WinHex计算机取证数据恢复工具V20.6-SR-5绿色破解纯净便携版

也想出现在这里？点击联系我~

WinHex计算机取证数据恢复工具V20.6-SR-5绿色破解纯净便携版！X-Ways WinHex是一款全球知名的计算机取证及数据恢复软件，十六进制编辑器和磁盘编辑器。这款专业十六进制编辑器，用于取证搜集、数据恢复、文件分析和编辑、底层数据处理和安全领域收集文件报告。使用它可以检查修复各种文件、硬盘及内存卡等损坏造成的数据丢失等问题，编辑修改Hex与ASCII编码，多文件搜索与替换，磁盘扇区 (支持FAT16、FAT32和NTFS）自动搜索编辑，文件比对和分析，RAM编辑工具等。

WinHex软件介绍

X-Ways WinHex是一款专业性极强的数据恢复软件。在X-Ways WinHex最新版中，利用了十六进制的方法，对磁盘进行编辑，在电脑取证、数据处理、数据恢复、it安全领域都十分的有用。X-Ways WinHex免费版在日常生活中，用户可以在系统的磁盘与数码相机中对文件与删除的数据进行恢复，进行自动修复更重文件，还可以查看其他软件搜隐藏的文件与数据，实用性极强。

WinHex软件功能

• 1、硬盘，软盘，CD-ROM和DVD，ZIP，智能媒体，紧凑型闪存等的磁盘编辑器…
• 2、对于FAT12 / 16/32，exFAT的，NTFS和Ext2 / 3/4，本机支持Next3 ? ，CDFS，UDF
• 3、RAID系统和动态磁盘的内置解释
• 4、各种数据恢复技术
• 5、RAM编辑器，提供对物理RAM和其他进程的虚拟内存的访问
• 6、数据解释器，了解20种数据类型
• 7、使用模板编辑数据结构 （例如，修复分区表/引导扇区）
• 8、串联和分割文件，统一和分割奇数和偶数字节/字
• 9、分析和比较文件
• 10、特别灵活的搜索和替换功能
• 11、磁盘克隆 （在DOS下使用X-Ways副本）
• 12、驱动器映像和备份（可选压缩或拆分为650 MB存档）
• 13、编程接口（API）和脚本
• 14、256位AES加密，校验和，CRC32，哈希（MD5，SHA-1等）
• 15、安全擦除（擦除）机密文件，清理硬盘 以保护您的隐私
• 16、导入所有剪贴板格式，包括 ASCII十六进制值
• 17、在二进制，十六进制ASCII，英特尔十六进制和摩托罗拉S之间转换
• 18、字符集：ANSI ASCII，IBM ASCII，EBCDIC，（Unicode）
• 19、即时窗口切换。印刷。随机数生成器。
• 20、支持任何大小的文件。非常快。易于使用。广泛的程序帮助。

