WinHex怎么安装 WinHex19.7下载安装学习图文教程

软件教程　发布日期：2018-08-22　　浏览：次　网友评论

WinHex中文版是一款功能强大的十六进制代码编辑工具，使用可以帮助用户快速进行修复检查各种文件，WinHex 是一款以通用的 16 进制编辑器为核心，专门用来对付计算机取证、数据恢复、低级数据处理、以及 IT 安全性、各种日常紧急情况的高级工具：用来检查和修复各种文件、恢复删除文件、硬盘损坏、数码相机卡损坏造成的数据丢失等。该软件可用于各种应用程序，如数据检索，文件更正，低级程序处理，安全问题和程序操作，并在其中注入新代码。它可以编辑硬盘驱动器，软盘，zip文件，闪存驱动器等等。该程序自动支持各种文件和文件格式，如FAT，NTFS，EXt2 / 3，UFS，CDFS等。在这个程序中也有解释RAID盘的可能性，本次小编带来的是WinHex中文破解版，需要的朋友不要错过了！

安装破解教程

1、在本站下载并解压，双击setup.exe运行，如图所示，语言选择中文，点击...选择软件安装路径，点击ok

2、确认安装路径，点击是

3、常见桌面快捷图标，点击是

4、安装完成，运行软件即可

5、软件界面如图所示

使用帮助

2、启动
所谓的“启动中心”是一个对话窗口，可以在启动时随意显示，并且是开始工作时的简化控制面板。它允许快速打开文件，磁盘，内存模块和文件夹以及最多255个最近编辑的文档（默认情况下为16个，左侧列表）。这些可能是文件，文件夹，逻辑驱动器或物理磁盘。再次打开时，WinHex会恢复每个文档的最后一个光标位置，滚动位置和块（如果已定义），除非相应的选项被禁用。

从启动中心您还可以访问项目和案例（右侧顶部列表）。一个项目由一个或多个要编辑的文档（文件或磁盘）组成。它记住编辑位置，窗口大小和位置以及一些显示选项。通过将窗口排列保存为项目，您可以在离开它们的地方继续使用多个文档，只需单击一次即可。这对重复执行的任务特别有用。加载项目时，所有当前打开的窗口都会先自动关闭。

此外，WinHex会自动将WinHex会话结束时的窗口排列保存为一个项目，并且可以在下次启动时重新创建它。每个项目都存储在.prj文件中。它可以在“开始中心”（上下文菜单或Del/F2键）中删除或重命名。

最后同样重要的是，启动中心是管理脚本的地方。您可以使用上下文菜单检查，编辑，创建，重命名和删除脚本。要执行脚本，请双击它或单击它并单击确定按钮。
2、目录浏览器

WinHex和X-WaysForensics中可能最重要的用户界面元素是所谓的WinHex和X-WaysForensics提供的目录浏览器，类似于Windows资源管理器的右侧列表。其主要任务是显示（并与其交互）卷快照。完整的功能仅适用于法医许可证。默认情况下，目录浏览器首先列出目录，然后列出文件。压缩文件显示为蓝色，加密文件为绿色（仅限NTFS）。右键单击目录浏览器中的任何项目将弹出一个上下文菜单，其中包含用于打开文件或目录，浏览目录，在磁盘上查找文件或目录的开头，查找相应目录项（FAT）或文件记录（NTFS），在分开的窗口中列出已分配的群集等。

从一个目录导航到另一个目录时，探索带有子对象（例如带有附件的电子邮件）的文件，导航到子对象的父项，激活或取消激活过滤器，尝试不同的排序标准等，请注意，您可以使用导航菜单中的“后退”命令或工具栏中的“后退”按钮轻松返回到先前的视图。

