分析 "~"

~ 页将被打印。
正在搜索...
正在替换...
取消(&A)
关闭(&L)
~ 即将关闭。
保存(&S)...
帮助(&H)
删除(&D)...
编辑(&E)...
每行文件数
标准校验:
时间
次数: ~
(十进制)
(十六进制)
总计搜索到 ~ 个命中结果。
~ 出现次数被替换。
在所有 ~ 个文件中没有发现搜索内容。
所有窗口均被处理。
当外部程序中止后，需要点击 确定 以删除临时文件 "~"。
哈希库
可见磁盘空间中的分配表:
注意: 所有文件和磁盘处于替换编辑模式下， 所有改动都将在无提示下立即保存!
提示
注意: 正在处于替换编辑模式下。
没有未使用空间。
在 ~ 的未使用空间将被初始化。
去除当前选块将会改变文件大小。继续？
剪切当前选块将会改变文件大小。继续？
复制选块...
正在复制...
无法打开剪贴板。
无法使用此种格式访问剪贴板数据。
在当前位置写入剪贴板数据将会增大文件大小，仍然继续吗？
写入剪贴板数据将会超出虚拟内存块。
正在粘贴剪贴板数据...
正在写入剪贴板数据...
剪贴板数据无法写入。已到达磁盘末尾。
内部剪贴板和外部 Windows 剪贴板同时包含数据。需要使用哪个？
剪贴板数据将被写入偏移地址 ~。
是否希望将剪贴板数据粘贴至文件尾部 (到偏移地址 ~ 之后)？
剪贴板数据被粘贴到偏移地址 ~。 这将会增大文件容量。
插入 0 字节...
随机...
添加至文件尾部?
文件
磁盘
~ 不包含偏移 ~。
源盘和目标盘类型不一致!
如果需要复制一张软盘，必须要将扇区写入一个磁盘镜像文件!
请稍候重试。
没有打开的文件，脚本无法执行。
搜索 文件 记录
搜索选块组
改动将不会被立即保存。
请先停止当前进行的操作。
没有发现备份文件。
恢复至初始设置?
重新启动程序 ~ 立即重启?
~ 相应十六进制值
未发现文本。
偏移 ~ 符合你的规范。
在相关偏移地址中未发现指定的十六进制值。
搜索 "
替换于 "
替换完成
替换在偏移地址 ~ 发现的搜索结果吗?
搜索并替换的字串长度不一致。无法替换 RAM 中的数据。
"~" 被修改了。 现在保存吗?
提示
搜索窗口将被立即关闭。无法保存你的改动。
将未初始化区域读取为二进制 0
报告
试用此软件不能超过 45 天。请购买正版。
是否希望卸载 ~?
删除所有文件夹 "~"?
试用版无法保存大于 200 KB 的文件。
无法初始化 ASPI 界面。
相关物理磁盘未知。
只有完全版才允许将扇区写入磁盘。
整理文件大小? 请确定字节数 KB:
此操作只会对当前选块生效。
选择的整数类型限制已超过 ~ 倍(次)。
擦除
内部剪贴板和外部 Windows 剪贴板同时包含数据。现在需要清空哪个？
是否清空剪贴板？
剪贴板
源文件和目标文件不能一样。
分割 "
正在复制 "~"...
正在添加 "~"...
整合文件
~ 两个源文件将被交替写入一个目标文件中。
源文件大小不同。
正在合并文件...
分割文件
~ 一个源文件将被交替写入两个目标文件中。
正在切割文件...
搜索
匹配结果已被检测到。
现在可以使用 "~"查看报告。
如果不再需要报告，按 确定 删除。
扇区 ~ /
~ (页 ~)
此版本为试用版，使用 45 天。 如需经常使用请定购完全版。
十六进制值
收缩
备份...
位置
标题
应用于...
之前
修改的
总之，在完全版中，你可以建立这些文件的备份。
请输入最多 4 个(两位)十六进制数值。
转至另一个搜索词汇...
"~" 将被覆盖.
输入文件名和完整路径。
口令不一致。
文件或目录 "~" 不存在。
"~" 将被删除。
删除所有备份吗？
请检查输入的字符。 十六进制数值由两位字符组成 (0-9 或 A-F), 例如 "1A"。 字符中间没有空格。
请输入不超过 ~ 十六进制数值 (=~ digits).
软件免费升级，但需要注册码文件。
通配符必须是 1 个字符。
通配符必须是 1 个 2 位的十六进制数值。
警告! 这将导致丢失文件的 ~ !
请使用可以查看和编辑带分隔符文本文件的程序，例如 MS Excel。
选择需要复制的文件
应用全局设定(&G)
个搜索命中结果
字节
词
Drive\shell\打开磁盘 ~\command
Folder\shell\打开文件夹 ~\command
*\shell\打开 ~\command
逻辑驱动器
物理驱动器
移动存储介质
内置磁盘
远程磁盘
光盘
RAM 磁盘
软盘 ~
硬盘 ~
选择整数类型
在这个文件中搜索的十六进制数值:
搜索 "~" :
搜索整数(&S):
查找整数数值
如何进行的
建立新文件
最大保存数值:
执行
扇区
分割输出文件
插入的 0 字节数:
在偏移地址 ~ 插入
Ctrl+左箭头
~ 主内存
编辑
打开
复制(&C) "~"
删除(&D)...
原始:
加载位置文件(&L)...