WinHex软件特色

• 1、磁盘克隆和镜像功能，进行完整数据获取
• 2、可分析 RAW/dd/ISO/VHD/VHDX/VDI/VMDK 格式原始数据镜像文件中的完整目录结构，支持分段保存的镜像文件
• 3、可读取磁盘、RAIDs以及超过2TB大的镜像文件(超过 232 个扇区) 扇区最大为8KB
• 4、内置解析磁盘阵列JBOD、RAID 0、RAID 5、RAID 5EE, RAID 6, Linux 软件磁盘阵列、windows动态磁盘以及LVM2逻辑卷管理器。
• 5、自动识别丢失的/已删除的分区
• 6、支持 FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3®, CDFS/ISO9660/Joliet, UDF 文件系统
• 7、支持扇区叠加分析, 例如，即使在数据损坏的情况下，也能通过更正的分区表或文件系统数据结构对文件系统进行完整解析，而不改变原始磁盘或镜像
• 8、察看并完整获取内存转储，并能获取虚拟内存中的运行进程
• 9、使用多种数据恢复技术，能快速发现需要恢复的数据，并支持碎片级数据恢复
• 10、文件头数据库支持GRPE检索
• 11、能分析20种不同类型的数据
• 12、通过模板查看并编辑二进制数据结构
• 13、数据擦除功能，可彻底清除存储介质中残留数据
• 14、可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙以及通用文本中的信息
• 15、创建证据文件中的文件和目录列表
• 16、能够非常简单地发现并分析ADS数据（NTFS备用数据流)
• 17、支持多种哈希计算方法 (CRC32, MD4, ed2k, MD5, SHA-1, SHA-256, RipeMD, …)
• 18、强大的物理搜索和逻辑搜索功能，可同时搜索多个关键词
• 19、可以在子目录中反复查看现有文件和已删除的文件
• 20、自动用彩色显示NTFS文件结构
• 21、书签和注释
• 22、能在符合法证要求的Windows FE环境中运行，比如，有限制的分类/查看
• 23、非常便携， U盘即插即用，无需安装，支持任何一个操作系统
• 24、能与F-Response 配合使用，分析远程计算机
• 25、能快速获取磁盘镜像，还提供生成镜像压缩程度的选项
• 26、能够读写.e01 格式的证据文件，可选择对证据文件进行 256位AES加密 (注：并非仅仅采用口令保护方式)
• 27、能创建Skeleton镜像 和Cleansed镜像 （更多信息）
• 28、能够拷贝相关文件至证据文件管理器文件中，如：可将相关证据文件保存至管理器中，管理并选择性的共享给不同的需求者
• 29、完整的案例管理功能
• 30、自动创建软件操作日志 (审计日志)
• 31、数据写保护功能，确保数据真实性
• 32、可以任意添加对网盘的远程分析功能（更多信息）
• 33、支持 HFS, HFS+/HFSJ/HFSX, ReiserFS, Reiser4, XFS, UFS, UFS2文件系统, [APFS]
• 34、能分析、过滤所有卷影副本（但不包括重复数据），找到快照属性等
• 35、点击鼠标即可查看文件列表。轻松浏览文件系统的数据结构，例如，文件记录，索引记录， $LogFile,卷影副本, FAT 目录项, Ext* inode等。
• 36、支持分区类型: 苹果格式， MBR, GPT (GUID), Windows动态卷 (MBR+GPT), LVM2 (MBR+GPT), 未分区 (软盘/大容量软盘)
• 37、能对Windows 2000 ， XP ， Vista，2003 server， 2008 server， Windows 7的本地内存或内存转储进行主内存分析，功能非常强大
• 38、显示文件的所有者，NTFS文件权限，对象ID/GUID 以及特殊属性
• 39、弥补 NTFS压缩时所造成的数据丢失和 文件雕复时的Ext2/Ext3区分配逻辑
• 40、前后目录和多个步骤之间可以快速切换、并可快速导航回到排序选项、过滤器激活（停止）、选择的界面
• 41、内置缩略图图片浏览
• 42、内置日历浏览
• 43、自动进行文件签名、特征比对
• 44、内置文件预览功能，支持270种以上文件类型
• 45、能够直接从程序中打印相同的文件类型，该程序首页包含所有元数据
• 46、能查看 Windows事件日志文件 (.evt, .evtx), Windows 快捷方式文件 (.lnk) , Windows 预读文件, $LogFile, $UsnJrnl, 系统还原点 change.log, Windows Task Scheduler (.job), $EFS LUS, INFO2, 系统还原点change.log.1, wtmp/utmp/btmp 登陆信息, MacOS X kcpassword, AOL-PFC, Outlook NK2 自动完成， Outlook WAB 地址簿, Internet Explorer 浏览记录 (a.k.a. RecoveryStore), Internet Explorer index.dat 历史和浏览器缓存数据库 , SQLite数据库例如Firefox 历史记录, Firefox 下载, Firefox 表单历史, Firefox 签名, Chrome cookies, Chrome历史归档, Chrome 历史, Chrome 登陆信息, Chrome 网络数据, Safari 缓存, Safari feeds, Skype 的main.db数据库（包括联系人和文件传输记录, …
