如强大的搜索命中列表。从一个条目导航到下一个是容易的,如果你按Ctrl +左和Ctrl +右。您可以输入新的位置,编辑或删除现有的条目。
2、如果文件中的特殊偏移对您很重要,您可以将其添加到位置管理器中。这使得它更容易再次找到它后,你不必记住它。描述可能多达8192个字符大小。
3、一个适当的描述实例可以是“数据块从这里开始!”由位置管理器维护的所有位置可以在编辑器窗口中以指定的唯一颜色高亮显示,当鼠标光标移到它们上面时,它们的描述将显示在黄色工具提示窗口中。您也可以添加或编辑位置的编辑窗口的上下文菜单或单击编辑窗口中鼠标按钮。
4、单击鼠标右键以查看位置管理器中的上下文菜单。上下文菜单分享附加命令。您可以删除,加载或保存位置,甚至导出列表为HTML。如果在一般位置经理职位列表的改变,它被保存在文件winhex.pos时退出WinHex,所以,他们仍然可以在下一次会议。只有搜索点击没有永久保存,除非他们已通过上下文菜单编辑。
5、在成像过程中,计算机可以选择要么关闭或(如果你的系统支持)冬眠,以节省电力。如果你选择冬眠,冬眠和Windows信号失败,X-Ways取证反而会尝试关闭系统。
6、有一个选项,添加新创建的图像的情况下,并开始精炼自己的卷快照(S)自动没有进一步的用户交互,如果源磁盘尚未添加到该案件,如果一个案件是开放的时候,当你开始成像。
7、使用此命令是创建磁盘映像的推荐方法。为了形象的部门任意范围,你可以选择一个行业范围为块并将其复制到文件通过编辑|复制块|成新的文件,或者使用工具|磁盘工具|克隆磁盘。后者是特别有用的部分图像的硬盘具有严重的物理缺陷(不只是普通坏扇区),甚至可以复制扇区以相反的顺序。
使用技巧
Winhex有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。1、首先要安装Winhex,安装完了就可以启动winhex了,启动后,首先出现的是启动中心对话框。
这里知识兔要对磁盘进行操作,就选择“打开磁盘”,出现“编辑磁盘”对话框:
(1)在这个对话框里,知识兔可以选择对单个分区打开,也可以对整个硬盘打开,HD0是我现在正用的西部数据40G系统盘,HD1是知识兔要分析的硬盘,迈拓2G。这里知识兔就选择打开HD1整个硬盘,再点确定.然后知识兔就看到了Winhex的整个工作界面。
(2)最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘的第一个扇区的内容,以十六进制进行显示,并在右边显示相应的ASCII码,右边是详细资源面板,分为五个部分:状态、容量、当前位置、窗口情况和剪贴板情况。这些情况对把握整个硬盘的情况非常有帮助。另外,在其上单击鼠标右键,可以将详细资源面板与窗口对换位置,或关闭资源面板。(如果关闭了资源面板可以通过“察看”菜单——“显示”命令——“详细资源面板”来打开)。
(3)最下面一栏是非常有用的辅助信息,如当前扇区/总扇区数目等。
2、向下拉拉滚动条,可以看到一个灰色的横杠,每到一个横杠为一个扇区,一个扇区共512字节,每两个数字为一个字节,比如00。
3、下面知识兔来分析一下MBR,因为前面知识兔说过,前446个字节为引导代码,对知识兔来说没有意义,这里知识兔只分析分区表中的64个字节。
4、分区表64个字节,一共可以描述4个分区表项,每一个分区表项可以描述一个主分区或一个扩展分区(比如上面的分区表,第一个分区表项描述主分区C盘,第二个分区表项描述扩展分区,第三第四个分区表项填零未用)
每一个分区表项各占16个字节,各字节含义如下:(H表示16进制)
字节位置 内容及含义
第1字节 引导标志。若值为80H表示活动分区;若值为00H表示非活动分区。
第2、3、4字节 本分区的起始磁头号、扇区号、柱面号
第5字节 分区类型符:
00H——表示该分区未用
06H——FAT16基本分区
0BH——FAT32基本分区
05H——扩展分区
07H——NTFS分区
0FH——(LBA模式)扩展分区
83H—— Linux分区
第6、7、8字节 本分区的结束磁头号、扇区号、柱面号
第9、10、11、12字节 本分区之前已用了的扇区数
第13、14、15、16字节 本分区的总扇区数
此硬盘的第一分区表(即MBR)分析如下:
第一个分区表项(C盘)
第1字节80:表示此分区为活动分区;
第5字节0B:表示分区类型为Fat32;
温馨提示
其设置中文的方法:点击菜单栏最后的“help”-“setup”-“Chinese,please!”
下载体验