winhex完整版

v21.6 SR-3

* 索引引擎略有修改。

* 如果正确的启动密钥可用，X-Ways Forensics现在可以解密受启动密钥保护的BitLocker卷。启动密钥存储在.BEK文件中，而这些文件通常存储在可移动USB存储设备上。每当X-Ways Forensics在获取卷快照时遇到任何证据对象中的.BEK文件，它都会将该.BEK文件复制到案件目录中并保留在那里。（是案件目录，而不是案件的目录。）在该目录中，每当打开BitLocker卷时，系统会自动查找.BEK文件，以查看是否有匹配的。您也可以手动将找到的.BEK文件复制到同一目录中，以便X-Ways Forensics尝试。

* 在将WinZip格式（.z01、.z02、...、.zip）的跨区/分段文件存档添加到案例中时，您无需再像文档中所述的那样确保选择第一个分段（.z01）。如果您改为添加最后一个分段（.zip），由于其众所周知的扩展名，这一操作也是直观且可行的，即所有分段都将被找到并根据需要进行内部拼接。如果最后一个分段的扩展名为.ufdr，例如在跨区的Cellebrite UFDR报告的情况下，这一操作同样适用。

* X-Ways Forensics在崩溃后重启时，不再需要依赖单线程来找出有问题的文件，将其忽略并标记为崩溃原因。这将提高性能。

* 常规过滤器（内部可与AND或OR组合）现在除了可以与逻辑AND组合外，还可以与FlexFilters（内部可与AND或OR组合）通过逻辑OR进行组合。

* 一些小的改进。

v21.4

避免了多线程卷快照优化中的一些延迟。

通过多线程加速了并行文件归档处理，特别是对于智能手机收购等超大文件归档的证据对象。

图片内容分析现在对计算出的通用相关性有更大的影响。例如，根据检测到的内容有多不寻常以及这种发现的置信度，相关性可能会增加。

图片内容分析现在应用于一些以前无法应用的外来文件。

新添加的.e01证据文件中使用的压缩算法现在显示在证据对象属性中。

在v21.3及更早版本中，当一个RVS线程处理存档中的文件时，如果其他线程想从同一存档中的其他文件读取，则必须等待，除非这些文件的内容已经在缓存中。在v21.4中，其他线程不再等待，而是继续处理卷快照中不在该存档中的其他文件。忙于该存档的线程将专门负责处理该存档中的剩余文件。如果整个证据对象是单个文件存档，则所有线程都可以同时读取该存档中的文件。

加快了对某大型GZ档案的提取。

能够解构Windows可执行文件（EXE、DLL等）和Unix/Linux可执行文件，就像它们是文件存档一样。如果您对此感兴趣，您可以在“专家”|“优化卷快照”|“包含文件存档内容”|…下用复选标记将文件类型名称（如exe、dll、elf）添加到文件类型列表中。。。默认情况下，它们现在列在“特殊兴趣”部分，该部分没有被积极使用，主要是为了让你了解如果你愿意可以处理的文件类型。

现在，不仅可以通过卷快照细化，还可以通过常规卷快照选项来实现将文件包含在卷快照中的设置，因为在将档案作为证据对象添加到案例中时，这些选项也是相关的。

几个小的改进。