• 47、在可用空间或虚拟文件中的闲置空间中收集Internet Explorer历史记录和浏览器缓存 index.dat
• 48、能从各种类型的文件中提取元数据和内部生成的时间戳，例如： MS Office, OpenOffice, StarOffice, HTML, MDI, PDF, RTF, WRI, AOL PFC, ASF, WMV, WMA, MOV, AVI, WAV, MP4, 3GP, M4V, M4A, JPEG, BMP, THM, TIFF, GIF, PNG, GZ, ZIP, PF, IE cookies, DMP memory dumps, hiberfil.sys, PNF, SHD & SPL printer spool, tracking.log, .mdb MS Access database, manifest.mbdx/.mbdb iPhone 备份, …
• 49、记录并追踪已浏览的文件
• 50、把源文件链接到外部文件，例如，原文件的翻译版、解密版或更改后的版本
• 51、能够分析检查抽取出的电子邮件数据，支持Outlook (PST/OST)注, Exchange EDB, Outlook Express (DBX), AOL PFC, Mozilla (包括 Thunderbird), generic mailbox (mbox, Unix), MSG, EML
• 52、生成一个功能强大的事件列表，生成该列表的时间戳来自：所有支持的文件系统，操作系统（包括事件日志，注册表，回收站等），文件内容（例如，邮件头，exif时间戳，GPS时间戳，最后打印时间；浏览器数据库，skype 聊天记录，通话记录，文件传输记录，创建的账户信息……）
• 53、在分析中引入时间的纬度，按照时间顺序展示事件发展延伸的整个过程。在时间线中，事件以图形显示，可方便地查看某活动在哪个时间段活跃，哪个时间段不活跃。只需点击鼠标即可快速过滤某个时间段的事件
• 54、拥有基于签名和专门算法的文件类型自动验证功能
• 55、可标记文件，并将所标记的文件添加至自定义案件报告中
• 56、自动生成HTML格式案件报告，可以用Word查看并编辑
• 57、案件报告中可关联文件注释或过滤信息
• 58、软件窗口左侧显示目录数结构，能够浏览并标记相关目录及子目录
• 59、在扇区视图模式下，可同步显示对应扇区的文件和目录
• 60、强大的动态过滤功能，能以文件类型、哈希库、时间、文件大小、注释、报告表等方式组合进行文件过滤
• 61、通过递归浏览功能，同时显示所有目录下的文件和删除数据
• 62、能从硬盘或者硬盘镜像中复制文件，内容可包含相应文件的完整路径，还可包含或排除文件闲置区域的数据，或将文件闲置区域的数据单独导出或全部导出。
• 63、自动识别加密的MS Office 和PDF文件
• 64、能从其他任何类型的文件中提取几乎任何一种嵌入式的文件（包括图片）， 从 JPEGs和thumbcaches中提取缩略图,从跳转列表中提取 .lnk 快捷方式 , 从Windows.edb中提取各种数据,从SQLite中提取浏览器缓存、 PLists和表单记录, 从 OLE2 和 PDF 文档中提取各种数据, …
• 65、肤色图片检测功能，(根据肤色比例，以图片集方式排序，加速对儿童色情图片、黑白图片的搜索)
• 66、检测黑白或灰度的图片，这可能是扫描到的文件或数字化存储的传真
• 67、能检测到可以用OCR识别的 PDF 文档
• 68、能通过MPlayer或Forensic Framer，根据用户自定义的时间间隔，从视频文件中提取静态图像，这样就能在必须查看不恰当或非法内容时大大减少要查看的数据
• 69、内置 Windows 注册表查看器(支持所有 Windows 版本)，并自动生成注册表报告
• 70、能够以目录方式逐级浏览压缩文件中内容
• 71、易用的逻辑搜索功能，可在所有文件、选中文件和压缩文件、PDF, HTML, EML, …, 等类型文件中进行搜索, 可选项有： GREP, 用户自定义的“全字匹配”。
• 72、强大的搜索及搜索结果预览功能，支持关键字临近的上下文预览。如：可搜索Documents and Settings目录下，最后访问时间为2004年，包含关键词A, B, D 的doc和ppt文件
• 73、在Unicode 和各种代码页中进行搜索和索引
• 74、高度灵活的索引算法，并可在索引结果中搜索固定复合词
• 75、AND ，fuzzy AND，NEAR +和 – 逻辑运算符组合使用，搜索结果
• 76、能将搜索结果导出为HTML，并高亮显示文件内容以及文件元数据
• 77、可检测并排除硬盘HPA区域和ATA加密硬盘保护区域，并连续标注
• 78、依据内部哈希库，可以快速定位特定类型文件
• 79、能够导入 NSRL RDS 2.x, HashKeeper 和ILook格式的哈希库
• 80、可创立用户专用哈希集
• 81、能够解压缩整个hiberfil.sys文件和单独的xpress 块
• 82、X-Tensions API (编程接口) ，添加您自己的功能或者现有的功能
• 83、无需设置并链接复杂的数据库，避免了竞争产品无法再次打开你的案件的风险
• 84、分析外部程序的界面,例如 PhotoDNA (for law enforcement only), 能识别已知的图片(即使图片以不同格式保存或已经改动)并把图片的类别(“CP”, “relevant”, “irrelevant”)报告给 X-Ways Forensics
• 85、…please see the English version of this page for a more up-to-date feature listing…