另存位置文件(&S)...
选择文件 #~ 进行比较
WinHex 备份文件
应用(&P)!
现在可以查看报告。
~ 哈希值匹配
~ 哈希值不匹配
没有用于校验的哈希值 ~
关键词命中结果无法高亮显示。转换至十六进制文件模式?
小写 -> 大写字符
大写 -> 小写字符
二进制 -> 十六进制 ASCII
十六进制 ASCII -> 二进制
Intel Hex -> 二进制
Motorola S -> 二进制
二进制 -> Intel Hex
二进制 -> Motorola S
加密...
解密...
组合搜索
准备写入镜像文件 #~。
输入扇区号...
当前位置
文件起始位置
文件尾部
选块起始位置
选块尾部
主存储器
全部内存
此功能将应用于 ~ 字节。
此功能无法应用于奇数字节。
文件系统：
选择文件数量过多。
列出搜索结果，最多
统计出现次数(&C)
当前.xfc 案例文件由不同版本创建。 如果保存案例将造成冲突。以只读方式打开?
W/&o 0 字节
总在最前(&A)
所有 ~ 个选择的项目将被删除。
输入错误。
(已删除的分区)
放弃改变并继续?
口令至少要包含 1 个字符，最多可设置 ~ 个字符。口令位数越多安全性越高。
请检查路径和访问权限。
请确定文件夹存在，文件没有写保护。
请确定拥有足够磁盘空间。
删除所有现存位置表?
选择源文件 #~
"~" 是一个非法字符。
~ 个位置信息被加载。
~ 个位置信息被保存。
正在读取 "
正在写入 "
正在复制 "
正在创建 "
正在移动 "
正在更新...
动态加载...
"~" 长度 0 字节。
超出边界
确定放弃保存 "~" , 这将导致文件从磁盘中被清除?
(生于文件将不被保存。)
保存 "~"后，全局保存将中止。
正在创建备份 "
保存自
正在处理数据...
转换字节...
交换字节...
正在填充选块...
正在填充文件...
正在填充扇区...
正在分析选块...
正在分析文件...
正在分析扇区...
跳至页(&T)... Ctrl+G
跳至扇区(&T)... Ctrl+G
跳至记录(&T)... Ctrl+G
继续?
快照选项：
完成状态
正在打印...
正在初始化...
正在处理 "
正在创建文件...
正在写入缓存...
正在检查 "~"...
复制选块(&C)
复制所有(&C)
复制扇区(&C)
复制(&C)...
保存(&S) Ctrl+S
保存扇区(&S) Ctrl+S
填充选块(&L)
填充文件(&L)
填充磁盘扇区(&l)
分析选块(&L) F2
分析文件(&L) F2
分析磁盘(&L) F2
缺省编辑模式
只读模式
替换模式
过滤表达式不能长于 ~ 字符。
未恢复:
虚拟地址
修改已生效。
数据解释器
清除未使用的 $Mft 记录吗?
~ 条记录被清除。
十六进制 - 十进制
更新列表...
当前选块为一个完成文件。
注册表
确定要
确定要删除目标文件吗?
~ 个备份文件
当前文件
所有打开的文件
必须包含指定文本(&T)
必须包含指定十六进制值(&V)
包含下级目录(&I)
无法锁定驱动器。 可能其他程序正在使用。
导出报告表关联
您希望放弃当前操作，并以替换编辑模式打开文件。
这是之前的文件原始内容。 请决定是否现在保存文件。
这是之前的磁盘原始内容。 请决定是否现在保存磁盘。
未发现满足指定需求的文件。
不再显示此提示(&D)
应用此操作于所有开启文件(&F)
需要重新启动 ~ 以使此改变生效。
选择的进程已经不再运行。
加密的文件无法被解密。
由于路径中含有 Unicode 字符，此命令无法运行。
未命名
试用版只能允许查看，不能编辑虚拟内存。
请注意您的修改已经被直接写入虚拟内存。 只有键盘输入能够被撤消!
~ 的虚拟内存的结构已经改变。
改动无法被写入。
缓存已满。 现在将所有修改写入磁盘?
是否确定要将所有改动保存至磁盘？
保存至
请等待...
不能开启多于 ~ 个窗口。
搜索成功。
搜索完成。
操作完成。
位置管理器
请指定一个不同的文件名。
打印机没有准备好。
创建窗口失败
无法通过该属性排序。
继续?
屏蔽所有非打印字符?
正在转换...
正在加密...
正在解密...
预转换...
无法进行转换。偏移地址 ~发现非法字符。
"~" 未被发现。
转换结果为 ~
正在扇区 ~中搜索...
超出范围
警告: 在替换编辑模式下，所有改变都将立即写入原始文件!
超过 16 MB 内部剪贴板数据。
如需要在替换编辑模式下打开超过 200 KB 的文件，请购买完全版。
继续（不创建备份）?
在此操作过程中，扇区将被立即写入磁盘。
此操作需要将所有未保存的修改立即写入磁盘。
请注意：此操作后 "~" 的分区、文件系统的完整性将被严重破坏。
修改数据
修改选块数据
此软件版权属于
转换文件
转换选块
搜索相同字节
搜索不同
一致
区别
高亮显示空余空间
高亮显示残余空间
保存哈希(&S): ~
请复制您个人的注册信息 (使用 Ctrl+C, 全部 6 行), 粘贴至此处 (Ctrl+V) 并点击 确定 来注册本软件
~:
暂无信息
个人备份
键盘输入
剪切选块
数据粘贴
写入粘贴板
选块填充
移除选块
数据修改
替换
常规
字节交换
转换
加密
解密
写入扇区
模板
脚本
无效备份文件
未知加密算法
错误解密口令。
不支持的扇区大小。
正在恢复
校验数据真实性...
