Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 11 reacties
Bron: X-Ways Software Technology

WinHex logo (60 pix)X-Ways Software Technology heeft versie 15.4 van WinHex uitgebracht. WinHex is niet alleen een universele hexeditor, maar is ook in staat om low-level dataprocessing toe te passen via een makkelijke interface. Het programma beschikt onder meer over een ram-editor, een data-interpreter en een disk-editor, en kan bijvoorbeeld worden gebruikt om verwijderde informatie terug te halen en om bestanden te inspecteren. WinHex werkt op alle Windows-versies vanaf Windows 2000 en is verkrijgbaar in vier verschillende versies. Hieronder is te vinden wat er sinds versie 15.3 allemaal in het programma veranderd is:

What's new?
  • Considerably reduced main memory requirements for large volume snapshots (i.e. volume snapshot with a lot of files), allowing to open and analyze volumes with many more million files than in earlier versions (roughly 100% more) with the same amount of available main memory. Please note that the volume snapshot format has changed, so that earlier versions cannot open volume snapshots saved by v15.4 and later.
  • Even more deleted files can now typically be found on NTFS volumes and included in the refined volume snapshot when running the particularly thorough file system data structure search. This deleted files can be listed with filenames, path, timestamps etc. Forensic license only.
  • Often X-Ways Forensics can now also retrieve a true deletion timestamp for previously existing files during the particularly thorough file system data structure search. Even more deletion timestamps can be found when viewing/previewing $UsnJrnl:$J. These is a very unique features, available for NTFS volumes. Forensic license only. Please don't confuse it with so-called deletion timestamps that other forensic tools may show you on NTFS volumes, for files that have not even been deleted from the file system.
  • Option to exclude deleted files from volume snapshots when the they are taken. Useful if you are interested or not supposed to look at deleted files.
  • Option to exclude the time-consuming search for FILE records outside of the $MFT from the particularly thorough data structure search in NTFS.
  • It's now possible to see and copy the hit counts for selected search terms in the search term list. These hit counts are based on the current settings for the search hit list that is on the screen, take all filters into account, the explored path, any active AND combination etc. Forensic license only.
  • It is now possible to search for more than 1 search time at a time in an index search. (In this preview version, the edit box for the search terms does not yet work exactly as it is meant to work.) It is now also possible to control the substring and word extension options for index searches run from within the case root window. Forensic license only.
  • Improved detection of the sector size and different Apple partition table layouts in CD/DVD raw images.
  • Support for HFS+ volumes on optical discs or in images with a sector size of 2048 bytes. Forensic license only.
  • Ability to change the attributes "temporary" and "not indexed" of a file in File | Properties, using the letters T and X, respectively.
  • The Back and Forward commands in the Position menu and the Back and Forward buttons in the toolbar now allow to conveniently go back to a certain directory browser setting. This takes into account: explored path, recursive or non-recursive, sort criteria, on/off state of all filters, settings of some of the filters, some directory browser options. The Back and Forward commands also allow to activate the previously active data window again when switching between windows (does not work for viewer windows yet). Forensic license only.
  • The filters have been given some "intelligence" when navigating from a parent file to a child file or vice-versa, so that the filters "know" when it's a good time to be turned off. Forensic license only.
    For example:
    • If you are using a filter to focus on all extracted e-mail messages recursively, and then you double-click an individual e-mail message to have a look at its attachments in the directory browser, the filter is automatically deactivated, so that you can actually see these attachments. A simple click on the Back button returns to the previous point of exploration and restores the previous filter settings and the last selection, so that you can easily continue reviewing the next e-mail message!
    • If you are using a filter to focus on videos or documents, and then you double-click a video or a document to see the video stills exported for that video or the embedded pictures in that document, respectively, the filter is automatically deactivated, too.
    • When you are viewing video stills only, in a gallery, and you use the Backspace key or "Find parent object" menu command to navigate to the video that this still belongs to (e.g. in order to play that video), then any active filters will be turned off so that the video can actually be listed. A simple click on the Back button returns to the previous overview of stills, enables the previous filters again, and restores the last selected item, so that you can easily continue with the next still!
    • This works analogously when systematically looking at e-mail attachments, if occasionally for relevant attachments you would like to view the containing e-mail message (and e.g. print it or include it in a report) and then return to the list of attachments.
    These two new features combined, intelligent filters on the one hand and back/forward navigation in the directory browser on the other hand, are expected to further improve the usability of the software tremendously.
  • It is now possible to explore directories and files with child objects listed in the case root window, e.g. by double-clicking them. For that, the data window will automatically be activated that represents the evidence object that contains the directory or file. With the Back command you can conveniently return to the case root window.
  • Improved StreamMRU decoding for the registry report to reveal folders on removable media.
  • Error in index search in v15.4 Preview fixed.
  • Toggling decimal and hexadecimal offsets by clicking the offset column stopped working in certain situations in v15.2 and v15.3. This was fixed.