WinHex软件亮点

• 1、磁盘编辑器，文件编辑器，RAM编辑器：WinHex是高级的二进制编辑器，可用于访问计算机中的所有文件，群集，扇区，字节，半字节和位。它几乎支持无限制的文件和磁盘大小，最大可达TB级（数千吉字节）！内存使用量最少。访问速度是一流的。
• 2、FAT，NTFS，Ext2 / Ext3，ReiserFS，CDFS / ISO9660，UDF的目录浏览器：与Windows资源管理器的右侧列表相似且易于使用。该浏览器列出了现有以及已删除的文件和目录，以及所有详细信息。允许列出群集链，在磁盘编辑器中导航到文件和目录，以及从驱动器复制文件。即使由于本地文件系统支持而未安装在Windows中，也可以在映像文件和分区上使用！
• 3、DOS和Windows下的磁盘克隆/磁盘映像：WinHex使用物理或逻辑磁盘访问来生成大多数媒体类型的按扇区划分的副本，复制到其他磁盘（克隆，镜像）或映像文件。副本具有法医声音，包括所有闲置空间和所有自由空间。对于法医检查员来说非常重要，因为它可以处理副本。可以选择将图像文件压缩或拆分为独立的存档。WinHex可以静默生成日志文件，该文件将记录克隆过程中遇到的任何损坏的扇区。所有可读数据都将其放入镜像。WinHex使您可以在还原映像文件之前检查其完整性和真实性。
• 4、数据恢复：凭借其先进的磁盘编辑器，WinHex不仅提供了手动文件恢复功能。WinHex还能够自动恢复文件，甚至整个嵌套目录结构。集成了多种数据恢复机制。
• 5、分区恢复/启动记录恢复：WinHex允许您使用定制的模板编辑FAT12，FAT16，FAT32和NTFS引导扇区以及分区表。
• 6、硬盘清洁/磁盘擦拭：WinHex可以 根据需要频繁地以零字节（或实际上您喜欢的任何字节模式，甚至是随机字节）填充磁盘的每个扇区（以最大化安全性）。这有效地删除了文件，目录，病毒，专有和诊断分区等的任何痕迹，并使磁盘“经过司法鉴定”。

