本产品为进口设备，产品价格将根据汇率的变化进行不定期调整。

当前版本20.8

下载链接：https://download-hdw.oss-cn-beijing.aliyuncs.com/Tools/xw_forensics208.zip

产品交付形式：加密狗+说明书

磁盘编辑器、文件编辑器、RAM 编辑器

WinHex 是一种二进制编辑器，可提供对计算机内所有文件、簇、扇区、字节、半字节和位的访问。它支持几乎无限制的文件和磁盘大小，可达 TB（数千 GB）！内存使用量最小。访问速度是一流的。

FAT、NTFS、Ext2/Ext3、ReiserFS、CDFS/ISO9660、UDF的目录浏览器

与 Windows 资源管理器的右侧列表类似且易于使用。此浏览器列出了现有的以及已删除的文件和目录，以及所有详细信息。允许列出集群链，在磁盘编辑器中导航到文件和目录，以及从驱动器复制文件。由于本机文件系统支持，即使未安装在 Windows 中，也可以处理图像文件和分区！

DOS和Windows下的磁盘克隆/磁盘映像

WinHex 使用物理或逻辑磁盘访问生成大多数媒体类型的扇区副本，或者复制到其他磁盘（克隆、镜像）或图像文件。副本在法庭上是可靠的，它们包括所有空闲空间和所有可用空间。对于法医检查员来说非常重要，因为它允许处理副本。图像文件可以选择压缩或拆分成独立的档案。WinHex 可以静默生成日志文件，记录克隆过程中遇到的任何损坏扇区。所有可读数据都会进入镜像。WinHex 允许您在还原图像文件之前检查图像文件的完整性和真实性。

此外，还包括一个基于DOS的硬盘克隆和映像工具。大多数 Windows 环境倾向于在不询问的情况下访问新连接的驱动器，从而例如更改某些文件的最后访问日期。这在 DOS 下是可以避免的。需要专家或法医执照。 

数据恢复

凭借其先进的磁盘编辑器，WinHex 不仅提供手动文件恢复。WinHex 还能够自动恢复文件甚至整个嵌套目录结构。集成了多种数据恢复机制：

1. “按名称恢复文件”：只需指定一个或多个文件掩码（如 *.gif、Smith*.doc 等），剩下的就交给 WinHex。适用于 FAT12、FAT16、FAT32 和 NTFS。

2、“按类型恢复文件”：WinHex 可以恢复所有可以通过某个文件头签名识别的文件（例如JPEG 文件、MS Office 文档）。这几乎适用于所有文件系统。

3. 使用上述目录浏览器，您可以方便地、有选择地恢复列出的文件和目录。

4. FAT 和 NTFS 驱动器有一种特殊的自动恢复模式，可通过访问按钮菜单访问

分区恢复/引导记录恢复

WinHex 允许您使用定制模板编辑 FAT12、FAT16、FAT32 和 NTFS 引导扇区以及分区表。

硬盘驱动器清洁/磁盘擦除

WinHex 可以用零字节（或者实际上是您喜欢的任何字节模式，甚至是随机 字节）快速填充磁盘的每个扇区，次数不限（提高安全性）。这有效地删除了文件、目录、病毒、专有和诊断分区等的任何痕迹，并使磁盘“完全干净”。根据 DoD 5220.22-M 中概述的标准工作

WinHex 还可以安全地擦除特定文件或仅驱动器上未使用的空间。此外，您可以在克隆之前使用代表 ASCII 字符串的字节模式填充扇区，例如目标磁盘上的“坏扇区”：这将使目标磁盘的那些在克隆过程中由于不可读（物理损坏）的源扇区或较小的源驱动器而未被覆盖的部分易于识别。（或者，可以将不可读的源扇区写入目标磁盘上的零填充扇区。） 