上下文菜单

目录浏览器选项

列和过滤器

图标在程序中直接在图例中解释（仅限法证许可证）。以前存在的文件和目录在目录浏览器中用较亮的图标表示。带有蓝色问号的图标表示原始文件或目录内容可能仍然可用。WinHex知道的已删除对象不再可访问（或者因为它们的第一个集群已被重新分配，因为它未知，或者因为它们的大小为0字节）已将图标以红色划掉。FAT卷上带有箭头的图标（仅限专业人员或取证许可证）和（在改进卷快照后）NTFS卷显示已更名和移动的文件，其原始名称/位于其以前的目录中。在Reiser4上，这些文件被移动到他们以前的目录中。蓝色箭头表示文件的内容可用（尽管这些文件不是专门重命名或移动文件之前的内容）。红色箭头表示没有内容可用。

在目录浏览器的标题行中，您可以在左侧看到探索的路径（在以斜体和绿松石颜色进行递归探索的情况下）。当单击当前路径的任何组件时，它现在将直接导航到您单击其名称的那个目录（或带有子对象的文件）。在右侧，您会看到列出的文件和目录的数量（通常是现有对象+以前存在的对象+虚拟对象的单独数字）。另外，如果标记了任何标记文件，则列出标记文件的数量。显示活动过滤器的数量，旁边是蓝色过滤器符号。基于列和列独立的有源滤波器分开计数。这很有用，因为可能有基于列的过滤器对目录浏览器中当前不可见的列处于活动状态，并且独立于列的过滤器处于活动状态可能会在其他情况下显而易见，只有在检查目录浏览器选项对话框时才会显示。

目录浏览器可以按照升序或降序对文件和目录进行排序，并且仍然以较亮的箭头显示前两个排序标准。例如，如果首先单击文件名列，然后单击文件扩展名列，则具有相同扩展名的文件在内部仍将按名称排序。

为了取消定义二级和三级排序标准，请在单击列标题时按住Shift键确定主要排序标准。在内部，这将选择内部ID作为次要分类标准。这是为了确保在主要分类标准中具有相同数据的项目的顺序在同时按照其他分类标准排序后仍能很好地定义和重现。

作为主要排序标准的列也是“键入时跳转”的目标。也就是说，当目录浏览器具有焦点时，可以键入要查找的条目的第一个字符或前几个字符，以自动导航并从当前位置开始选择列表中的第一个或下一个匹配项目。例如，如果目录浏览器按类型列排序，则如果您希望在列表中找到第一个zip文件，请键入“z”。但是，如果列出的另一个文件的类型以“z”开头，则按字母顺序排在“zip”之前，例如“zac”，然后输入下一个字符（在功能超时之前忘记您拥有的“z”已经进入），在这种情况下，“我”，直到你找到你正在寻找什么或什么也没有发生（如果没有匹配的项目）。匹配发生在一个循环中。这意味着即使当前位置显示一个zip文件，也可以键入任何前面的字母以再次跳转到顶部的第一个匹配项目，例如“d”代替.docx。如果您正在查找.docx文件，但找到大量.doc文件，则需要输入docx的全部四个字符，因为只有“x”区分docx和doc。

过滤

您可以根据条件（列）激活过滤器，例如文件名，说明，文件类型类别，属性或哈希集。只要活动过滤器实际过滤掉目录浏览器中的文件或目录，就会在目录浏览器的标题行中用蓝色过滤器图标标记，并且会通知您列表中有多少项完全被省略。您也可以通过单击目录浏览器标题行右侧的“打开文件”/“保存文件”图标将过滤器和排序设置存储在单独的文件中，然后再次加载任何时候。这些文件的扩展名为“.settings”。请注意，不能保证不同版本的软件可以加载对方的设置。

只要有一个或多个过滤器处于活动状态，即实际过滤掉当前显示的目录浏览器中的项目，目录浏览器的标题行中就会有两个蓝色过滤器符号。他们指出，由于活动文件，当前视图不完整，并且它们还允许您通过单击鼠标来停用所有过滤器，以确保在不再需要过滤器时不会丢失任何文件。按住Shift键时，只需单击鼠标左键单击列标题的过滤器符号，即可单独激活或禁用基于列的过滤器。在这种情况下，各个过滤器的选项保持不变。