~ 扇区将被直接恢复至 ~!
此扇区将被直接恢复至 ~!
真实性校验被放弃。 是否恢复?
扇区 ~ 至 ~ 被恢复。
扇区 ~ 被恢复。
磁盘镜像结束
复制扇区
此操作后，无法执行撤消
要覆盖的扇区没有备份
由于指定撤消功能被限制在 ~ MB。
到达最大备份文件数量。
文件大小:
校验:
摘要:
选择 确定 进行恢复。
数据真实性校验被拒绝。
数据真实性校验被确认。
只读模式
替换模式!
反向撤消:
同时列出相对应的视频
分配大小:
基数地址:
用户搜索结果
处理:
DOS 名称:
创建时间:
最后写入时间:
请注意：当前软件将在 ~过期。请联系北京天宇宁达科技有限公司咨询升级方法。
检查
无
属性:
当前窗口:
撤消级数:
窗口总数:
~% 空余
已用空间:
空余空间
总容量:
每簇字节数:
空余簇:
簇总数:
每扇区字节数:
可用扇区:
块大小:
物理磁盘:
物理起始扇区:
十六进制
虚拟
模式:
字符集:
偏移地址:
每页字节数:
可用
无数据
剪贴板:
暂存文件夹:
驱动器
(内部)
空余
柱面数:
磁道数:
磁头数:
盘面数:
每磁道扇区数:
柱面号:
磁道号:
磁头号:
盘面号:
扇区号:
通配符过滤
缩短
加长
~ 个文件?
是否暂时利用此改变来更新 "~" , 直至取消操作?
~ 字节( ~ 个文件) 被合并至 "~"。
比较
放弃
完成
未发现不同。
未发现相同字节。
文件大小不同。
选择剪贴板格式
填充十六进制数值(&v)
随机字符(&r)
选择替换 ~ 字节(使用 ~ 字节替换)。所搜索字符串后面移动 ~ 字节( ~)? (这将改变 ~ 文件大小。) 如果
选择 "否", ~
向前
向后
增加
减少
原有数据将被多出的字符覆盖。
多出的搜索字符将保留在文件中。
搜索语句最长可至
25 当使用 Unicode 时。
请指定文件名。
- 未命名 -
请选择需要导入的剪贴板格式。
例外类型 ~ 发生在偏移地址 ~。
创建备份过程被中断。 操作执行后无法撤销，是否希望继续?
所有编辑的窗口~ 将被自动保存。
已被修改
所有 ~
~ / ~
~ 打开的文件/磁盘已被保存。
次数 #~
页
扇区
数字 ~ 被发现 ~ 次。
数字 ~ 没有被发现。
相对应的十六进制数值为
基于 ~ ~-bit 格式，数字 ~ 相对应十六进制数值
无符号的
有符号的
在偏移地址
现在查找当前文件 "~" 包含十六进制数值 "~" ，和文件 "~" 包含十六进制数值 "~"的第一个位置...
下列文件将被永久删除。
"~" 由 ~创建。
软盘
硬盘
内部(&I)
外部(&E)
错误
扇区
扇区
正在比较 "~" 利用 "~"...
~ 目标盘
~ 磁盘
选择
为保持程序正常运行，消息窗口将被清空。查找原有消息，请查看 "msglog.txt"文件。
初始化空余空间 on ~
写入剪贴板
汇编语言指令(&S)
恢复 ~ 扇区
检测到扇区大小不匹配。
是否已用编辑器保存修改? 选择 确定 后 WinHex 即可应用改动。
选项...
分割(&S)...
执行(&E)
取消选择(&D)...
选择目标文件夹
另存为
打开文件
添加目录
选择文件夹
删除文件
永久删除文件
选择文件
选择要复制文件
选择要移动的文件
分割分件
执行文件
切割文件
选择要查找的文件
选择模块
选择外部程序
载入位置
恢复备份或镜像文件至磁盘
选择目标文件
另存报告
打印至...
保存位置
创建备份/创建镜像文件
保存项目
附加(&P)
完成(&D)
相对记录偏移地址(&L)
绝对偏移地址(&A)
记录字节大小(&R):
快照结束时
其他/未知类型
簇号:
根目录
引导扇区
保留扇区
数据扇区起始位置:
已到达最大文件数 ~ 。 所有簇中的 ~% 无法继续。
读取数据 ~...
无法找到全部簇链。
磁盘快照创建于
剩余
分析软件(&s):
分钟
最多
~ 分钟以前
~ 小时以前
~ 天以前
在偏移地址 ~ 的数据与模板要求不匹配。是否继续?
模板中语法错误
语法通过
模板管理器
模板编辑器
记录 #:
基本偏移:
创建模板... (变量 #~)
数据与模板定义不匹配，出现读取错误。
成倍增加写入次数(&m) (最安全):
所有文件
位置文件
导出列表...