文件松弛捕获

只要文件的大小不能被簇大小整除（实际上总是如此），就会出现松弛空间。分配给文件的最后一个簇的未使用端仍然包含其他先前存在的文件的痕迹，并且通常会揭示线索和证据。WinHex 在文件中收集空闲空间，因此您可以方便且连贯地检查它。适用于 FAT12、FAT16、FAT32 和 NTFS。工具 | 专业工具| 收集松弛空间。需要Forensic版本的授权

未使用的空间捕获

当前未分配给任何文件或目录的未使用集群也可能仍包含其他先前存在的文件的痕迹。WinHex 也可以收集文件中的可用空间，以供以后检查。适用于 FAT12、FAT16、FAT32 和 NTFS。工具 | 专业工具| 收集可用空间。需要专家或法医执照。 

分区间空间捕获

收集不属于文件中任何分区的硬盘上的所有空间，以便快速检查以找出那里是否隐藏或从先前分区中留下的内容。工具 | 专业工具| 收集分区间空间。需要专家或法医执照。  

文字捕捉

从文件、磁盘或文件中的内存范围识别和收集文本。这种过滤器可用于显着减少要处理的数据量，例如，如果法医检查员正在寻找文本形式的线索，例如电子邮件消息、文档等。目标文件可以轻松地拆分为用户定义的大小。需要专家或法医执照。

磁盘目录创建

创建一个包含现有和已删除文件和目录的表，其中包含用户可配置的信息，例如属性、所有可用的日期和时间戳、大小、簇的数量、哈希码、NTFS 备用数据流（包含隐藏数据）等。有助于系统地检查磁盘的内容。允许使用文件名掩码（例如 *.jpg）限制对特定类型文件的搜索。结果表可以导入并由数据库或 MS Excel 进一步处理。按日期和时间戳排序可以很好地了解磁盘在特定时间的用途。例如，NTFS 属性“已加密”可能会很快揭示哪些文件在取证分析中可能是最重要的文件。需要专家或法医执照。

媒体详情报告

显示有关当前活动磁盘或文件的信息，并允许您将其复制到您编写的报告中。在物理硬盘上最广泛，其中指出了每个分区的详细信息，甚至是现有分区之间未分配的间隙。

将图像文件解释为磁盘

将当前打开和活动的磁盘映像文件视为逻辑驱动器或物理磁盘。如果您希望仔细检查磁盘映像的文件系统结构、提取文件等而不将其复制回磁盘，这将非常有用。如果被解释为物理磁盘，WinHex 可以单独访问和打开包含在映像中的分区，正如从“真实”物理硬盘所知。
WinHex 甚至能够解释跨区图像文件，即由任意大小的独立段组成的图像文件。对于 WinHex 检测跨区图像文件，可能具有 abritrary 名称和非数字扩展名或扩展名“.000”。第二个段必须具有相同的基本名称，但扩展名为“.001”，第三个段为“.002”，依此类推。DOS 克隆工具 X-Ways Replica 能够对磁盘进行映像并生成此类文件段。这很有用，因为 FAT16 和 FAT32 支持的图像文件大小分别为 2 GB 或 4 GB。

数据解释器

了解所有整数类型、浮点类型、日期格式、汇编操作码等，并进行双向转换。

数据分析

找出您正在处理的二进制数据类型。

二进制搜索/文本搜索

搜索您可以想象的任何数据，以十六进制、ASCII 或 EBCDIC 指定，双向搜索，甚至是隐藏在二进制数据中的通用文本段落。WinHex 可以在每次出现时停止，也可以简单地记录结果，仅在出现提示或遇到磁盘末尾时才中止。这对于定位某些关键字以进行调查特别有用。WinHex 还可以在搜索过程中忽略读取错误，这在物理损坏的媒体上证明是有用的。在磁盘上，WinHex 在已分配空间、空闲空间和已擦除空间中进行搜索。

