WinHex

Категория: Системный софт

WinHex — специализированная Windows-программа, в которой в одном интерфейсе собраны инструменты для работы на уровне файлов, секторов диска и дампов памяти. Её используют там, где обычных файловых менеджеров и «вьюверов» недостаточно: нужно увидеть «сырой» байтовый поток, проверить гипотезу по структурам файловых систем, снять образ носителя, клонировать диск, вытащить данные из удалённых объектов, собрать slack/free space в отдельный файл или выполнить гарантированное затирание с контролируемым шаблоном перезаписи. В отличие от многих «восстановителей», WinHex не прячет низкоуровневую часть — наоборот, делает её управляемой: от выбора логического тома или физического диска до ручной навигации по секторам и интерпретации структур.

Ниже — подробный обзор WinHex: что находится в меню, как устроены ключевые окна, какие сценарии закрывает программа и где у неё ограничения.

Скачать WinHex

ФЕНИКС
Оценка 9.7 Рекомендуем
  • Выше вероятность восстановления
  • Российский разработчик
  • Понятный интерфейс на русском
Скачать бесплатно на Windows
Лучшая альтернатива для начинающих
WinHex
Оценка 9.0
  • Полный функционал в платной версии
  • Плохая совместимость с Windows 10/11
  • Интерфейс труден для новичков
Скачать WinHex
Загрузка начнётся сразу после нажатия

1) Позиционирование WinHex и типовые задачи

WinHex часто называют «hex editor», но по факту это целый комбайн, где редактор байтов — лишь ядро. Главная ценность программы в том, что она одинаково уверенно работает:

  • с обычными файлами (просмотр/правка, конвертации, поиск по сигнатурам/шаблонам, вычисление хешей, сравнение);

  • с дисками и разделами на уровне секторов (логические тома и физические диски, чтение служебных областей, просмотр MBR-области и т. п.);

  • с образами и контейнерами (создание образов, сегментация, компрессия/описание/хеши в зависимости от формата; интерпретация образа как диска);

  • с памятью (через модуль RAM Editor / Memory Editor/Analysis);

  • с задачами восстановления данных и форензики (volume snapshot, Recover/Copy, сбор slack/free space, отчётность и расширенные функции в старших лицензиях).

Исторически WinHex развивается давно: первая версия программы вышла в 1995 году, а актуальная документация поддерживает современные Windows-линейки (включая Windows 11 и серверные ветки).

2) Редакции и лицензии: что меняется от уровня к уровню

В WinHex важно понимать, что интерфейс один, но часть команд «подсвечивается» или становится доступной только при определённом типе лицензии. В документации это отражено прямо в описаниях меню:

  • Personal / базовые варианты: базовые функции редактора и часть операций с дисками/файлами.

  • Specialist license: открывает расширенный набор «специалистских» команд, в том числе существенную часть работы со снимками тома (refine), интерпретацией образов и низкоуровневыми инструментами. В справке команды Specialist Menu прямо помечены как доступные только при Specialist license.

  • Forensic license (for WinHex) и отдельный продукт X-Ways Forensics: добавляют полноценное «форензик-окружение» (кейсы, доказательные объекты, журналирование, отчёты и ряд расширенных опций копирования/восстановления). Например, расширенные возможности Recover/Copy перечислены как «Numerous extra features … with a forensic license».

Для практического использования это означает: перед тем как строить процесс (особенно вокруг образов, кейсов, контейнеров и отчётов), стоит ориентироваться на конкретные пункты меню и их пометки в справке, чтобы не рассчитывать на то, чего нет в вашей редакции.

3) Установка и требования к системе

WinHex — Windows-программа. Руководство фиксирует поддержку Windows 7/Server 2008 R2 и выше, включая Windows 10/11 и серверные редакции, а также 32- и 64-битные сборки. Документация в актуальной версии собрана по материалам помощи WinHex/X-Ways Forensics 21.6 и обновлялась осенью 2025 года.

Практический момент, который влияет не на установку, а на работу: для доступа к секторам носителей WinHex требует повышенные права. В справке по Disk Editor отмечено, что для секторного доступа нужны права администратора, а в Windows Vista/7/8 программу необходимо запускать «as administrator» явно.