目标文件(&D):
X-Ways Forensics Cases (.xfc)
HTML 文件
Project 文件
磁盘克隆 (扇区复制)
完整获取 ~
启始扇区 (源盘):
启始扇区 (目标盘):
复制扇区数(&N):
坏扇区填充值(&P):
Preferred
存储介质
DD 镜像文件
源盘:
目标:
范围(&N):
至(&T)
无法读取扇区 ~。 按 确定 跳过该扇区。
正在复制扇区...
~ 个扇区被成功复制。
扇区无法读取:
遇到坏扇区。
文件属性
短文件名(&N):
文件字节大小(&S):
创建时间(&C):
最后写入时间(&W):
最后访问时间:
文件属性(&A):
名称
个目录
显示详细信息栏
变换位置
只是试用目的。
级别: 威望版。 软件授权给:
软件授权给个人使用:
软件授权给专业使用:
级别: 专家版。 软件授权给:
软件授权给:
级别: 法证版。 软件授权给:
缩短连续的簇列表(&S)
?:\空余空间
注册表
新建(&N)...
总计选中:
详细
为此位置添加描述:
转换所有打开文件(&F)
十六进制换算为十进制值
页
页号
图标:
大小
撤消
状态
No.
扇区 ~
立即搜索(&O)!
十六进制值:
十六进制)
数值
原始的
修改的
在所有打开文件中(&F)
检查语法(&X)
目标文件 #~
(最后)
设置口令 (最多 ~ 个字符):
确认口令:
"~" 已经打开。
开始(&B):
结束(&E):
定义选块
备份管理器
仅显示个人备份数据(&p)
恢复(&O)!
全部删除(&A)...
检查(&C)
http://www.x-ways.net/
数据解释器选项
二进制(~ 位)
分钟替换秒(&M)
更新 "~"?
覆盖 "~"?
删除 "~"的备份?
全部
向下
向上
(最多!)
无法
打开 "
读取 "
创建 "
删除 "
写入 "
读取
执行 "
加载 "
访问 "
分配
浏览 "
访问
写入
~ 个文件头部信息被发现。 ~ 个文件被恢复。
计算哈希值(&m)
打开报告(&R)...
恢复的文件
搜索/替换(&R)
无提示直接替换(&R)
查找(&F)
至此为止
"~" 总计 ~ ~ 次.
"~" 总计 ~ ~ 次。
被发现
被替换
应用不同背景色(&d)
第一个记录偏移地址(&F):
未分区空间
分区表
分区
下一个簇(&N)
源数据的哈希值:
~ 的临时文件将被创建。
压缩率: ~%
再次扫描簇链?
二进制:
文本
搜索所有扇区边界
依据单独簇边界标识
依据特定字节／簇边界标识
字节级搜索
软件锁
启动中心
打开文件(&F)
最近打开的数据(&R):
案件/方案(&C):
脚本(&S):
删除方案 "~"?
删除脚本 "~"?
继续 "~"
扇区统计:
无效文件
窗口管理器
恢复
读取
数据源
导出为
文件/磁盘比较
从偏移地址(&F)
从偏移地址(&S)
停止比较(&C)
转换之恢复的文件...
粗体打印
需要保存时才写入磁盘(&W)
直接且立即写入磁盘(&T)
另存为(&A)...
相对扇区号:
打开(&O) "~"
簇
保留
坏
结尾
处理脚本...
行 ~:
脚本/DLL "~" 将被执行。
注意：恶意的、错误编程、错误使用的脚本可能会导致丢失数据。
此脚本用于:
语法错误
WinHex 脚本
文件大小错误
~ 命令已执行。
项目
文件恢复
依据文件头标志搜索
只有专业版才能执行样本以外的脚本。
名称 ~
方案
执行脚本前提示
执行命令行前提示
最后部分
只可用于替换编辑模式。
"~" 在此过程中被修改。#丢失当前状态或重新加载?
错误信息作为元数据留存。
高亮改动过多。
模板
坏扇区
残留空间
正在提取...
去除残留空间中的所有出现的缺省 0 字节?
不支持基于文件系统的文件压缩和加密。
文件
和
文件必须保存至其他磁盘。
数据恢复
当前目录
~ 个文件和 ~ 个目录被成功恢复。
恢复
出于某种原因，使用 GREP 表达式或纯数字的搜索项来进行搜索，其复杂度会使此次搜索计算过程变慢。请不要将
UTF-8 编码与 GREP 通配符和乘法器结合使用。若您使用的是 32 位版本，请换用 64 位版本尝试。
此操作可能会失败，因为 FAT 系统不支持大于 ~ GB 的文件。
上一簇(&P)
搜索目录 (向上)
搜索目录 (向下)
请结束所有正在运行或驻留内存的可能写入磁盘数据的程序。 确定文件系统没有错误。
请保存文件至其他磁盘，防止覆盖其他删除的和丢失的数据。
请注意：磁盘快照 | 文件签名搜索 功能更加强大及易用。
+/-x: 转换至所设定的时区
插入模式。这可能会改变文件大小。
打开(&O)
变量范围
至
提示
读取扇区...
