A X-Ways Software Technology lançou recentemente a versão 15.2 do WinHex, um aplicativo que não apenas atua como um editor hexadecimal universal, mas também é capaz de realizar processamento de dados em nível baixo através de uma interface amigável. Este programa inclui um editor de RAM, um interpretador de dados e um editor de disco, e pode ser usado para recuperar informações excluídas e inspecionar arquivos. O WinHex é compatível com todas as versões do Windows a partir do Windows 98, com exceção do Windows NT, embora o conjunto completo de recursos seja mais eficaz no Windows 2000 e versões posteriores. Abaixo, você encontrará uma lista do que mudou desde a versão 15.1:
Novidades:
Otimização de índice: Agora, se mais de 1 GB de memória principal estiver disponível, a otimização de um índice utiliza melhor essa memória, o que pode acelerar significativamente essa etapa para índices grandes.
Na janela de pesquisa de índice, agora existem duas caixas de seleção diferentes. Marcar a primeira ajuda a encontrar palavras dentro de outras palavras (por exemplo, "wife" em "housewife", mas é mais lento se o índice não estiver preparado para pesquisas de subpalavras). A segunda torna opcional a busca de extensões de palavras (por exemplo, "houses" ao procurar por "house" e "skyscraper" ao procurar por "sky"). Encontrar extensões de palavras era o comportamento padrão nas versões anteriores. Desmarcar ambas as opções funciona como uma opção "apenas palavras completas".
Agora é possível substituir um objeto de evidência por um novo meio (letra de unidade ou disco físico). Útil se você estiver trabalhando com discos originais, não imagens, e a letra da unidade ou o número do disco tenha mudado.
A biblioteca de gráficos foi atualizada e alguns problemas na exibição de imagens foram corrigidos.
É possível agora agrupar arquivos existentes e excluídos em diretórios de saída diferentes ao usar o comando Recover/Copy. Isso requer que o X-Ways Forensics recrie o caminho original.
Agora é possível marcar arquivos como ocultos, mesmo em uma lista de resultados de pesquisa. Esses arquivos serão filtrados se você não listar itens ocultos ao recompilar a lista de termos de pesquisa.
Ao adicionar um arquivo a uma tabela de relatório, agora é possível adicionar recursivamente todos os seus objetos filhos à mesma tabela de relatório, não apenas os filhos diretos.
Capacidade de visualizar registros de login wtmp e utmp do Unix/Linux.
Reconhece o sistema de arquivos TFAT como tal.
Ao ativar a redução recomendável de dados para pesquisas lógicas, os arquivos marcados como movidos/renomeados não serão mais pesquisados, uma vez que os mesmos dados são pesquisados quando o arquivo é pesquisado em sua nova localização/sob seu novo nome.
Pode importar hashes SHA-1 de arquivos de evidência .e01, conforme fornecido opcionalmente pelo EnCase 6.12.
Problema de nomenclatura resolvido para mensagens de e-mail extraídas de arquivos .msg anexados ao instantâneo de volume como arquivos virtuais.
Agora é possível visualizar/pesquisar/despejar a RAM física em computadores remotos através do F-Response 2.x (funciona em conjunto com o X-Ways Forensics desde a versão 15.1 SR-5).
Várias melhorias menores.
Análise de memória principal: Os processos serão listados no navegador de diretórios, com carimbos de data e hora e IDs de processo, e seus próprios espaços de endereço de memória podem ser visualizados individualmente no modo "Processo", com páginas concatenadas em ordem lógica correta, conforme cada processo. A "pesquisa de estrutura de dados particularmente minuciosa" levará um pouco mais de tempo e pode revelar vestígios de processos adicionais, incluindo rootkits. Funciona para despejos de memória de muitas, mas não de todas as versões do Windows e service packs. Atualmente, exige que o nome do arquivo do despejo de memória contenha a palavra "RAM" ou "dump" para ser detectado como um despejo de memória.
Para RAID internamente reconstruídos, o número do disco componente a partir do qual o setor atual (onde o cursor está) foi lido agora é exibido no Painel de Detalhes, juntamente com o número relativo que o setor tem naquele disco componente.
Por conveniência, o WinHex e o X-Ways Forensics agora lembram e restauram o último item selecionado e outras configurações do navegador de diretórios ao reabrir janelas de dados e objetos de evidência.
Os conjuntos de hashes agora podem ser classificados de acordo com sua importância. Isso é útil porque, ao corresponder valores de hash ao banco de dados de hash, apenas uma correspondência é retornada, mesmo se o mesmo valor de hash estiver contido em vários conjuntos de hashes. Agora você pode garantir que, nesse caso, você obtenha o conjunto de hash mais importante, por exemplo, um conjunto de hash que identifica imagens CP sem dúvida, em oposição a conjuntos de hash que podem conter valores de hash de imagens duvidosas. Além disso, se houver mais de uma correspondência, um sinal de "+" será exibido na coluna de conjunto de hash no navegador de diretórios após o nome de um dos conjuntos de hash correspondentes.
Os nomes dos conjuntos de hash agora podem conter caracteres Unicode.
Algumas informações especiais para despejos de memória (se forem reconhecidos como tal, consulte acima) agora estão disponíveis nos Relatórios de Detalhes Técnicos.
Agora mostra anexos como objetos filhos de mensagens de e-mail, em vez de em uma pasta virtual "Anexar" em alguns casos em que isso não acontecia anteriormente.
Os contêineres de arquivos de evidência criados pela versão 15.2 Beta 3 e posteriores agora também podem transportar a categoria de hash de um arquivo e a porcentagem de cor da pele.
Ícones de arquivos ocultos agora são exibidos em cinza em vez de azul. Ícones de arquivos notáveis agora são exibidos
Mais informações consulte nosso vendedor;
Acione nosso suporte para qualquer problema;
Aproveite e entre no nosso grupo.
