Цитата:
Открываю любой файл двигаю курсором и между цифирами появляются ещё цыфиры и полуцифиры
Ничего такого не вижу. Два ноутбука (старый HP, и Lenovo поновее) с ВосьмЁрками разных разрядностей.
» X-Ways WinHex
Цитата:
Ничего такого не вижу. Два ноутбука (старый HP, и Lenovo поновее) с ВосьмЁрками разных разрядностей.
olegigor5555
Открываю файл... Становлюсь курсором на нолики... Нажимаю на клаве стрелку вправо... И поехало ---- цыфры дробятся... и появляются справа от смещения Ф другим добавочным рядом... Винда 8,1 32 разряд...
Открываю файл... Становлюсь курсором на нолики... Нажимаю на клаве стрелку вправо... И поехало ---- цыфры дробятся... и появляются справа от смещения Ф другим добавочным рядом... Винда 8,1 32 разряд...
rococo795
Нет, ничего не дробится.
Нет, ничего не дробится.
WinHex 17.7 SR-1
Изменения:
* After using the [x] "Replace evidence object with image" option of disk imaging with active [x] "Improved recognition of physical media", partitions could not be opened any more until the image was removed from and added back to the case. That was fixed.
* Fixed inability of the Exchange EDB extraction to use a folder for temporary files on a network drive.
* Fixed inability to select hash sets for filtering when the hash database was in use already.
* Fixed an exception error that could occur when extracting metadata from certain SQLite databases in some rare constellations.
* Slightly more thorough processing of volume shadow copies.
* Some minor fixes and improvements.
Изменения:
* After using the [x] "Replace evidence object with image" option of disk imaging with active [x] "Improved recognition of physical media", partitions could not be opened any more until the image was removed from and added back to the case. That was fixed.
* Fixed inability of the Exchange EDB extraction to use a folder for temporary files on a network drive.
* Fixed inability to select hash sets for filtering when the hash database was in use already.
* Fixed an exception error that could occur when extracting metadata from certain SQLite databases in some rare constellations.
* Slightly more thorough processing of volume shadow copies.
* Some minor fixes and improvements.
WinHex 17.7 SR-3
SR-2:
* Fixed an exception error that could occur in some random situations when creating registry reports.
* Some minor improvements.
SR-3:
* Fixed inability of v17.6 and later to read sectors of all disks when just 1 disk was inaccessible.
* Fixed inability of v17.6 and later to automatically add multiple decompressed hiberfil.sys files to the same case as evidence objects.
* Fixed misrepresentation of alternative filenames for volume shadow copy host files that reference recycle bin files in v17.6 and later.
* Fixed unnecessary "device not ready" error message for optical drives.
* New flag 0x10 supported for the XWF_OpenItem X-Tension function: open alternative file data if available, and fail if not.
* Some minor improvements.
SR-2:
* Fixed an exception error that could occur in some random situations when creating registry reports.
* Some minor improvements.
SR-3:
* Fixed inability of v17.6 and later to read sectors of all disks when just 1 disk was inaccessible.
* Fixed inability of v17.6 and later to automatically add multiple decompressed hiberfil.sys files to the same case as evidence objects.
* Fixed misrepresentation of alternative filenames for volume shadow copy host files that reference recycle bin files in v17.6 and later.
* Fixed unnecessary "device not ready" error message for optical drives.
* New flag 0x10 supported for the XWF_OpenItem X-Tension function: open alternative file data if available, and fail if not.
* Some minor improvements.
Кто в теме, подскажите Position Manager работает для всех открытых файлов что ли ? 
Разукрасил один кейфайл сложной структуры - перехожу в соседнюю вкладку, а моя расскраска и к нему и вообще ко всемуприменяется
Разукрасил один кейфайл сложной структуры - перехожу в соседнюю вкладку, а моя расскраска и к нему и вообще ко всемуприменяется
DimitarSerg
да, баг, судя по всему... проверил на v.16.2 - раскраска позиций не пляшет по всем открытым файлам
да, баг, судя по всему... проверил на v.16.2 - раскраска позиций не пляшет по всем открытым файлам
По умолчанию все установленные позиции записываются в один файл - WinHEX.pos, и автоматически применяются для всех открываемых в программе файлов и открытых во вкладках. Но менеджер позволяет выполнить сохранение позиций в другой файл, а также загрузку файла с позициями (см. контекстное меню по правой кнопке мышки). Таким образом, сделай сохранение установленных позиций в файл и именем программы, для которой эти позиции записывались. В будущем, в менеджере делай загрузку соответствующего файла позиций того файла, с которым собрался работать. Рекомендую создать пустой файл позиций для быстрой очистки текущего списка. Иначе загруженные позиции записываются в файл по умолчанию (WinHEX.pos) и применяются при последующих запусках программы.