只供专家版和法证版用户使用。
此操作被终止。
个项目被导出。
添加(&d)
删除(&l)
覆盖次数(&P):
输入文件编号前缀 (如 ".AA")。
输入文件编号数字。
~ / ~ 个文件被重命名。
重命名
打开
"~" 创建成功。
物理偏移
逻辑偏移
描述
搜索结果
文件名称
状态描述
描述
扩展名
文件类型
签名状态
文件分类
分类描述
证据项
路径
绝对路径
上级目录
子数据
文件大小
创建时间
创建时间 ²
修改时间
修改时间 ²
记录更新时间
记录更新时间 ²
访问时间
删除时间
内容创建时间
文件属性
第 1 扇区
文件系统偏移地址
标识 ID
内部标识 ID
内部上级目录号
唯一 ID
唯一 ID-GUID
文件所有者
工作组
作者
发件人
收件人
To
Cc
Bcc
链接统计
文件统计
搜索结果
词汇统计
搜索词汇
页数
分辨率
分析
哈希值 ¹
哈希值 ²
哈希库
哈希分类
包含报告表
注释
元数据
创建工具签名
相机类型
关联性
关闭窗口
从案件中去除...
"~" 被成功保存。
当前活动的案件
文件夹 "~" 已经存在。
关联案件:
新案件
注释
编辑书签...
添加书签...
目标磁盘太小。
空余空间不足。
校验哈希(&V)
数据真实性
全部
~ 份文件将被删除（ "~"）中。
从案件中删除 "~" 。
卷标:
跳过。
警告: 无法恢复!
索引 ~
目录偏移量
记录偏移量
为每个证据项目使用特定的时区(&I)
安全保密选项
抽取的文本
卷残留空间
为快速读取访问，请通过 *物理* 介质方式打开分区。
文件(&L)
编辑(&D)
案件名称或编号(&T):
模式按钮
案例文件:
调查员、机构、地址信息(&X):
自动记录所有操作(&L)
恢复/复制命令操作日志(&L)
白色背景
在日志中同时包含窗口截屏(&I)
导出至缺省证据文件夹
将发现的磁盘分区自动添加到案件中
内部名称:
注释(&C):
案件描述(&D):
选块
输入 "~" 以确认:
请确保暂存文件目录及案件数据目录设置正确。(.) 代表 ~ 软件运行的位置 (~)。
输入搜索的关键词，然后按组合键 Shift+Return:
输出目录:
您可以将 X-Ways Forensics 变为 WinHex。只要在可执行程序名称中添加"WinHex"字符即可。
(写保护)
(编辑状态)
为
全局的
长度
颜色
只有 WinHex 完全版才可以解释样例以外的模板。
是否真要放弃?
添加日志记录(&L)...
手工添加记录:
查看器(&V)
总计:
改名...
本次操作分析数据总计 ~ 。
此文件属于不支持的文件格式。请试用其它版本 ~。
建议保存工作，重新启动程序。
目录
列出的簇(&L)
名称未知
Inode 中文件#
Inode 中目录#
簇中目录#
Inode 修改
(上)
(下)
文本文件
可执行文件
创建哈希集(&H)...
依据哈希库比对哈希值
导出除无关文件之外的所有文件
仅过滤已知类型文件
~ 线程
检测到文件系统错误。
创建目录列表(&D)...
位于
扇区
窗口将被关闭。
希望忽略坏块。跳过扇区数量:
对话窗口风格
包含于报告中
特殊图标:
注意：字节级搜索只适用于非常精确的、较长的文件签名。
将分区添加至案件中
项目名称
(已加密)
浏览
~递归
扇区
文件
预览
缩略图
时间轴
图例说明
信息
搜索过程中自动解析:
相关联的程序
取消标记
只对法证版用户提供此功能。
完全搜索...
放弃尾部扇区:
合并(&M)...
Outlook 综合数据
型号:
序列号:
固件版本号:
列宽
目录浏览及过滤设置
无法安全擦除 ~ ( ~ 空余空间)。
转至 ~
属性...
根目录和子目录
搜索时包含压缩文件
分区容量 ~ 无法确定。 镜像文件(~) 可能不完整，或是 RAID 系统的一部分，或不应被识别为 *物理* 磁盘。
您确定搜索非 7 位的 ASCII 字符。如果需要在 HTML, RTF 等文件中搜索，需要对这些文件类型进行解码。
包含时间
以上未涉及的所有
添加至
文件系统区域
将文件中的 ~ 保存到容器内
第一个镜像文件片断需要包含非数字的文件扩展名或 ".001"。
文件记录
目录表
书签
隐藏(&H)
不支持
项目名称/编号:
包含报告表单(&T)
添加至报告表
报告表关联
是否真的确定?
记录
改变磁盘访问方式
改名(&R)...
间接写入 (可以使用防病毒工具)
目录开始处
重建 Reiser 目录结构...
口令(&P):
设置案件打开口令
保护案件防止被修改
支持 ~ 文件系统:
解释磁盘镜像文件:
基于文件系统结构进行恢复(&T)
基于文件签名进行恢复
解析 zip、rar、7z、tar、gz 等压缩文件中的数据(&Z)
基于文件签名和算法验证文件真实类型(&V)
图片分析和处理(&P)
提取不同类型文件中的嵌入数据(&U)
文件格式识别和加密算法检测(&E)
在选定证据项中搜索
文件签名(&I)
磁盘快照
仅过滤无关的文件
仅过滤已知和关注文件
去除选块...
项目
搜索下列文本 (每行一个):
在编辑窗口中高亮显示(&H)
(无 磁盘/镜像)
添加注释(&C)...