WinHex screenshot

Versienummer:15.4
Releasestatus:Final
Besturingssystemen:Windows 7, Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008
Website:X-Ways Software Technology
Download:http://www.winhex.com/winhex.zip
Bestandsgrootte:1,41MB
Licentietype:Shareware
Moderatie-faq Wijzig weergave

Reacties (11)

Dit soort programma's gebruikte ik al op m'n Commodore 64 - in die tijd waren ze dan ook veel nuttiger, toen je tenminste nog een touw kon vastknopen aan wat er zich in een file bevindt. Ik gebruik WinHex al sinds de eerste versies en vind het nog steeds handig om even vlug een blik te werpen op wat er zich nu precies in een file bevindt. Om effectief de programmacode in een bestand te begrijpen heb je natuurlijk andere tools nodig (zoals SoftIce, bestaat dat nog?). Maar dat is meer iets voor de reverse-engineers.
Mja ze laten het wel eens zien op school (informatica HBO) maar ik zie er meestal het nut niet van in. je gebruikt het eigenlijks niet...
Ik gebruik mijn spreadsheetprogramma ook niet dagelijks. Heb ik ook niet nodig. Ieder gereedschap heeft zijn eigen nut. Een hex editor heb ik allang niet meer nodig. Doe ik niets meer mee.

Daarentegen is winhex tegenwoordig ietsjes meer dan dat. Het is gewoon een lowlevel viewer. Laat zien wat er op een basaal niveau gebeurt en daarin zit haar kracht.
Ach, ik ben ook wel eens raar aangekeken en half uitgelachen toen ik met Ethereal aan het spelen was. Uiteindelijk zijn het juist die types die het hardste er om gelachen hadden die van mij nu wel eens vragen om te kijken waarom hun netwerkverbinding niet stabiel is.

En geloof mij, met Wireshark (= soort van nieuwe naam van ethereal) zie je veel meer dan met IPCONFIG, NETSTAT en ARP :) En moeilijk is het niet, maar je moet wel even door hebben hoe het onder water een beetje werkt.

Hetzelfde geldt ook voor Hexedit. Je moet gewoon weten dat deze tools bestaan en hoe ze in grote lijnen werken. Als je dan ooit tegen een specifiek probleem aanloopt dan kun je de details wel uitvinden. En het is sowieso ondoenlijk om de indeling alle bestandsformaten van buiten te leren. ;)

Maar zolang sommige programma's nog altijd de onmiskenbare kunst hebben om hun eigen datafiles om zeep te helpen blijft het handig om op LOWLEVEL iets te kunnen klooien. Het zal niet de eerste keer zijn dat ik een foto van iemand krijg met een corrupte header. Natuurlijk geen backup gemaakt en "het is wel een hele belangrijke foto hoor!!!".
Dat programma's hun bestanden toch altijd weer weten te verminken heb ik ook zeer vaak moeten rechtzetten.. (Misschien wel omdat tegenwoordig niet meer over low level informatica meer wordt opgeleid }> )

Hopelijk stoppen de grote software fabrikanten zo nu en dan, en kijken ze eens naar die stapels opgebouwde binaries en libraries, om gewoon eens ook low level upgrades te maken. Gezien alles vroeg of laat daar op gebouwd is..
Als je HBO informatica studeert en je niet het nut van een HexEditor inziet, dan doe je waarschijnlijk de verkeerde studie |:(

WinHex is zo ongeveer de Windows Hex-editor. Klein, snel, krachtig en vooral erg betrouwbaar (nogal cruciaal bij dergelijke tools). Sinds een aantal jaren komt daar de forensics-kant en file-recovery bij; wat het redelijk one-of-a-kind maakt.

WinHex is dus ideaal b.v. om "evidence" over een systeem - op een veilige manier (!) - te verzamelen, of om raw backups te maken van USB devices of om simpelweg even snel in een bestand te kijken.

Laatst nog gebruikt om een Excel bestand uit een corrupt emailtje te "recoveren" en vervolgens te repareren. Alle 13-in-een-dozijn Excel recovery tooltjes wisten 0,0 aan data te recoveren, terwijl een WinHex sessie duidelijk data liet zien. Vervolgens aan het "restaureren" geslagen (met een correcte, lege Excel file als donor) en met (deels) succes; de nog aanwezige data (file was truncated) kon gerecovered worden.

Nee, WinHex is voor mij net zo'n onmisbare tool als Total Commander, IP Tools 1.9x en OllyDBG ...
Als je HBO informatica studeert en je niet het nut van een HexEditor inziet, dan doe je waarschijnlijk de verkeerde studie |:(
Of je doet bedrijfskundige informatica, ook gewoon een HBO studie, dan run je later een afdeling met nerdjes zoals jij (en ik, for the record), dan heb je echt weinig nut bij een hexeditor :)
Tsja, dat zal wel komen doordat informatica tegenwoordig 'windows les' is :)
Zelf gebruik ik het voor data forensics, hoewel dat vaak ook vannuit de cli gebeurt en dan heb je niks aan zo'n gui :Y)
Niet popu aan de reacties te zien.
Reacties of niet op een update van een programma wil echt niets zeggen...

Ik download zo vaak drivers/programma's waneer ik een nieuwe versie zie verschijnen in de meuktracker (zo ik met dit programma). Maar om nou iedere keer te moeten gaan reageren als ik iets download vind ik een beetje onzin.

En zo zullen er veel tweakers zijn :)
Het barst van de menu's. Die Hexen die ik in mijn vroegere Apple gehad heb waren eenvoudiger.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True