4) Интерфейс: рабочие окна, панели и логика навигации

WinHex построен вокруг нескольких ключевых сущностей интерфейса:

4.1) Data window (окно данных)

Основная вкладка, где показывается содержимое активного объекта: файла, логического тома, физического диска, интерпретированного образа или диапазона памяти. Обычно в этом окне видны:

  • шестнадцатеричное представление байтов;

  • текстовая колонка (ASCII/Unicode-интерпретация — зависит от режима);

  • курсорная позиция (смещение) и текущий контекст.

4.2) Mode Buttons (кнопки режимов)

WinHex разделяет работу по «режимам» (файлы, диски, память и т. д.). Это не просто косметика: разные режимы открывают разные действия, наборы команд и вспомогательные панели.

4.3) Directory Browser (браузер каталогов)

Это одна из самых «прикладных» частей WinHex для восстановления и анализа: если открыт логический том или интерпретированный образ с распознанной ФС, Directory Browser показывает дерево каталогов и файлы, включая удалённые объекты (в зависимости от состояния снимка тома и конкретной ФС). Именно через контекстное меню Directory Browser вызывается Recover/Copy.

4.4) Volume Snapshot (снимок тома)

Чтобы Directory Browser «понимал», какие кластеры к каким файлам относятся, WinHex строит карту размещения (drive map) через команду Tools → Take New Volume Snapshot. Справка подчёркивает, что WinHex проходит все цепочки кластеров и благодаря этому может показывать, какой сектор/кластер кому принадлежит.

4.5) Data Interpreter и служебные панели

В форензике и реверсе ценится возможность быстро интерпретировать набор байтов под курсором как числа разных типов, даты и т. п. В WinHex это решается панелью Data Interpreter и системой шаблонов/структур (подход «подсветить» структуру данных поверх байтов).

5) Работа с файлами: команды File и поведение при редактировании

Меню File в WinHex не ограничено «Open/Save». Оно фактически задаёт базовый инструментарий управления объектами: создание файлов, открытие «как файла» не только файлов, но и устройств, создание образов, восстановление образов, пакетное сохранение изменений и т. д.

5.1) File → New

Команда New создаёт файл заданного размера и открывает его в режиме редактирования по умолчанию (default edit mode). В X-Ways Forensics эта же команда также применяется для специфических задач вроде создания dummy segments для .e01-образов, но в WinHex чаще используется как «пустой контейнер» под дальнейшие операции.

5.2) File → Open и кнопка Device…

File → Open открывает один или несколько файлов. Ключевой нюанс WinHex: в диалоге открытия присутствует кнопка Device…, которая позволяет открыть как файл физический диск, том или другой device-объект по device path. В справке приведены примеры путей вида:

  • \\.\PhysicalDrive1 (физический диск 1)

  • \\?\Volume{...} (том по GUID)

  • \\.\C: (том, смонтированный как буква диска)

Это полезно, например, когда том не имеет буквы, или когда нужно открыть альтернативные потоки данных (alternate data streams), путь к которым известен, но которые не открываются через обычный диалог.

5.3) File → Save / Save As и «Save Sectors»

Save сохраняет изменения активного файла на диск. Для дисков в режиме Disk Editor команда называется Save Sectors и записывает модифицированные сектора на носитель. В справке отдельно отмечено: при работе с дисками запись может серьёзно повредить целостность данных, поэтому WinHex предусматривает опцию undo-механизма с созданием резервной копии затронутых секторов до перезаписи (если включено). Также указано, что запись секторов доступна только в полной версии.

5.4) File → Create Disk Image/Make Backup Copy

Это центральная команда для получения образов и резервных копий. Она создаёт образ открытого логического тома, физического диска или отдельного файла (в зависимости от того, что открыто активным объектом). Форматы и различия подробно разобраны дальше (раздел 8).

5.5) File → Restore Image

Команда Restore Image предназначена для «обратного копирования» секторов образа на оригинальный носитель или другой носитель, а также для восстановления WinHex-backup (.whx), который может содержать либо файл, либо сектора диска. При выборе образа он подставляется как источник в окне Clone Disk (при соответствующем уровне лицензии и интерпретации образа).

5.6) File → Properties (для файлов и папок Windows)

WinHex умеет менять размер, временные метки и атрибуты файла/каталога в вашей Windows-системе через File → Properties. В описании перечислены доступные атрибуты (A/S/H/R/X/T/~), а применение новых значений выполняется нажатием Enter после ввода.