"~" 被删节 ~ KB。
从列表中删除(&D)
物理扇区号:
逻辑扇区号:
未使用的 分区间隙 空间
文件
标记
搜索词语
制作备份复制(&M)... Alt+C
创建磁盘镜像(&C)... Alt+C
口令不正确或未设置。
路径过长。
复制的
搜索命中结果
参考: 残留空间包含在内，将会影响哈希值。
查看器不支持暂存文件路径:
Partial path
~ 容量大小不正确。这不是之前加载的证据项目。有可能发生了严重的错误，或者出现了一个技术问题!
分卷镜像， ~ 个分段。
报告中使用的机构徽章图片(&L):
报告头信息(&H):
选用报告封面(&P):
特例词语(&E)
图片最高分辨率(&D):
使用新的磁盘替换...
对以下字符组成的文字进行索引:
包含短语中的单词(如英文：Filename 中的单词 name)
单词长度:
确定复制 ~?
黑/白
共包含 ~ 个数据项，标记数据 ~ 个，隐含数据 ~ 个。
警告: 如果忘记口令，将永远无法再打开此证据文件。
证据名称
直接 (无保护)
间接
选择添加文件的方式: ~
基本报告
垂直滚动
间接选块
磁盘快照不成功 (查看磁盘快照选项)。
空闲空间
混合 非常驻属性
此文件包含子数据。希望如何操作该文件?
显示文件---描述中包含...
过滤包含以下元数据的文件
任何
取消此过滤项
过滤包含有以下注释内容的数据
是否去除注释?
将相同注释应用于所有 ~ 选择的项目?
将证据项目名称作为根目录名称
参考: 已选择目录的内容不会被添加至报告表中，只包含目录本身。
空目录
证据文件管理器可通过目录浏览器鼠标右键接收文件。
创建原始路径(&c)
无法与磁盘快照同步。
提示: 目录浏览器没有显示文件列表。
你可能希望禁用磁盘快照功能。
Start offset mod
可以使用工具栏中的 "向前" 按钮返回之前查看的视图。
可见通过鼠标右键点击目录以展开下级所有数据。
请注意，过滤器对于标记的目录不起作用。
没有检测到文本内容
~ 界面
创建
无法创建目录 "~"。
省略:
标记为可关注的
已标记为关注项
无
物理内存
符号规则
如有可能自动重命名
[真实的]
缺省缩略图大小:
是否关闭案件?
无法转换关键词 ~ 至 ~代码页.
进行磁盘快照后共有 ~ 个数据项 (之前 ~ 个, 之后 ~ 个)。
~ 个数据项目添加至 ~。
正在分析文件...
同时搜索短语中的单词
(不完整且速度慢)
单词索引:
索引数据总计:
命中提示过多。 中止列表?
--> 添加至报告表
列出半标记的项目
你可能需要禁用磁盘访问方式 1 (选项-常规设置)，因为此介质速度非常慢。
ATA 密码保护:
无关的 / 已知好的 / 无害的 / 可忽略的
关注的 / 已知坏的 / 恶意的 / 相关的
无关的
关注的
请注意，加密锁丢后无法重补加密锁。您可以联系中国区总代理北京天宇宁达科技有限公司核实软件版本并申请
加密锁保护。
无法同时支持虚拟介质。请先关闭另外的虚拟介质。
取消全选
单用户的软件狗无法共享。例如，在其他计算机启动软件后取下软件狗再返回本机使用。
可以在注册表查看器中加载多个键值，可以在窗口打开的情况下同时加载所有，或一个一个地加载。
展开证据项内容
单击缩略图查看文件
时区
添加时区信息至日志:
指定用于创建"~"的原始时区信息
输出的文件有不同的时区标志。
请注意：此卷的磁盘快照是 ~ 进行的。
自动标记已查看过的文件
此操作将永久删除所有搜索命中结果。
此操作将在整个案件中永久保存所选择的关键词及相应搜索命中结果。
只有先将此卷作为证据项目添加至案件中，查看搜索结果功能才可使用。
需要先将此卷与案件关联。
调整大小...
每个文件仅显示 1 个搜索结果
删除重复的搜索命中结果...
扇区 ~ 不存在。
文件格式 ~ "~" 不兼容。
报告表:
只有包含有当前案件 (~), 暂存文件目录 (~) 和镜像文件 (~), 或安装目录 (~) 的驱动器才是保存数据的合
法驱动器。
读取.e01 文件时校验&CRC
磁盘快照将不完整。
当前授权截止日期 ~ 。
根据您的 ~,免费升级期截至 ~ 。软件相关培训请联系北京天宇宁达科技有限公司。
如果继续, 将重新进行磁盘快照。你将丢失之前的分析结果 (如搜索结果, 哈希值, 注释, 标记, 已验证的文
件类型, 电子邮件, 关联报告等)。
制作报告：
已标记的项目
已查看的项目
~ 选择的项目
所有已标记文件
所有未标记文件
注意：当前设定下，隐藏项目不会过滤掉。
选择匹配的哈希集
切换类别
未验证
无关的
不在列表
匹配
未确认
不匹配
检测到不匹配的
导入所有文件并创建独立的哈希集
创建哈希库
哈希集
哈希值
激活(&C)
更新快照(&N)
日志
扫描扇区 ~,已发现 ~ 个分区
~ 个分区。
虚拟出的 (便于分析)
存在的
曾经存在
改名或移动
首簇无法发现
内容可能已改变
内容未改变
列出虚拟的项目
列出文件系统内部文件
递增完成的
隐含数据
附件
提取的邮件
包含附件
从扇区中恢复的
ATA: 磁盘空间可能被 HPA 或 DCO 改变容量。
在证据文件管理器中，强烈推荐使用逻辑搜索功能。
请首先打开 "~" ，因为该卷中包含此文件。
请确定先加载所有关联的动态磁盘。 之后，可以打开动态磁盘，或将所有动态磁盘添加至一个案件中。
禁用(&D)
对上一个已知分区搜索后，仅限于对未分区空间搜索
为使文件签名库生效，请点击 取消，再重新调用本对话框。
自定义查看器:
只能查看元数据。
参考: FAT 文件系统的文件只能显示出最后访问时间 0:00.