17.8 качается.
[more=What's new?]* Option to apply logical simultaneous searches to various metadata of files in addition to the file contents. More precisely, they can be applied to the cells of any selected directory browser column such as Name, Author, Sender, Recipients or Metadata. That can spare you from pasting your keywords in the filter dialogs of various directory browser columns. That methodology is also more thorough because all the text addressed by this new feature is searchable in UTF-16, whereas elsewhere the same data may be fragmented (e.g. filenames in particular in FAT), specially encoded (e.g. sender and recipients as quoted printable in e-mails), compressed, or stored in unexpected code pages. It is also convenient because any hits will be presented in the same fashion and listed like ordinary search hits in file contents, just specially marked in the search hit description column with the name of the column that the text that contains the search hits actually belongs to and highlighted in a different color. You can also filter for search hits in metadata.
When selecting search hits in metadata, they are automatically searched for and highlighted in Details mode, just as ordinary search hits in file contents are automatically searched for and highlighted in Preview mode.
Note that the simultaneous search in metadata does not search in additional cell text that is displayed in a different color, such as alternative filenames and file counts in the Name column.
* Option to sort search hits by their data and context instead of just by the search terms to which they belong. Helpful for keyword searches (not technical, e.g. hex value, searches). Can be enabled in the dialog window Options | Directory Browser | [x] Advanced sorting (slower) | ... and is indeed slower since the data and context of all search hits to sort have to be read and converted to a comparable code page.
Sorting by the data in search hits helps for GREP searches. It makes a difference only for GREP expressions that match variable data as for constant search terms the search terms and the data in their corresponding search hits are identical. For example, after searching for e-mail addresses with the expression [a-zA-Z0-9_\-\+\.]{1,20}@[a-zA-Z0-9\-\.]{2,20}\.[a-zA-Z]{2,7}, sorting by the data allows you to quickly identify and visually skip groups of identical e-mail addresses or see similar e-mail addresses (starting with the same characters) next to each other.
Continuing sorting by the text that follows the actual search hit if the search hit data is the same will show identical or similar text passages next to each other and allow you to more quickly review the search hit list.
You can specify how many characters of data and context to take into account for sorting. The more characters, the more memory is needed for sorting, which can make a difference when listing a huge number of search hits.
* Several minor improvements.
* Some of the fixes of v17.7 SR-1.[/more]
[more=What's new?]* Option to apply logical simultaneous searches to various metadata of files in addition to the file contents. More precisely, they can be applied to the cells of any selected directory browser column such as Name, Author, Sender, Recipients or Metadata. That can spare you from pasting your keywords in the filter dialogs of various directory browser columns. That methodology is also more thorough because all the text addressed by this new feature is searchable in UTF-16, whereas elsewhere the same data may be fragmented (e.g. filenames in particular in FAT), specially encoded (e.g. sender and recipients as quoted printable in e-mails), compressed, or stored in unexpected code pages. It is also convenient because any hits will be presented in the same fashion and listed like ordinary search hits in file contents, just specially marked in the search hit description column with the name of the column that the text that contains the search hits actually belongs to and highlighted in a different color. You can also filter for search hits in metadata.
When selecting search hits in metadata, they are automatically searched for and highlighted in Details mode, just as ordinary search hits in file contents are automatically searched for and highlighted in Preview mode.
Note that the simultaneous search in metadata does not search in additional cell text that is displayed in a different color, such as alternative filenames and file counts in the Name column.
* Option to sort search hits by their data and context instead of just by the search terms to which they belong. Helpful for keyword searches (not technical, e.g. hex value, searches). Can be enabled in the dialog window Options | Directory Browser | [x] Advanced sorting (slower) | ... and is indeed slower since the data and context of all search hits to sort have to be read and converted to a comparable code page.