5.7) File → Open Directory / Open Files

  • Open Directory открывает окно каталога и показывает файлы/подкаталоги.

  • Open Files открывает множество файлов по маскам и доп. условиям (например, только содержащие заданный текст или hex-последовательность). При необходимости WinHex вызывает стандартные диалоги поиска для уточнения критериев.

5.8) File → Save Modified Files / Save All Files

Команды для пакетного сброса изменений: записать только изменённые файлы или все файлы, которые не были открыты в режиме просмотра.

6) Disk Editor: доступ к дискам ниже уровня файловой системы

Disk Editor в WinHex — отдельная логика работы. Он предназначен для прямого доступа к носителям по секторам.

6.1) Логический том vs физический диск

Справка разделяет два способа:

  • Открытие логического диска (logical drive / volume) — работа в рамках раздела, который Windows видит как букву диска или том. В этом режиме WinHex получает больше «смысловых» возможностей: понятие кластеров, знание распределения кластеров по файлам, осмысленные зоны free space и slack space и т. п.

  • Открытие физического диска (physical disk / raw device) — доступ ко всему устройству целиком (включая все разделы). Полезно, когда нужно смотреть области вне томов или когда разметка повреждена.

6.2) Доступ к CD/DVD и «сырой режим»

Для оптических приводов WinHex предусматривает режим, в котором можно читать аудио-CD и полные 2352-байтные сектора на data-CD (включая ECC-данные). Это важно, если задача выходит за рамки «файлов на диске» и требует именно секторного анализа.

6.3) Ограничения и требования

В справке по Disk Editor зафиксированы практические ограничения:

  • для доступа к секторам нужны права администратора;

  • сетевые диски (remote/network drives) не доступны секторно;

  • WinHex не пишет на CD-ROM/DVD;

  • в некоторых версиях Windows действуют дополнительные ограничения записи секторов на системный раздел и раздел, откуда запущен WinHex.

Эти ограничения напрямую влияют на план восстановления: например, «мягкий» сценарий обычно строят так, чтобы читать с исходного носителя и писать только на другой диск/папку.

7) Directory Browser и Volume Snapshot: «карта» файловой системы

WinHex связывает «сырой» секторный доступ с файловой логикой через снимок тома.

7.1) Tools → Take New Volume Snapshot

Команда Take New Volume Snapshot проходит кластерные цепочки, строит drive map и благодаря этому:

  • заполняет Directory Browser;

  • позволяет отображать, какой сектор/кластер относится к какому файлу или каталогу;

  • даёт основу для корректных операций Recover/Copy и анализа распределения данных.

Снимок тома имеет и «быстрые» варианты: например, в параметрах snapshot есть режим «quick snapshots without cluster allocation», который ускоряет создание снимка, но отключает возможность сопоставлять сектора/кластеры конкретным файлам. В справке прямо указано: при выключенной кластерной аллокации WinHex теряет способность «говорить», какой сектор используется каким файлом, а для восстановления полного представления используется повторный Take New Volume Snapshot.

7.2) Specialist → Refine Volume Snapshot

Углублённая обработка снимка тома относится к Specialist-уровню. В практике это означает: базовый snapshot даёт структуру и многие объекты, а refine добавляет дополнительные методы «довыявления» объектов и артефактов (в зависимости от лицензии и включённых опций).

8) Образы и резервные копии: Create Disk Image/Make Backup Copy

Команда File → Create Disk Image/Make Backup Copy — основной инструмент получения секторной копии.

8.1) Что именно можно образить

Справка фиксирует три источника:

  • открытый логический том;

  • открытый физический диск;

  • отдельный файл (для WinHex backup).

8.2) Три формата вывода и различия

WinHex предлагает три формата, каждый со своими свойствами:

Формат Расширение Интерпретируется как диск Сегментация Сжатие Шифрование Хеш Применим к отдельным файлам Требуемая лицензия
WinHex Backup .whx нет да да нет интегрирован да без спец. требований (зависит от редакции)
Evidence File .e01 да да да да интегрирован нет forensic
Raw Image напр. .dd да да (на уровне NTFS) нет отдельным текстовым файлом нет personal

Практическая расшифровка:

  • WinHex Backup (.whx) — удобен как резервная копия диапазона/объекта, может включать описание и хеш в «интегрированном» виде и обслуживается встроенными механизмами (например, Backup Manager). При этом сам по себе .whx не интерпретируется как диск.