关联此扩展名的外部程序将要运行。
外部查看器 ~ 将要运行。
请首先选择报告模板，然后输入报告文件名
无效的通配符: ~。 最多只允许使用 2 个星号，例如: *something*
早期版本的磁盘快照格式将被保存为当前版本格式。保存之后快照将无法被旧版本的 X-Ways Forensics 读取。
请先备份所保存的案件目录及所有下级目录中的数据!
存于案件日志目录
转换失败。磁盘快照还是过去的格式。
磁盘快照转换完毕
需要重新校验文件签名 (通过磁盘快照)。
请先打开证据项目。
驱动器 A: 至 Z: 中的文件将被操作系统访问。只有使用了写保护设备才能够保证数据的原始性。
组件大小不一致。
请先将 RAID 磁盘加入案例中,不是分区。
构成阵列的磁盘或镜像
条带大小：
块大小：
磁盘或镜像数量
缺失
查看器无法显示此文件。
操作被用户放弃。
案例已保存。
无法放弃...
试图放弃...
将鼠标移至此处以放弃...
持续时间:
问题已经被记录在 "~"文件中。
可以将此文件发送至 mail@x-ways.com ，并对您的操作进行简要描述。
逻辑大小:
~ 个内容表项目被保存。
(除搜索结果之外均已列出。)
第一个 "~" 的搜索结果在 ~ 模式中已高亮，您选择的搜索提示结果无必要。 按 F3 跳转到下一个命中项。
隐藏了 ~ 个项目
取消 ~ 个隐藏项目
包含所有(&R)...
取消隐藏(&U)
无法使用此功能分割镜像文件。请使用 "创建磁盘镜像" 功能，或选择一个 NTFS 目标驱动器。
用新镜像文件替换...
重要问题: 这是一个包含分区的物理介质镜像吗?例如硬盘，起始位置包含 MBR 或 GPT?
如果不是, 它将为看作具有引导扇区开始的逻辑卷镜像文件。
最多只有 ~ 个此类项目可以与证据项目关联。
发现的重复数据
在文件查看器中显示如此大容量的文件将很费时间。
~ 提取自 ~。
活动窗口:
导出下级目录(&x)
包含操作记录日志
导出字段设置:
未知
报告中同时包含 ~ 的副本
内部描述(&d):
快照时包含 ~
无法准确判断文件或目录 "~" 在该卷中的位置。
ASCII 视图方式下数据有删节
无法显示此图片。
不能多余 ~ 字符。
列出正常数据项目
列出曾经存在的数据项目
列出标记的项目
列出未标记的项目
列宽以像素为单位
高级排序(较慢)
分组显示文件和目录(&G)
分组显示正常文件和删除文件(&e)
列出根目录
打开和搜索文件时包含残留区(&s)
显示网格(&g)
展开时显示目录
在案件中保存目录浏览器设置
通过文件类型排序显示顺序
展开目录时显示统计数据
显示时区设置
过滤条件同时应用于目录
同时支持 Joliet 和 ISO9660 文件系统
日期之前
日期之间
日期之后
应用于所有文件
磁盘快照选项...
应用于所有未被排除的文件
应用于所有标记的文件
使用独立的查看器
灰度缩略图
文本编辑器(&T):
网页查看器 (可选，如用于查看案件网页报告):
启动时无排序设置
同目录文件
已知重复数据
只复制逻辑文件内容
文件内容中包含残留区数据
分离文件和残留区数据
只复制残留区
仅复制选块
仅复制元数据
正在解析原目标盘数据...
通过外部程序打开 "~" ? (按住 Shift 键选择一个程序。)
哈希值计算完毕。
从新计算哈希值:
插入软件锁后点击 确定 ，点击 取消 中止程序。软件锁不能卸除。
插入软件锁后点击 确定 。
可添加用户信息。北京天宇宁达科技有限公司为中国总代理，提供培训、技术支持和升级服务。
应注意的文档
不适当的图片
涉及 XXX 公司。
请询问见证人 王 XX
仅在高级版本中可用。
图片
不排序列表
分布式索引
参与者
案件自动保存时间(分钟)：
包含出现次数统计?
在后续操作中，此类信息将不再显示。
在后面操作中，此类信息将不再显示。
"~" 需要每一个文件包含 ~ ~ 个关键词(总共选择了 ~ 个关键词)，不满足搜索条件的文件将不被显示。
物理搜索结果提示只能在扇区模式下查看，在案件根目录中无效。
物理磁盘没有添加至案件中，需要首先添加硬盘。
分区间隙
未分区空间
起始扇区
分区
分区类型
无法分区的
以只读模式打开~。
最高
超过 8-9 字符，通常会不必要地增加索引大小，且对搜索特定词语无帮助。从索引中导出单词列表时有效。
模拟加密数据
加密 伪随即序列数-慢(&r)
现存关联:
保留
替换
(间接选块)
优化...