WinHex更新日志

• PNG 文件的相关度现在与 JPEG 文件的相关度相当，因此现在按相关性对两种类型的文件进行排序会得到更合理的结果。
• PNG 文件的压缩级别现在在详细模式的内部元数据中输出。它还影响相关性计算。条件“尾随数据”和“不完整”（也在详细信息模式下）是 PNG 文件的新条件。
• 修复了将扫描仪误检测为 PNG 文件生成设备的问题。
• 如果 Exif 元数据中的 IFD GPS 字段可用，但为空，或者它包含无效坐标，这是一种不正常的情况，与 IFD GPS 根本不存在不同，通常意味着 GPS 数据已被追溯删除. 现在反映为“GPS 格式：NaN”，其中 NaN 表示“不是数字”。
• 修复了以前未输出地理位置的罕见情况。
• JPEG 文件的详细信息模式中的摘要表现在指定了识别生成设备类型的置信度。
• 改进了 JPEG 图片的生成器签名概念。
• 用户现在可以指定识别 JPEG 和 PNG 图片生成设备所需的最低置信度百分比。
• 能够使用 Excire PhotoAI 分析 HEIC 格式的图片。
• 能够选择应使用 Excire PhotoAI 分析的图片的最小分辨率。之前的最小值是 224×224 像素。如果您只对高质量的数码照片感兴趣，则可以通过大幅增加此最小值来节省时间。如果您还对包括缩略图在内的低分辨率照片感兴趣（例如，因为您认为有时您可以找到所有有罪照片的缩略图），您可以使用较低的最小值。可接受的绝对最小值是 48×48 像素，但不建议低于 80×80，因为如果图片质量非常差，检测错误会更频繁。
• 重新设计的像素过滤器对话框窗口，以更好地理解其工作原理。
• 更好地支持一些具有透明度的PNG图片。
• 更改了为案例报告创建缩略图的方式，适用于内部图形显示库支持的文件类型。在其他文件类型中，这会影响 Photoshop PSD，它显然不能由 64 位版本的查看器组件正确渲染，而是由内部图形显示库正确渲染。
• 改进了目录浏览器工具提示的可读性，这些工具提示表示很长的文本而没有换行符，例如注释。
• 从命令行成像时能够创建图像文件的两个副本。如果需要，第二个副本的路径可以附加在第一个副本的路径之后，由正斜杠分隔。示例：“|e01|Z:\First Copy.e01/V:\Second Copy.e01|图像描述|检查者姓名”。
• 改进了具有冗余非活动目录条目的 HFS+ 文件系统的表示。
• 将 NTFS 文件记录的搜索限制在当前定义的块中的选项。（如果没有定义块，搜索将像往常一样在卷的所有扇区中进行。）
• 从文件中提取的字符数（通过文本解码或 OCR）现在显示在描述列中（如果在“描述”列的“符号”选项中选中“其他”框），并且使用过滤器，您可以要求一定的最小字符数（例如 5 或 10，最多 255），例如，避免图片中包含几个字符仅被错误地识别，即实际上不包含文本的图片。
• “Event Log Events.txt”配置文件现在接受以分号开头的行（第一列位置）来表示注释行。显然，这可以用于从解析中删除行或向特定部分添加注释。配置文件现在接受可选的第四列，可用于将纯文本注释添加到事件的描述列。
• 目录浏览器选项，在第一扇区列中显示文件数据的起始偏移量，而不是第一扇区的编号。这是更精确的信息，适用于大多数文件。在用户界面的大多数地方，列的标题将相应更改。可以选择将偏移量设为物理偏移量（从物理磁盘/映像的角度来看，如果显示在分区中），就像扇区号可以设为物理扇区号一样。该列的过滤器期望与目录浏览器中显示的数字具有相同的含义（即偏移量或扇区，逻辑或物理），并且具有相同的表示法（扇区数为十进制，偏移量为十进制或十六进制）。
• 目录浏览器上下文菜单命令“在列表中查找重复项”现在还可以根据完全相同的起始偏移量来识别重复项，而如果“第一个扇区”列填充了偏移量，则不仅仅是相同的起始扇区。
• 几个小的改进。

WinHex版本特点

• 解锁专家版，集成注册信息，可以使用所有专业功能
• 更新翻译中文语言，如:“文件类型恢复”的类型标题
• 32位/64位自适应，删除多国语言, 帮助文档, 安装程序
• 预设默认配置: 启动中文，选项临时路径通用%temp%
• 7zSFX打包单文件，支持传递参数（即拖拽文件打开）
• 多开单文件时支持创建互斥，避免重复解压或误删除

WinHex软件截图