
Commande, Prix:
	• Carte de crédit
	• Alternatives
Produits
	X-Ways Forensics
	Expertises informatiques
	X-Ways Investigator
	Investigator version of X-Ways Forensics
	WinHex
	En savoir plus
	Types de licence
	Mise à jour
	Fonctions forensiques
	Applications diverses
	X-Ways Capture
	Seize media
	X-Ways Trace
	Utilisation de PC
	Davory
	Récupération
	X-Ways Security
	Effacement sécurisé
	Evidor
	Collecte de preuves
Services
	Formation

	Contact
	Forum d'aide
	Plus sur X-Ways

	English
	Deutsch

Menu Outils Spécialiste

Available only for owners of specialist or forensic licenses.

Collecter l'Espace Libre: Parcourt le lecteur logique ouvert et collecte tous les clusters non utilisés dans un fichier de destination que vous spécifiez. Utile pour examiner des fragments de données provenant d'anciens fichiers qui n'ont pas été effacés de façon sûre. Ne modifie aucunement le lecteur source. Le fichier-destination doit se trouver sur un autre lecteur.

Collecter l'Espace Chutes: Rassemble les "chutes" (les résidus, les octets inutilisés dans les derniers clusters respectifs de chaque chaîne de clusters, après la fin réelle d'un fichier) vers un fichier-destination. Sinon cette fonction est semblable à Collecter l'Espace Libre. Opère sur lecteurs FAT12, FAT16, FAT32, et NTFS. WinHex ne peut pas collecter les chutes de fichiers compressés ou chiffrés au niveau du système de fichiers.

Gather Inter-Partition Space: Captures all space on a physical hard disk that does not belong to any partition in a destination file, for quick inspection to find out if something is hidden there or left from a prior partitioning.

Collecter Texte: Reconnaît le texte selon les paramètres spécifiés et capture toutes les occurrences trouvées dans un fichier, un disque, ou une zone de mémoire dans un fichier. Ce type de filtre est utile dans la mesure où il réduit considérablement la quantité de données à traiter, par exemple pour un spécialiste d'expertise légale en informatique qui cherche des indices sous forme de texte tel que messages emails ou documents, etc. Le fichier cible peut facilement être découpé à la taille définie par l'utilisateur. Cette fonction peut aussi être appliquée à un fichier rassemblant des espaces chutes ou de l'espace libre, ou à des fichiers endommagés de format propriétaire qui ne peuvent plus être ouverts par leur application d'origine, comme MS Word, pour récupérer au moins le texte non formaté.

Simultaneous Search: A parallel search facility, that lets you specify a virtually unlimited list of search terms, one per line. The search terms are either text strings or hex values (specified with a 0x prefix). They are searched simultaneously, and their occurrences can be archived either in the Position Manager, or in a tab-delimited text file, similar to the disk catalog, which can be further processed in MS Excel or any database. WinHex will save the offset of each occurrence, the search term, the name of the file or disk searched, and in the case of a logical drive the cluster allocation as well! (i.e. the name and path of the file that is stored at that particular offset, if any)
That means e.g. a forensic examiner is now able to systematically search through an entire hard drive in a single pass for words like
- drug
- cocaine
- (street synonym #1 for cocaine)
- (street synonym #2 for cocaine)
- (street synonym #3 for cocaine)
- (street synonym #3 for cocaine, alternative spelling)
- (name of dealer #1)
- (name of dealer #2)
- (name of dealer #3)
at the same time! When searching a logical drive, this will narrow down the examination to a list of files upon which to focus. If you do not have WinHex archive the occurrences, you may use the F3 key to continue the search.

Créer Table Contenu de Lecteur: Crée un "catalogue" des fichiers et des répertoires existants ou effacés d'un disque avec des informations spécifiées par l'utilisateur telles que: attributs, toutes marques d'heure et de date disponibles, taille, clusters utilisés, hash (somme de contrôle ou digest), alternate data streams (which contain hidden data, on NTFS drives only), etc. Extrêmement utile pour examiner de façon systématique le contenu d'un disque. Permet de limiter la recherche à un certain type de fichiers par l'utilisation de masques (ex. *.jpg;*.gif). Hash values can only be calculated for existing files. Internal system files and extensive cluster allocation information can only by listed for NTFS volumes if you include deleted files in the table. In the column with cluster allocation information you may also find only a sector in the master file table listed (in which small files are stored directly). Clusters allocated to alternate data streams are listed in this column following the ADS name and a colon.

La table résultante peut être importée et soumise à d'autres traitements par des bases de données ou MS Excel. Le tri par date & heure donnera une bonne vue d'ensemble de l'utilisation qui a été faite d'un disque à une période donnée. Par exemple l'attribut NTFS "encrypté" pourrait rapidement révéler quels fichiers peuvent être les plus importants dans une expertise légale.

Créer Table pour un Répertoire: Fonctionne comme Créer Table Contenu de Lecteur, mais seulement pour un répertoire selectionné par l'utilisateur et les sous-répertoires.

Media Details Report: Shows information about the currently active disk or file and lets you copy it e.g. into a report you are writing. Most extensive on physical hard disks, where details for each partition and even unallocated gaps between existing partitions are pointed out.

Interpret Image File As Disk: Treats a currently open and active disk image file as either a logical drive or physical disk. This is useful if you wish to closely examine the file system structure of a disk image, extract files, etc. without copying it back to a disk. If interpreted as a physical disk, WinHex can access and open the partitions contained in the image individually as known from "real" physical hard disks.
WinHex is even able to interpret spanned image files, that is, image files that consist of separate segments of any size. For WinHex to detect a spanned image file, the first segment may have an abritrary name and a non-numeric extension or the extension ".000". The second segment must have the same base name, but the extension ".001", the third segment ".002", and so on. The DOS cloning tool X-Ways Replica is able to image disks and produce such file segments. This is useful because the maximum image file size supported by FAT16 and FAT32 is 2 GB or 4 GB, respectively.

Bates-Number Files: Bates-numbers all the files within a given folder and its subfolders for discovery or evidentiary use. A constant prefix (up to 13 characters long) and a unique serial number are inserted between the filename and the extension in a way attorneys traditionally label paper documents for later accurate identification and reference.

Export Sécurisé: Résout un problème de sécurité. Lors d'un transfert de matériel non classé depuis un disque dur classé vers un support non classé, il faut être sûr qu'aucune information externe dans un cluster ou secteur "supplémentaire" ne sera accidentellement copiée avec le fichier lui-même, puisque cet espace mort peut encore contenir des informations classées datant d'une époque où elles étaient attribuées à un autre fichier. Cette commande copie les fichiers selon leurs taille courante, sans aucun octet supplémentaire. Elle ne copie pas de secteurs ou de clusters entiers comme le font les commandes de copie ordinaires. Multiple files in the same folder can be copied at the same time.

Highlight Free Space/Slack Space: Displays offsets and data in softer colors (light blue and gray, respectively). Helps to easily identify these special drive areas. Works on FAT and NTFS logical drive and FAT partitions.