  • Evidence File (.e01) — «форензик-контейнер»: интерпретируется как диск, содержит метаданные, опционально шифруется, включает интегрированные хеши для последующей проверки.

  • Raw image — максимально совместимый «сырой» формат для обмена между инструментами, интерпретируется как диск, но метаданные и хеши идут отдельными файлами/описаниями.

8.3) Зачем сегментация и как WinHex с ней работает

Сегментация полезна для ограниченных файловых систем (например, FAT32) и для управления рисками (потеря одного сегмента не обрушивает весь образ). Для интерпретации spanned-образов WinHex использует узнаваемые схемы именования сегментов (см. раздел 9).

8.4) «Cleansed images» и водяные метки на очищенных секторах

В справке описан режим, в котором при создании образа очищенные/«вымытые» участки помечаются строкой-watermark (ASCII или Unicode), чтобы при анализе образа было видно, что данные намеренно исключены. Это используется в задачах редактирования/редакции содержимого образа под требования приватности/комплаенса.

9) Интерпретация образов как дисков: Interpret Image File As Disk

Ключевая команда для анализа образов — Specialist → Interpret Image File As Disk.

9.1) Смысл команды

После интерпретации WinHex начинает обращаться с образом так, как будто это реальный диск или том:

  • образ рассматривается как логический том (с потенциально распознаваемой ФС) или как физический диск (с потенциальной разметкой);

  • становятся доступны операции открытия разделов внутри образа (если интерпретирован как physical disk);

  • появляется возможность строить volume snapshot по образу и извлекать файлы через Directory Browser.

9.2) Как WinHex распознаёт spanned raw images (сегментированные raw-образы)

WinHex поддерживает несколько схем именования:

  1. Первый сегмент имеет произвольное нечисловое расширение (например, .dd или .img), а следующие — .002, .003 и т. д.

  2. Первый сегмент имеет числовое расширение .001 или .0001 (или варианты с фиксированной длиной), а следующие продолжают нумерацию с тем же количеством цифр.

Базовое имя файла должно совпадать у всех сегментов.

9.3) Если WinHex «угадывает» тип образа неправильно

В справке описано поведение: в редких случаях WinHex может неверно определить, образ это physical disk или volume. Тогда при вызове команды удержание Shift заставляет программу спросить пользователя и не принимать решение автоматически; также Shift включает запрос размера сектора и дополнительных мест хранения сегментов.

9.4) Поддержка форматов виртуальных дисков

В описании Image Interpretation отмечена интерпретация VMware VMDK, динамических Virtual PC VHD и VirtualBox VDI определённых подтипов (sparse/fixed/diff), с оговорками по snapshot-цепочкам и поддержке «allocated areas» для редактирования.

10) Клонирование: Clone Disk и практические сценарии

WinHex поддерживает клонирование через Tools → Disk Tools → Clone Disk (в справке Clone Disk выделен как отдельная тема). Важные практические моменты (из описания «Images and Backups» и логики Restore/Clone):

  • Clone Disk используют не только для «диск → диск», но и для частичного копирования диапазона секторов, когда требуется контролировать порядок чтения (включая копирование в обратном порядке в специфических сценариях).

  • Restore Image подготавливает источник в Clone Disk, когда нужно вернуть сектора из образа на носитель.

11) Восстановление данных: три подхода WinHex

Справка WinHex формулирует восстановление данных как три разных метода, и все они начинаются с одного: нужно открыть диск-источник через Disk Editor.

11.1) Подход №1: восстановление через Directory Browser (файловая логика)

Это наиболее «понятный» сценарий:

  1. Открывается диск/том через Disk Editor.

  2. Строится/обновляется снимок тома (Tools → Take New Volume Snapshot).

  3. В Directory Browser выполняется навигация к нужной папке (или рекурсивный просмотр корня).

  4. Выделяются файлы/папки и выбирается Recover/Copy в контекстном меню.

Сильная сторона: восстанавливаются не только отдельные файлы, но и каталоги, а также удалённые объекты (при наличии метаданных ФС и сохранности данных).

11.2) Подход №2: автоматическое восстановление файлов определённого типа (без «здоровой» ФС)

В справке этот метод выделен отдельно: Automatic recovery of files of a certain type и подчёркнуто, что он не требует здоровой файловой системы.
На практике это означает «поиск по сигнатурам/типам» (carving-логика), когда структура каталогов разрушена или недоступна.