从父文件导航到子文件时，过滤器被赋予了一些“智能”，反之亦然，以便过滤器“知道”什么时候是关闭的好时机。

例如：

-如果您使用过滤器以递归方式集中处理所有提取的电子邮件，然后双击单个电子邮件以查看目录浏览器中的附件，则会自动禁用该过滤器，以便你实际上可以看到这些附件。只需简单地点击后退按钮即可返回到前一个探索点并恢复以前的过滤器设置和上次选择，以便您可以轻松地继续查看下一封电子邮件！

-如果您使用过滤器专注于视频或文档，然后双击视频或文档以分别查看为该视频导出的视频静止图像或该文档中的嵌入图片，则会自动禁用该过滤器，太。

-当您仅在一个图库中查看视频静像时，并使用Backspace键或“查找父对象”菜单命令导航到仍然属于的视频（例如，为了播放该视频），则任何活动过滤器将关闭，以便视频可以实际列出。只需简单地点击后退按钮，就会返回到先前的剧照概述，再次启用前一个过滤器，并恢复上一个选定的项目，以便您可以轻松地继续下一个！

-当系统地查看电子邮件附件时，如果偶尔找到相关附件，您希望查看包含的电子邮件（并将其打印或包含在报告中），然后返回附件列表，则这类似地起作用。

当找到孤立的物体时，例如已删除且原始路径无法由程序确定的文件，或者通常当程序未知原始路径时，这些对象将列在特定虚拟目录“未知路径”中。使用专家或取证许可证，根目录中有虚拟文件，可以方便地处理卷中的特殊区域：

文件系统区域：为了内部目的而由文件系统本身声明的预留扇区和/或群集。

可用空间：文件系统标记为未使用的群集。取决于卷快照选项。

闲置空间：WinHex不知道它们用于何种用途的卷中的区域，包括正在使用时由文件系统标记的簇，但其确切分配无法确定。如果文件系统失去了对它们的跟踪，即忘记了这些群集实际上可用于重新分配，则可能是这种情况。通常没有闲置空间。空闲空间的大小和第一个空闲群集的数量仅在需要时确定（例如，当您首次单击“空闲空间”文件时），这取决于群集的数量，这是一个潜在的耗时操作。

卷松弛：文件系统未使用的分区末尾的扇区，因为它们未添加到另一个群集。

间接块（Ext2，Ext3，UFS）：包含块编号的特殊块。不属于“文件系统区”。

未注释的属性群集（NTFS）：包含尚未由X-WaysForensics单独处理的非常驻属性的群集。不属于“文件系统区”。

.journal（ReiserFS）：构成固定日志区域的块。在Ext3和HFS+上，这不被视为虚拟文件，因为它由文件系统本身在专用记录中定义。
3、目录浏览器列和过滤器

大多数过滤器和许多列仅适用于更高版本的许可证，并标有例如[对于]。

名称：列出的文件或目录的名称（仅适用于取证许可证，仅适用于具有子对象的目录和文件），不同颜色选项的括号中包含卷快照中包含的文件的总数。允许基于一个或多个文件名掩码过滤，每行一个。如果您有相关文件名或关键字的列表，并希望快速了解是否存在具有此类名称的文件，则此过滤器很有用。

如何使用名称过滤器有两种不同的方法。第一种方法是将某些表达式与全名相匹配。表达式可能包含星号（通配符），如“*.jpg”。如果每个掩码位于开头和结尾，最多可以使用两个星号。您可以使用以冒号（:)开头的文件掩码排除文件。示例：名称以字母“A”开头，但在一行中不包含单词“garden”：“A*”且在另一行中包含“：*garden*”的所有文件。当使用多个正面文件掩码表达式时，它们与逻辑或，负面表达式（:)与逻辑与结合。

如果“文件名中的子字符串搜索”选项处于活动状态，则以上所有规则均不适用。而是在指定的字符或可选的GREP表达式的文件名中运行搜索。例如，只需输入“invoice”即可查找其文件名包含发票单词的文件，而不是“*invoice*”。有关GREP符号的解释，请参阅搜索选项。$在这个上下文中不起作用。