Sorting by the data in search hits helps for GREP searches. It makes a difference only for GREP expressions that match variable data as for constant search terms the search terms and the data in their corresponding search hits are identical. For example, after searching for e-mail addresses with the expression [a-zA-Z0-9_\-\+\.]{1,20}@[a-zA-Z0-9\-\.]{2,20}\.[a-zA-Z]{2,7}, sorting by the data allows you to quickly identify and visually skip groups of identical e-mail addresses or see similar e-mail addresses (starting with the same characters) next to each other.
Continuing sorting by the text that follows the actual search hit if the search hit data is the same will show identical or similar text passages next to each other and allow you to more quickly review the search hit list.
You can specify how many characters of data and context to take into account for sorting. The more characters, the more memory is needed for sorting, which can make a difference when listing a huge number of search hits.
* Several minor improvements.
* Some of the fixes of v17.7 SR-1.[/more]
WinHex 17.8 SR-1
Изменения:
* Fixed incorrect encoding of spaces in filenames in case reports in v17.8.
* Accelerated hash set matching if hash values were computed before.
* Under certain circumstances, Exchange EDB databases were not processed by X-Ways Forensics, but ignored. That was fixed.
* Some minor improvements and fixes.
Изменения:
* Fixed incorrect encoding of spaces in filenames in case reports in v17.8.
* Accelerated hash set matching if hash values were computed before.
* Under certain circumstances, Exchange EDB databases were not processed by X-Ways Forensics, but ignored. That was fixed.
* Some minor improvements and fixes.
А что это вдруг винхекс в строке смещения вместо букв ABCDEF показывает 10,11,12,13,14,15 ?????
rococo795
F5 (или Options > General...) > Hexadecimal offsets
F5 (или Options > General...) > Hexadecimal offsets
Hellteh
Спасибо....
Спасибо....
Здравствуйте! Версия 16.3 SR-2. Программа не находит поиском в правой колонке текст "Mozilla/5.0" в файле opera.dll от браузера Опера - http://yadi.sk/d/NvX-HbGWFW77P (как пример). Происходит это, возможно, по причине некорректного распознавания кодировки ("кракозябры" справа, но не везде). Как решить эту проблему? Заранее благодарю.
Sharer01
Цитата:
Цитата:
Здравствуйте! Версия 16.3 SR-2. Программа не находит поиском в правой колонке текст "Mozilla/5.0" в файле opera.dll от браузера Опера - http://yadi.sk/d/NvX-HbGWFW77P (как пример). Происходит это, возможно, по причине некорректного распознавания кодировки ("кракозябры" справа, но не везде). Как решить эту проблему? Заранее благодарю.Кодировка у Вас в окошке поиска ASCII ?
Sharer01
Думаю, что вероятная причина знак "/". Попробуйте сократить патерн до слова Mozilla. И по возможности поставьте флаг "Поиск Grep" который предпишет поиску вести себя подобно UNIX утилите Grep - искать заданные в шаблоне вхождения.
Думаю, что вероятная причина знак "/". Попробуйте сократить патерн до слова Mozilla. И по возможности поставьте флаг "Поиск Grep" который предпишет поиску вести себя подобно UNIX утилите Grep - искать заданные в шаблоне вхождения.
I95
Кодировка у меня именно ASCII. Но скриншот навел меня на решение проблемы.
Victor_VG
Поисковый запрос сокращал - безрезультатно. Как и установленный флаг "Поиск Grep" не помог.
Причина была в установленном флаге "Cond.: offset mod 512=510" - совсем рядом. Сразу я на него внимание не обратил. После снятия галки на этом параметре поиск заработал.
I95
Victor_VG
Большое Вам спасибо за помощь!
И попутно еще вопрос: возможно ли в WinHex сбросить настройки до исходных?
Кодировка у меня именно ASCII. Но скриншот навел меня на решение проблемы.
Victor_VG
Поисковый запрос сокращал - безрезультатно. Как и установленный флаг "Поиск Grep" не помог.