11.3) Подход №3: ручное восстановление (manual data recovery)

Третий путь — ручная работа на уровне секторов/блоков: выделение диапазонов, копирование блоков в новый файл, сбор фрагментов, проверка сигнатур, ручная реконструкция. В WinHex это сочетается с функциями поиска, навигации и интерпретации структур.

11.4) Критически важное правило

Справка подчёркивает базовую дисциплину восстановления: не писать на диск, с которого восстанавливаете. Любая запись повышает риск перезаписи потерянных данных и делает восстановление невозможным.

12) Recover/Copy: извлечение файлов из диска/образа и тонкие опции

Recover/Copy — одна из самых прикладных команд WinHex в реальном восстановлении и анализе.

12.1) Где находится команда

Это команда в контекстном меню Directory Browser.

12.2) Что делает Recover/Copy

Recover/Copy копирует выбранные файлы из их текущего источника в место, доступное для стандартного Windows-диалога выбора папки. Команда применяется:

  • к существующим файлам и каталогам;

  • к удалённым файлам и каталогам;

  • к файлам внутри интерпретированного образа.

Недопустимые символы в именах фильтруются.

12.3) Точная механика выбора пути: кнопка "..." и чекбокс рядом

В окне Recover/Copy присутствует строка с путём вывода и кнопка "..." в той же строке. Нажатие позволяет вручную указать путь, в том числе сетевой, который Windows не показывает по умолчанию. Если ввести несуществующий путь, WinHex уведомляет и предлагает продолжить — тогда путь создаётся автоматически (если возможно). Рядом с "..." есть неподписанный чекбокс, который при включении открывает окно Windows Explorer для папки результата после завершения копирования.

12.4) Расширенные возможности Recover/Copy (forensic license)

Список расширений большой; ниже — самые «практические» пункты, которые меняют рабочий процесс:

  • Воссоздание исходного пути: можно восстановить полную структуру каталогов в папке вывода; предусмотрен режим частичного пути (half-checked), где восстанавливается только часть иерархии.

  • Поддержка длинных путей: ограничение можно поднять (вплоть до 510 символов для output path + optional original path + filename), либо принудительно удерживать в пределах 260. При превышении лимита WinHex укорачивает имя; если не помогает — файл не копируется и попадает в report table.

  • Вторая копия: можно создавать 2-ю копию выбранных файлов в отдельной директории (удобно для передачи двум сторонам).

  • Именование по уникальному ID: выводные файлы можно назвать по unique ID с сохранением расширения; half-checked режим вставляет ID в имя (между базовым именем и расширением или в начале).

  • Сохранение временных меток: creation/modification/last access переносятся на восстановленные файлы (если доступны).

  • Разруливание дубликатов имён: при совпадении имён добавляются инкрементные числа перед расширением.

  • Логи копирования: при активном кейсе и включённом логировании создаётся copylog.html или copylog.txt с метаданными и соответствиями.

  • Slack space: можно включать slack space в вывод (как часть файла или отдельно) или копировать только slack.

  • Child objects: можно копировать/не копировать дочерние объекты файлов (актуально в форензик-представлениях, где «файл содержит файлы», например письма с вложениями).

  • Группировка вывода: разделение на директории Ex/Del для существующих/удалённых объектов, плюс дополнительная классификация по выбранным колонкам Directory Browser (тип, категория, владелец, hash set, привязки к report tables и др.).

  • Sparse-запись нулевых областей: WinHex умеет кодировать обнулённые области как sparse при записи на NTFS/ReFS (с влиянием на скорость).

  • Alternative names: можно использовать альтернативные имена файлов (если доступны) — они отображаются в Directory Browser в квадратных скобках.

В сумме Recover/Copy в старшей лицензии превращается из «копировалки» в инструмент с отчётностью и воспроизводимостью.

13) Сбор данных «вне файлов»: free space, slack space, inter-partition

Раздел Specialist Menu описывает набор команд «Gather …», которые формируют отдельные файлы-контейнеры из областей, обычно не видимых пользователю.

Команды перечислены прямо в Specialist Menu:

13.1) Gather Free Space

Проходит открытый логический том и собирает все неиспользуемые кластеры в файл назначения (на другом диске). Используется для анализа фрагментов ранее существовавших файлов, которые не были безопасно удалены. Источник при этом не изменяется.