可以粘贴到名称过滤器中的文本数量已扩展到200万个字符。这并不意味着X-WaysForensics可以有效地使用具有数万个字符或更多字符的过滤器。如有疑问，请使用“与全名匹配”选项，而不是子字符串搜索，以获得更好的性能。

如果在元数据提取期间在Windows回收站或iPhone备份或某些其他文件中为文件找到原始名称，则该名称将显示在名称列中，方括号中的当前唯一名称。现在的唯一名称现在也显示在病例报告的方括号中。这两个名称都由名称过滤器定位。

名称列的标题允许通过单击鼠标快速标记或取消标记所有列出的项目。它还表明列出的项目中是否有标记或未标记的项目。

存在：显示文件是现有文件还是现有文件的子对象（基于其引用点，例如文件系统），带有复选标记或数学符号或自然语言，具体取决于符号选项。第三种状态是“虚拟”。要过滤存在状态，请使用说明过滤器。请记住，您可以使用目录浏览器选项按存在状态对文件进行分组，也可以按此列进行排序。

说明：该项目的文字说明。显示与名称列中的图标类似的属性，例如项目是文件还是目录，还是提取电子邮件或视频等等，存在/删除/虚拟/雕刻状态以及卷快照中的状态（如已标记的，已经查看过的）。该列中包含的文本可以在符号选项中自定义（通过常规选项）。Description列的设置是NotationOptions的一部分意味着您可以有两种不同的设置，一种是通常用于目录浏览器，另一种则专门用于“导出列表”命令。这可能很有用，因为在导出列表中，不像目录浏览器中的图标可以帮助您分离某些对象类型及其删除状态。

此列还允许根据所涵盖的属性进行过滤或排序，这使得说明过滤器成为最重要的过滤器之一。例如，你可以过滤掉：

•现有文件（如果您仅对以前存在的文件感兴趣（可能位于现有目录中），则很有用）

•以前存在的文件和目录。

•标记的文件和目录。

•一半标记文件和目录（包含至少一个标记文件和至少一个未标记文件）。

•无标记的文件和目录。

•标记为已查看的文件。

•未标记为已查看的文件。

•排除文件和目录（在卷快照中标记为排除）。

•不排除的文件和目录。

通过右键单击目录浏览器的标题行，可以非常快速地进入过滤器对话框。即使“说明”列不可见，此功能也可以工作。（如果您依赖图标区分不同类型的项目，则可能不需要目录浏览器中的“描述”列。）表示“描述”列过滤器的漏斗符号有四种可能的颜色：1）非活动时为灰色，通常。2）当理论上过滤器处于开启状态时，灰色具有非常非常轻的蓝色倾向，几乎无法区分灰色，但只有排除的文件会被过滤掉，但目前没有排除的文件实际上被过滤掉。3）只有被排除的文件被过滤器过滤掉时才呈蓝灰色，并且这些文件实际上被过滤掉了。4）如果“描述”过滤器处于活动状态，并且不仅仅关注排除的文件，而且会根据其他属性过滤掉文件，普通蓝色可以吸引注意力。引入了这种柔和的配色方案，因为许多用户认为排除文件被过滤掉是相当“正常”的，因为它们为了不再看到它们的目的而排除它们，所以它们可能更喜欢不会被炫目的蓝色提醒颜色。

来自视频的静止图像过滤器有一个特殊的选项，允许在静止图像之前直接列出相应的视频。这样就很容易看出哪些静止图像属于哪个视频，并且您可以对视频发表评论或将视频添加到报告表，而无需前后导航，也不需要使用稍不直观的方式将报告表关联应用到项目，你看不到（与“父文件”选项）。如果您在图库选项中禁用了辅助缩略图，则表示视频的图块可能会在图库中充当视觉分隔符，以便您可以轻松地看到下一个视频的静止图像在哪里开始。