并行搜索

工具 | 专业工具| 同时搜索。一种并行搜索工具，可让您指定几乎无限的搜索词列表，每行一个。同时搜索搜索词，它们的出现可以存档在职位管理器中，也可以存档在制表符分隔的文本文件中，类似于磁盘目录，可以在 MS Excel 或任何数据库中进一步处理。WinHex 将保存
- 每次出现的偏移量，
- 搜索词，
-搜索的文件或磁盘的名称，以及
- 在逻辑驱动器的情况下，集群分配也是如此！（即存储在该特定偏移量处的文件的名称和路径，如果有的话）

这意味着您现在可以一次系统地在整个硬盘驱动器中搜索诸如
- 毒品
- 可卡因
-（可卡因的街头同义词＃1）
-（可卡因的街头同义词＃2）
-（可卡因的街头同义词＃3）可卡因）
-（可卡因的街头同义词#3，替代拼写）
-（经销商#1 的
名称）-（经销商#2 的
名称）-（经销商#3 的名称）
同时！这会将检查范围缩小到要关注的文件列表。如果您不希望 WinHex 存档出现的事件，您可以使用 F3 键继续搜索。需要专家或法医执照。

贝茨编号文件

贝茨对给定文件夹及其子文件夹中的所有文件进行编号，以供发现或证据使用。在文件名和扩展名之间插入前缀（最多 13 个字符）和序列号，这是律师传统上标记纸质文件以供日后准确识别和参考的方式。需要专家或法医执照。

脚本编写

使用定制的脚本，您可以自动执行调查中的常规步骤。例如，您可能想要串联搜索各种关键字，或将某些簇重复保存到其他驱动器上的文件中，或者在您不在时执行任何长时间运行或繁琐的操作。

职位经理

将记录的搜索字符串或文件或磁盘中的其他重要地址保存为书签以供以后使用。将书签集合存档为专用位置文件或将它们导出为 HTML 表格（用于 MS Excel 等）。

校验和、CRC16、CRC32、MD5、SHA-1、SHA-256、PSCHF

WinHex 可以计算任何文件、磁盘、分区或磁盘的任何部分的几种哈希值，甚至 256 位摘要，对于最可疑的那些。特别是，MD5消息摘要算法（128 位）被合并，它产生常用的数字标识符（哈希值）。已知文件的散列值可以与被查获的计算机系统上的未知文件的散列值进行比较。匹配值以统计确定性表明被占用系统上的未知文件已通过身份验证，因此不需要进一步检查。

磁盘克隆和映像

在相同类型的另一种媒体上创建一种媒体的完全副本的操作称为磁盘克隆。副本也称为镜像或物理扇区副本。磁盘映像是指以映像文件的形式创建磁盘的副本的术语。该图像文件可以存储在不同的媒体类型上，以便存档和以后恢复。法医健全的克隆和成像对于数据恢复和计算机调查目的都是必不可少的。 

无风险工作

在数据恢复场景中，必须知道直接处理损坏的媒体可能并且经常会导致物理损坏和/或逻辑损坏的复合。使用 WinHex 克隆或映像磁盘使您能够在镜像上积极工作，而不会使事情变得更糟。

调查分析/发现

在计算机取证领域，除了磁盘克隆/映像之外别无选择。调查员必须 在开始分析之前克隆磁盘。克隆/成像通过校验和和摘要 (MD5) 确认确保原始媒体没有变化，并且证据程序没有损坏。

磁盘跨越

映像到文件时，如果目标媒体小于映像文件，您可能更喜欢预先设置卷大小。例如，当使用 CD-R 存储图像时，您可以指定 650 MB 的卷大小。这允许您使用常规刻录软件刻录由 WinHex 创建的单个卷。

恢复

您可以重新创建整个图像或该图像的任何部分。例如，如果您只想恢复驱动器的引导扇区，您可以只提取该扇区，而无需等待整个映像恢复。

升级服务

X-ways forensic综合分析软件 升级/年    

售后服务

提供用户操作手册和快速操作指南。本商品报价不含安装、培训费。

适用范围

主要针对公安、检察院、企业法务等多类型用户。

运输标准

本商品可提供标准空运服务。