13.2) Gather Slack Space

Собирает slack space — неиспользуемые байты в последних кластерах файлов (за фактическим концом). Каждый фрагмент предваряется переводами строки и номером кластера (в ASCII). Есть ограничение: slack у файлов, сжатых или зашифрованных на уровне ФС, недоступен.

13.3) Gather Inter-Partition Space

Собирает пространство физического диска, не принадлежащее ни одному разделу, в отдельный файл. Это быстрый способ проверить «дыру» между разделами на наличие скрытых данных или остатков прошлой разметки.

13.4) Gather Text

Извлекает текстовые последовательности по заданным параметрам и складывает их в файл. Этот метод используют для «сужения данных» при поиске зацепок (почта, документы, фрагменты сообщений). Выводной файл поддерживает разделение на части заданного размера.

14) Стирание и инициализация: Wiping and Initializing, Wipe Securely

WinHex закрывает два класса задач: «очистить конкретный объект/диапазон» и «санитизировать свободные области/весь носитель».

14.1) Что охватывает модуль Wiping and Initializing

Справка перечисляет области применения:

  • стирание данных в секторах диска;

  • стирание данных в неиспользуемых областях диска (через Disk Tools menu);

  • стирание файлов, выбранных командой Wipe Securely;

  • заполнение файлов заданными байтовыми значениями.

14.2) Методы заполнения/перезаписи (точно по описанию)

WinHex предлагает несколько классов паттернов:

  • постоянные байтовые значения (задаются в hex-нотации; очень быстро);

  • простые псевдослучайные байты (задаётся интервал 0…255; быстро);

  • псевдослучайные данные «как шифрование» (быстро);

  • криптографически стойкие псевдослучайные данные (CSPRNG ISAAC; очень медленно).

Также указано, что для максимальной безопасности применяют несколько проходов (до трёх) и приводится ориентир на подходы DoD 5220.22-M (одно- и трёхпроходные схемы с верификацией).

15) Хеширование и контроль целостности: Compute Hash и сопутствующие функции

В WinHex хеширование встроено в разные места:

  • при создании образов (интегрированные хеши для .whx и .e01, отдельный файл для raw image);

  • отдельной командой Tools → Compute Hash (и рядом — Hash Database и связанные инструменты).

В прикладной работе это нужно для двух вещей:

  1. подтверждение неизменности (образ/файл/набор файлов совпадает с исходным состоянием);

  2. быстрое сравнение и классификация (например, выделить «известные» файлы, сопоставить наборы).

16) Полезные инструменты File Tools и системные операции

В меню Tools WinHex собраны «утилитарные» действия, которые часто нужны рядом с анализом/восстановлением.

16.1) Tools → File Tools

В справке Tools Menu указан переход в File Tools, где находятся операции:

  • Split File (разделение файла),

  • Concatenate Files (склейка),

  • Unify File,

  • Dissect File.

Эти команды полезны в практических сценариях с образами и дампами: сегментация больших файлов под ограничения носителей, сборка сегментов обратно, разбор контейнеров на части.

16.2) Tools → Open RAM / RAM Editor

WinHex включает RAM-редактор, который запускается через Tools → RAM Editor (в некоторых версиях формулировка идёт как Open RAM/Memory Editor). Это позволяет работать с дампом/областью памяти как с байтовым массивом и применять типовые инструменты просмотра/поиска.

16.3) Tools → Take New Volume Snapshot (обновление представления)

Как отмечено в справке, снимок тома стоит переснимать после файловых операций на диске, чтобы отображение оставалось актуальным.

17) Практика: пошаговые сценарии

Ниже — несколько сценариев, которые хорошо иллюстрируют «как именно» WinHex применяется в реальной работе.

Сценарий A: создать образ диска и анализировать его без обращения к ОС

Цель: получить секторный образ, чтобы работать только с копией и не трогать исходный носитель.

  1. Откройте носитель через Disk Editor (логический том или физический диск — по задаче).

  2. Выполните File → Create Disk Image/Make Backup Copy.

  3. Выберите формат:

    • raw image для совместимости,

    • .e01 для форензик-контейнера с интегрированными хешами,

    • .whx для резервной копии/диапазона/файла.

  4. После создания откройте файл образа в WinHex как обычный файл (File → Open).