可以使用特殊的过滤器设置，使您可以专注于创建日期晚于修改日期的文件，即哪些文件显然已被复制，从而获得新的创建日期。符号选项允许用单词“复制”来标记所有这些文件。该单词的出现可用于条件单元格着色，以便快速查看哪些文件可能是原始文件以及复制了哪些文件。请注意，搜索单词“复制”是特定于语言的（如果您与其他国家的用户共享您的条件单元格颜色设置）。

分机：文件扩展名。最后一个点后面的文件名（如果有的话）的部分，除非最后一个点是第一个字符（在Unix/Linux世界中并不罕见）。

键入[INV，FOR]：文件类型。如果没有明确检查文件的标题签名（请参阅细化音量快照），则这只是文件扩展名的重复并以灰色显示。否则，如果文件签名验证显示文件的真实性质，则会输出该类型的典型扩展名。如果扩展名与文件的实际扩展名相同，则该扩展名将显示为黑色;如果实际扩展名与文件的类型不匹配，则该扩展名将显示为蓝色。根据这一栏可以激活一个方便的过滤器。在过滤器对话框中，您可以选择单个文件类型或整个类别。您可以加载并保存您的选择。有一些按钮可以一次性扩展或折叠所有类别。如果您希望在树视图窗口具有输入焦点时通过键入字母来快速查找某种文件类型，则展开所有类别可能会很有用。

请注意，从.settings文件或案例加载文件类型过滤器的选择时，文件类型标识之间的冲突变得明显。例如，如果您最初选择了“mmf”=“MailMessage文件”（类别电子邮件），则会发现“mmf”也被选为“YamahaSMAF”（类别声音/音乐）。这是正常的，不会改变类型过滤器的功能。如果有疑问，类型过滤器还包括其他类型相同的名称，以避免任何被忽略。

类型状态[INV，FOR]：Type列的状态。最初“未验证”。在根据签名验证文件类型之后（作为精简卷快照或以预览或库模式查看文件的一部分）：如果文件非常小（小于8个字节），则状态为“不相关”。如果文件类型签名数据库不知道给定文件的扩展名和签名，则状态为“不在列表中”。如果签名与根据数据库的扩展名相匹配，则状态为“已确认”。如果在数据库中引用了扩展名，但文件中实际发现的签名未知，则状态为“未确认”。如果签名已知并且文件名没有扩展名，则状态为“新标识”。如果签名与数据库中的某种文件类型匹配，但扩展名与不同的文件类型匹配，则状态为“检测到不匹配”。过滤器可用。

此外，该列可能包含关于各种支持类型的文件的格式的一致性的提示，如“确定”或“不规则”，对于雕刻文件可能立即，对于在文件类型验证或元数据提取之后发生的其他文件。“不规则”可能意味着腐败，不完整，不一致，意外，不可视，......任何不寻常的事情。例如，在JPEG不规则的情况下，可能意味着在文件末尾没有找到页脚签名。

有关文件类型排名和组的说明，请参阅文件类型Categories.txt的说明。

类型说明[INV，FOR]：显示文件类型所属的应用程序的名称，文件扩展名所代表的内容等，如文件类型Categories.txt中所指定。如果在定义文件中多次出现相同的扩展名，则会列出其所有含义。例如，.pm可以是Perl模块，PageMaker文档或Pegasus文件或X11Pixmap文件。

类别[INV，FOR]：根据“文件类型Categories.txt”（参见下文）中的定义，与文件类型对应的文件类型类别。过滤器可用。如果多次定义了相同的文件类型/扩展名，属于不同的类别，则只会显示该文件类型的一个类别。尽管如此，类别过滤器仍然有效。类别过滤器可以使用弹出菜单激活。在该弹出式菜单中，您还可以看到有关目录浏览器中当前列出的每个类别的文件数量的统计信息（或者如果类别过滤器已关闭，则会列出）。