Причина была в установленном флаге "Cond.: offset mod 512=510" - совсем рядом. Сразу я на него внимание не обратил. После снятия галки на этом параметре поиск заработал.
I95
Victor_VG
Большое Вам спасибо за помощь!
И попутно еще вопрос: возможно ли в WinHex сбросить настройки до исходных?
Sharer01
А почему бы и нет? Например удалить $WinHexDir\WinHex.cfg - и при следующем запуске при его создании программа сбросит все свои настройки в исходные.
А почему бы и нет? Например удалить $WinHexDir\WinHex.cfg - и при следующем запуске при его создании программа сбросит все свои настройки в исходные.
Victor_VG
Благодарю! А через настройки самой программы это сделать невозможно в качестве альтернативного варианта?
Благодарю! А через настройки самой программы это сделать невозможно в качестве альтернативного варианта?
Sharer01
И так можно:
И так можно:
Victor_VG
Все настройки пересмотрел, а в справку и не заглянул. Большое спасибо!
Все настройки пересмотрел, а в справку и не заглянул. Большое спасибо!
Sharer01
Цитата:
Всё правильно - потому, что там ей делать нечего, и более того никто её там не станет искать. Я не берусь сказать какими высшими соображениями руководствовался Stefan Fleischmann поместив эту команду туда, но что там она явно не на месте - это точно.
Цитата:
Все настройки пересмотрел, а в справку и не заглянул.
Всё правильно - потому, что там ей делать нечего, и более того никто её там не станет искать. Я не берусь сказать какими высшими соображениями руководствовался Stefan Fleischmann поместив эту команду туда, но что там она явно не на месте - это точно.
Victor_VG
Да, полностью согласен. Вообще впервые в своей практике встретил такое расположение функции сброса настроек.
Да, полностью согласен. Вообще впервые в своей практике встретил такое расположение функции сброса настроек.
Слетела часть записей о каталогах и файлах на флешке (FAT32). Сама таблица FAT не повреждена. Реально ли с WinHEX найти все не пустые кластеры, на которые нет ссылок в описании каталогов?
Понимаю, что размер и имена файлов и каталогов потеряны, но данные то остались.
Понимаю, что размер и имена файлов и каталогов потеряны, но данные то остались.
Calc
Найти - да, а вот куда они относятся придётся вам решать. Редактор видит хекс значения, а что там ему не важно.
Найти - да, а вот куда они относятся придётся вам решать. Редактор видит хекс значения, а что там ему не важно.
Victor_VG
Так я и спрашиваю про поиск. Нужно что-то типа "Перейти к следующему кластеру без ссылок".
Попробовал Gather Slack Space, но выдает впридачу с нужными кластерами кучу мусора.
Так я и спрашиваю про поиск. Нужно что-то типа "Перейти к следующему кластеру без ссылок".
Попробовал Gather Slack Space, но выдает впридачу с нужными кластерами кучу мусора.
Calc
Не думаю что какой либо редактор способен решить задачу в такой конфигурации.
Не думаю что какой либо редактор способен решить задачу в такой конфигурации.
Calc
А чем не устраивает R-Studio или GetDataBack?
А чем не устраивает R-Studio или GetDataBack?
Всем спасибо! Все восстановил вручную!
WinHex 17.8 SR-6
[more=Изменения]SR-2:
* Fixed incorrect encoding of spaces in filenames in case reports in v17.8.
* Supports :n parameters in the command line again as v17.5 and earlier did, to automatically open hard disk n (and optionally image it automatically).
* Fixed missing FAT32 volume label in Technical Details Report in some recent versions.
* Fixed inability to remove hashes values from hash databases using certain import hash set files.
* Fixed display of certain double byte code pages in the text column.
* Fixed output of certain fields in case reports in v17.8, e.g. timestamps and matching hash sets.
* Prevented inclusion of invalid "Content created" timestamps in the volume snapshot.
SR-3:
* The specified maximum resulting file size for file carving is now ignored for file types with an internally implemented "~" algorithm. It now has an effect only on file types with a defined footer signature.
* Fixed inability of recent versions to carve zip archives with certain statistical properties.
* Fixed an interpretation error for Java Date+Time in v17.6 and later.
* Hash set matching in v17.7 and later did not work for selected files. That was fixed.
