X-Ways WinHex Forensics v20.5 SR1 FULL x32+x64 中文绿色版
X-Ways WinHex Forensics,全球知名的计算机取证及数据恢复软件,十六进制编辑器和磁盘编辑器。知识兔这款专业十六进制编辑器,知识兔用于取证搜集、数据恢复、文件分析和编辑、底层数据处理和安全领域收集文件报告。使用它可以检查修复各种文件、硬盘及内存卡等损坏造成的数据丢失等问题,编辑修改Hex与ASCII编码,多文件搜索与替换,磁盘扇区 (支持FAT16、FAT32和NTFS)自动搜索编辑,文件比对和分析,RAM编辑工具等。
目录
X-Ways WinHex Forensics功能视频介绍
X-Ways WinHex 曾经和 UltraEdit 文本/十六进制编辑器齐名,但后来两者发展路线截然不同,UltraEdit做了全功能编辑器,而WinHex的功能更加趋于检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等。利用WinHex可看到其他程序隐藏起来的文件和数据。而且知识兔其同样是非常强大的16进制编辑器。
软件特点
- 支持 HFS, HFS+/HFSJ/HFSX, XFS, Btrfs, ReiserFS, Reiser4, UFS, UFS2, APFS, QNX
能快速获取磁盘镜像,还分享生成镜像压缩程度的选项 - 能够读写.e01 格式的证据文件
- 能创建Skeleton镜像 和Cleansed镜像 (更多信息)
- 能够拷贝相关文件至证据文件管理器文件中,如:可将相关证据文件保存至管理器中,管理并选择性的共享给不同的需求者
- 支持分区类型: 苹果格式, MBR, GPT (GUID), Windows动态卷 (MBR+GPT), LVM2 (MBR+GPT), 未分区 (软盘/大容量软盘)
- 能对Windows 2000 , XP , Vista,2003 server, 2008 server, Windows 7的本地内存或内存转储进行主内存分析,功能非常强大
- 显示文件的所有者,NTFS文件权限,对象ID/GUID 以及特殊属性
- 弥补 NTFS压缩时所造成的数据丢失和 文件雕复时的Ext2/Ext3区分配逻辑
- 内置文件预览功能,知识兔支持270种以上文件类型
- 能查看 Windows事件日志文件 (.evt, .evtx), Windows 快捷方式文件 (.lnk) , Windows 预读文件, $LogFile, $UsnJrnl, 系统还原点 change.log, Windows Task Scheduler (.job), $EFS LUS, INFO2, 系统还原点change.log.1, wtmp/utmp/btmp 登陆信息, MacOS X kcpassword, AOL-PFC, Outlook NK2 自动完成, Outlook WAB 地址簿, Internet Explorer 浏览记录 (a.k.a. RecoveryStore), Internet Explorer index.dat 历史和浏览器缓存数据库 , SQLite数据库例如Firefox 历史记录, Firefox 下载, Firefox 表单历史, Firefox 签名, Chrome cookies, Chrome历史归档, Chrome 历史, Chrome 登陆信息, Chrome 网络数据, Safari 缓存, Safari feeds, Skype 的main.db数据库(包括联系人和文件传输记录, …
- 在可用空间或虚拟文件中的闲置空间中收集Internet Explorer历史记录和浏览器缓存 index.dat
能从各种类型的文件中提取元数据和内部生成的时间戳,例如: MS Office, OpenOffice, StarOffice, HTML, MDI, PDF, RTF, WRI, AOL PFC, ASF, WMV, WMA, MOV, AVI, WAV, MP4, 3GP, M4V, M4A, JPEG, BMP, THM, TIFF, GIF, PNG, GZ, ZIP, PF, IE cookies, DMP memory dumps, hiberfil.sys, PNF, SHD & SPL printer spool, tracking.log, .mdb MS Access database, manifest.mbdx/.mbdb iPhone 备份, … - 把源文件链接到外部文件,例如,原文件的翻译版、解密版或更改后的版本
- 能够分析检查抽取出的电子邮件数据,知识兔支持Outlook (PST/OST)注, Exchange EDB, Outlook Express (DBX), AOL PFC, Mozilla (包括 Thunderbird), generic mailbox (mbox, Unix), MSG, EML
- 生成一个功能强大的事件列表,生成该列表的时间戳来自:所有支持的文件系统,操作系统(包括事件日志,注册表,回收站等),文件内容(例如,邮件头,exif时间戳,GPS时间戳,最后打印时间;浏览器数据库,skype 聊天记录,通话记录,文件传输记录,创建的账户信息……)
- 在分析中引入时间的纬度,按照时间顺序展示事件发展延伸的整个过程。在时间线中,事件以图形显示,可方便地查看某活动在哪个时间段活跃,哪个时间段不活跃。只需知识兔点击鼠标即可快速过滤某个时间段的事件
- 在扇区视图模式下,可同步显示对应扇区的文件和目录
强大的动态过滤功能,能以文件类型、哈希库、时间、文件大小、注释、报告表等方式组合进行文件过滤
通过递归浏览功能,同时显示所有目录下的文件和删除数据
能从硬盘或者硬盘镜像中复制文件,内容可包含相应文件的完整路径,还可包含或排除文件闲置区域的数据,或将文件闲置区域的数据单独导出或全部导出。 - 自动识别加密的MS Office 和PDF文件
能从其他任何类型的文件中提取几乎任何一种嵌入式的文件(包括图片), 从 JPEGs和thumbcaches中提取缩略图,从跳转列表中提取 .lnk 快捷方式 , 从Windows.edb中提取各种数据,从SQLite中提取浏览器缓存、 PLists和表单记录, 从 OLE2 和 PDF 文档中提取各种数据, …
本版特性
- – 解锁专家版,集成注册信息,知识兔可以使用所有专业功能
- – 更新翻译中文语言,如:“文件类型恢复”的类型标题
- – 32位/64位自适应,删除多国语言, 帮助文档, 安装程序
- – 预设默认配置: 启动中文,选项临时路径通用%temp%
- – 7zSFX打包单文件,知识兔支持传递参数(即拖拽文件打开)
- – 多开单文件时支持创建互斥,避免重复解压或误删除
安装说明
- 知识兔双击setup选择英文进行进行安装
- 安装完毕后,知识兔打开帮助-切换中文即可
X-Ways WinHex 个版本区别
版本更新
X-Ways WinHex Forensics v20.5 SR1
- X-Ways Forensics 工具菜单中的新命令“捕获进程”允许连续获取实时系统上正在运行的进程的内存中的所有数据(即按进程分配的顺序排列的页面)。进程的创建时间可以看作是内存转储的创建时间戳。标记为包含可执行代码(PAGE_EXECUTE* 样式)的页面是可选的,如果知识兔您只对关键字搜索或雕刻而不是恶意软件分析感兴趣,则如果知识兔省略将适当地减少数据量。知识兔可以通过发现嵌入数据来执行内存转储(显示为“mem”类型的文件)中的雕刻,这是卷快照细化的功能之一。
- “捕获过程”的输出文件夹默认是案例的子目录,或者 – 如果知识兔没有案例处于活动状态 – 图像目录的子目录。一旦输出完成和/或作为目录添加到活动案例中,它可以在 Windows 文件资源管理器中自动探索。
- * 将 Windows 11 识别为一个平台,并确认可以在 Windows 11 和 Windows 10 上运行。
- * 支持 Windows 11 的新样式的重解析点文本。
- * 将 X-Tensions 应用于所选目录中的文件现在是可选的。(如果知识兔特定的 X-Tension 仅在应用于目录时有用。)
下载仅供下载体验和测试学习,不得商用和正当使用。