  5. Выполните Specialist → Interpret Image File As Disk.

  6. Снимите Tools → Take New Volume Snapshot для заполнения Directory Browser.

  7. Дальше работайте уже с образом: навигация по каталогам, поиск, извлечение файлов, анализ метаданных.

Сценарий B: восстановить удалённые файлы «по дереву» с сохранением структуры

Цель: быстро вытащить набор файлов/каталогов, включая удалённые, и получить повторяемый результат.

  1. Откройте исходный диск (или интерпретированный образ) через Disk Editor.

  2. Сделайте Tools → Take New Volume Snapshot.

  3. В Directory Browser перейдите в нужный каталог или откройте корень рекурсивно.

  4. Выделите нужные объекты и вызовите Recover/Copy из контекстного меню.

  5. В окне Recover/Copy:

    • укажите путь вывода (кнопка "..."),

    • при необходимости введите путь вручную,

    • используйте чекбокс рядом с "..." для открытия проводника по завершении.

  6. Если доступна forensic-часть, включите восстановление исходного пути и логирование, чтобы получить copylog.html/copylog.txt и воспроизводимость процесса.

Сценарий C: собрать slack/free space в файлы для дальнейшего поиска артефактов

Цель: вынести «остаточные» данные из свободных областей в отдельный объект и анализировать его как файл.

  1. Откройте логический том через Disk Editor.

  2. В меню Specialist используйте:

    • Gather Free Space,

    • Gather Slack Space,

    • при работе с физическим диском — Gather Inter-Partition Space.

  3. Сохраните результат на другом диске.

  4. Откройте полученный файл как обычный файл и выполните поиск текста/сигнатур/структур.

18) Плюсы и минусы

Плюсы

  • Очень широкий охват задач: файлы, сектора, образы, контейнеры, память, восстановление, стирание.

  • Наличие системного «моста» между низкоуровневым просмотром и файловой логикой через Volume Snapshot и Directory Browser.

  • Мощный и детализированный Recover/Copy с расширенной функциональностью в forensic-лицензии (пути, логи, таймстемпы, группировки, обработка длинных путей).

  • Гибкие форматы образов и понятная матрица свойств (сегментация/сжатие/шифрование/хеши).

  • Контролируемое стирание с разными паттернами и много-проходными схемами.

Минусы

  • Высокий порог входа: чтобы безопасно пользоваться Disk Editor и операциями записи, нужно понимать структуру носителей и риски.

  • Часть ключевых функций завязана на уровень лицензии (Specialist/Forensic), и это напрямую влияет на доступность команд меню.

  • Работа с секторами требует админ-прав, а в ряде конфигураций действуют ограничения на запись в системные разделы/оптические носители.

19) Частые вопросы

WinHex подходит для «обычного восстановления фоток»?

Да, но его сильная сторона — не «одна кнопка восстановить», а сочетание snapshot-подхода, Recover/Copy и ручных инструментов. Если файловая система повреждена, в ход идут автоматическое восстановление по типам и ручные методы (в логике трёх подходов восстановления).

Чем отличается .e01 от raw image?

.e01 — форензик-контейнер с интегрированными метаданными и хешами (и опциональным шифрованием), а raw image — максимально совместимый «сырой» формат, где хеш/описание обычно живут отдельно.

Как извлечь файлы из образа, чтобы они открывались в Windows?

Открыть образ как файл → Specialist → Interpret Image File As Disk → Tools → Take New Volume Snapshot → Directory Browser → Recover/Copy в контекстном меню → выбрать папку вывода.

Почему WinHex не даёт писать на диск?

Запись по секторам ограничена условиями системы и безопасностью. Справка явно фиксирует ограничения (включая невозможность записи на CD/DVD и особые ограничения в Windows Vista/7/8 для системного раздела).

20) Итоги

WinHex — инструмент «для тех, кто хочет контролировать байты». Он закрывает полный цикл: от чтения диска по секторам и создания образа до интерпретации образа как диска, построения снимка тома, извлечения файлов Recover/Copy и документируемых процедур в старших лицензиях. При этом WinHex остаётся честным низкоуровневым редактором: даёт доступ к критически важным областям и операциям, но требует дисциплины — особенно в сценариях восстановления, где любое лишнее действие записи на исходный носитель снижает шанс успеха.

Аналоги для WinHex

Профессиональные инструменты
Восстановление и диагностика