证据对象[INV，FOR]：文件或目录所属证据对象的名称。在递归情况根目录中，即目录浏览器显示所有证据对象的所有文件时很有用。

路径：文件或目录的路径，以反斜杠开始，基于卷的根。过滤器可用。过滤器表达式被解释为可匹配路径的任何部分的子字符串，因此不需要或不支持通配符。

完整路径[SPE，LAB，FOR]：包含文件或目录本身名称的路径。按完整路径排序可以产生方便的订单，因为即使某些父文件或目录或电子邮件具有完全相同的名称，子对象也会直接跟随其父母。过滤器可用。

父名称，子对象[INV，FOR]：两列都带有过滤器。子对象的筛选器允许您快速查找具有某个特定名称的附件的所有电子邮件。例如，父母名称过滤器允许您快速查找附加到包含特定单词的主题的电子邮件的所有附件。请注意，列名称，父名称和子对象的筛选器共享相同的设置并且是互斥的（不能同时处于活动状态，其中一个将禁用另一个）。

大小：文件的逻辑大小（即无大小的大小）或目录的物理大小。物理文件大小和有效数据长度（对于存储在NTFS文件系统中的文件）可以在“文件”模式下的“信息窗格”中看到。如果启用了递归选择统计信息，则对于取证许可证，目录大小是直接或间接包含在该目录中的所有文件的总大小，否则为该目录数据结构的大小。过滤器可用。要专门针对未知大小的文件，请使用过滤条件<=-1。

创建：文件或目录在其所在卷上创建的日期和时间。在Linux文件系统上不可用。过滤器可用。

修改：文件或目录上次修改的日期和时间。在FAT上，时间精度仅为2秒间隔。在CDFS上，唯一可用的日期和时间戳在本列中列出，尽管它不一定表示上次修改。过滤器可用。

访问：文件或目录上次读取或以其他方式访问的日期和时间。如果与创建时间戳相同，则NTFS上次访问时间戳显示为灰色，因为在大多数系统上，NTFS上次访问时间戳可能意味着由于性能原因而不维护这些时间戳，因此不是非常重要。在FAT上，只记录日期。过滤器可用。

记录已更改：上次修改文件或目录的FILE记录（在NTFS上）或inode（Linux文件系统）的日期和时间。这些是包含文件元数据的文件系统数据结构。过滤器可用。

已删除：文件或目录被删除的日期和时间。通常可用于Linux文件系统，也可能用于NTFS（在特定的全面文件系统数据结构搜索和查看/预览卷上的$UsnJrnl：$J文件（如果有的话）之后）。不要与其他取证工具可能会在NTFS卷上显示的所谓删除时间戳相混淆，因为这些文件甚至还没有从文件系统中删除。过滤器可用。

创建的内容[INV，FOR]：创建时间戳，可以从内部存储的各种文件类型的元数据中提取（参见相应的上下文菜单命令），就像创建文件的程序那样。内部时间戳通常不易挥发，并且比文件系统级别的时间戳更难于操作。它们对于佐证是有用的。过滤器可用。

用上标2指定的时间戳列包含替代时间戳[SPE，LAB，INV，FOR]。在NTFS的情况下，这些值取自0x30属性，并表示从上次重命名或移动文件或可能在发生某种回溯操作之前的有效时间戳。安装程序和Windows本身（臭名昭着的创建时间戳隧道效应，参见http://support.microsoft.com/kb/172190），当然也可能由普通应用程序以及用户使用后备操作为各种合法或较不高尚的目的。请注意，只有当这些先前有效的时间戳实际上与当前对应的时间戳不同时，才会填充这些列，并且只有与“创建的”不同时，“修改的2”和“记录的更改”才会更新，以避免冗余信息不必要地混淆屏幕。这意味着您看到的任何²时间戳实际上都包含额外的信息并且不是多余的。

本文地址：http://www.sd124.com/article/2018/0601/223256.html
《WinHex怎么安装 WinHex19.7下载安装学习图文教程》由闪电下载吧整理并发布，欢迎转载！

标签
WinHex