* Simultaneous hash set matching in multiple instances supported again.
Top of pagePrevious messageNext messageBottom of page Link to this message
SR-4:
* Fixed an exception error that could occur in the "jump-as-you-type" function.
* Fixed an exception error in XML export.
* Fixed inability to open dynamic volumes in certain situations.
* Fixed an error in the ability to delete hash values from hash sets.
* Fixed some inconsistencies in the handling of ANSI SQL and Java Date in the Data Interpreter.
* Some minor improvements.
An updated version of MPlayer is now downloadable.
SR-5:
* Fixed non-inclusion of file associations with freshly created report tables in evidence file containers.
* Fixed inability to import report table associations and comments from encrypted evidence file containers in certain situations.
* Minor fix and improvement for XML PList processing.
* The author, if extracted from an XML file in a zip-styled Office document, is now shown for the Office document file, not the XML file itself.
* Some minor fixes and improvements.
SR-6:
* Accelerated metadata extraction.
* Fixed an exception error that could occur when dealing with certain rare inconsistent FILE records in NTFS.
* Fixed output of some rare malformed .eml files during e-mail extraction.
* Certain e-mail messages created by Lotus Notes and received by Outlook that were not stored by Outlook in a consistent way were not presented correctly. That was fixed.
* Fixed inability to locate all LVM2 volumes in some situations.
* Fixed missing additional case open dialog for multiple simultaneous users in v17.8.
* Fixed an error in v17.8 that occurred importing an entire directory of hash sets or renaming a hash set.[/more]
[more=Изменения]SR-2:
* Fixed incorrect encoding of spaces in filenames in case reports in v17.8.
* Supports :n parameters in the command line again as v17.5 and earlier did, to automatically open hard disk n (and optionally image it automatically).
* Fixed missing FAT32 volume label in Technical Details Report in some recent versions.
* Fixed inability to remove hashes values from hash databases using certain import hash set files.
* Fixed display of certain double byte code pages in the text column.
* Fixed output of certain fields in case reports in v17.8, e.g. timestamps and matching hash sets.
* Prevented inclusion of invalid "Content created" timestamps in the volume snapshot.
SR-3:
* The specified maximum resulting file size for file carving is now ignored for file types with an internally implemented "~" algorithm. It now has an effect only on file types with a defined footer signature.
* Fixed inability of recent versions to carve zip archives with certain statistical properties.
* Fixed an interpretation error for Java Date+Time in v17.6 and later.
* Hash set matching in v17.7 and later did not work for selected files. That was fixed.
* Simultaneous hash set matching in multiple instances supported again.
Top of pagePrevious messageNext messageBottom of page Link to this message
SR-4:
* Fixed an exception error that could occur in the "jump-as-you-type" function.
* Fixed an exception error in XML export.
* Fixed inability to open dynamic volumes in certain situations.
* Fixed an error in the ability to delete hash values from hash sets.
* Fixed some inconsistencies in the handling of ANSI SQL and Java Date in the Data Interpreter.
* Some minor improvements.
An updated version of MPlayer is now downloadable.
SR-5:
* Fixed non-inclusion of file associations with freshly created report tables in evidence file containers.
* Fixed inability to import report table associations and comments from encrypted evidence file containers in certain situations.
* Minor fix and improvement for XML PList processing.
* The author, if extracted from an XML file in a zip-styled Office document, is now shown for the Office document file, not the XML file itself.
* Some minor fixes and improvements.
SR-6:
* Accelerated metadata extraction.
* Fixed an exception error that could occur when dealing with certain rare inconsistent FILE records in NTFS.
* Fixed output of some rare malformed .eml files during e-mail extraction.
* Certain e-mail messages created by Lotus Notes and received by Outlook that were not stored by Outlook in a consistent way were not presented correctly. That was fixed.
* Fixed inability to locate all LVM2 volumes in some situations.
* Fixed missing additional case open dialog for multiple simultaneous users in v17.8.
* Fixed an error in v17.8 that occurred importing an entire directory of hash sets or renaming a hash set.[/more]
Страницы: 123456789101112131415161718192021222324252627
Предыдущая тема: Как грузануть RedHat при NTLoader в MBR?
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.