最小搜索字符长度: 3 个字符
每个文件显示 1 个搜索提示(快)
逻辑(&L):
物理(&P):
柱面/磁道:
磁头(&H)/面:
距离(&D):
方向:
向前(&f)
向后(&b)
反选
解析电子邮件正文和附件
口令正确。现在可以为用户设置一个新的案件口令。
删除数据/未删除数据
未发现电子邮件
浏览失败
你可能希望手工查看这些文件。
采用夏令时(&b) ( +01:00)
上述 DST 规格将被执行。此规则不能确保正确。请将正确更正结果发送至 mail@x-ways.com。
(残留区)
加密锁尚未授权，无法使用。
搜索结果邻近的上下文
Raw CD 访问 (2352-字节 扇区)
源
目标
匹配大小写(&M)
用作通配符(&U):
搜索完整词语(&Y)
GRE&P 语法
搜索(&E):
条件: 偏移计算
在选块中搜索(&B)
在所有窗口中搜索(&W)
忽略读取错误(&I)
确定(&O)
否
是
否(&N)
是(&Y)
磁盘空间不足。请指定写入下一个片段的位置。
提取内容创建时间(&E)
软件已解锁。
A: 文档, R: 只读
H: 隐含，S: 系统
X: 未索引的 (Windows)
P: 还原点
O: 脱机，T: 暂存，I: 包含项目 ID
#: 仅部分内容初始化
~: sparse (NTFS)
C: 文件系统级压缩
c: 压缩文件
E: 文件系统级加密
e: 压缩文件中的加密
e!: 特定文件类型加密/DRM
e?: 加密可能性较大
(Res): 资源 (HFS+)
($EFS): 加密数据
(INDX): 索引属性
(ADS): 动态数据流
开始(&B)
当前位置(&C)
当前位置(&P) (从后往前)
结尾(&E) (从后往前)
新位置(&N):
相对于...
偏移地址:
相对偏移地址:
代码页
同步
案件根目录
镜像文件格式:
Raw 镜像格式 (.dd，.001，可分割)
E01 镜像格式 (可分割和压缩)
WinHex 备份文件 (.whx)
路径和文件名:
自动指派(&s)
范围：扇区
分区表内未提及
可替换字符
压缩(&C):
提取元数据信息至元数据列，可进行过滤、搜索和报告
加密(&E)
口令(&K):
分割镜像文件大小(&p)
结束后关闭计算机
逻辑搜索(文件方式)
物理搜索(扇区方式)
忽略哈希库判定为不相关的文件
忽略被排除的文件
忽略被过滤掉的文件
自动缩减数据搜索范围
忽略目录
在所有数据中搜索
在标记的数据中搜索
在选择的数据中搜索
包含残留区和空余空间过渡区
只能打开证据文件管理器文件。
证据文件管理器没有设置为 "保密"。
过滤
没有哈希库。
左侧(&e)
居中(&c)
右侧(&r)
操作*:
菜单:
对话框:
OR
AND
NOT
利用系统关联的程序查看
可以将新发现的分区添加至当前案件。去除假分区，可以隐藏假分区或直接从磁盘快照中去除。
打印日期： ~ ； 打印人： ~ ； 软件版本： ~。
提示每一个文件
打印机:
设置(&S)...
全部(&l)
选择区域(&e)
页码(&P):
封面
首页打印路径
列出没有盘符的卷
无法以扇区方式读取此驱动器。必须通过操作系统读取文件内容。这需要特定的用户权限，且如果文件被锁定将
会无法打开。打开文件将会导致时间戳改变，涉及的磁盘空余空间、残留区、删除文件、ADS、EA 等信息均无法
显示。
此案件已在另一个进程中被加载。您可以选择采用只读模式打开案件，或者另创建一个身份打开案件。
将 ~ 访问的加密文件视为未加密?
作者:
已解码
请不要丢失软件加密锁。 丢失后，X-Ways 公司不会为您重新提供加密锁。
无法解码文本
已查看
无法读取
选择
文件预览过后
已查看后
当以缩略图方式查看图片后
用 Alt+方向键浏览目录时
文件哈希为无关类型
磁盘快照发现文件为 0 字节时
标记为重复的数据
所有文件
只是未存在文件
只是正常文件
动态显示邮件和发送时间栏
通过此栏目索引速度可能极慢。
邮件中嵌入数据或附件
案件文件备份次数:
高亮搜索提示(&H)
对不起，软件授权与此版本不匹配。
保留边距
窗口内搜索:
保存提取的文本信息以加快预览和搜索
未完成
(新添加的证据项目)
切换目录浏览器和关键词搜索结果视窗
空白的压缩文件?
无
稀疏
快速
匀速，自动选用
正常
较好压缩率(较慢)
, 当前的
去除所有已排除数据...
列出的隐含项目
未拷贝
常规设置
最近打开的文件数量(&r)
添加至 Windows 右键菜单
允许同时运行多个程序(&m)
不更新文件时间(&n)
检测磁盘末尾剩余扇区(&r)
根据磁盘中的位置排序分区
自动检测删除的分区
生成超时-毫秒:
最大化编辑窗口(&z)
显示更多右键菜单功能(&c)
显示文件图标(&i)
替换为 0x
回车键
用 TAB 键产生制表符
保存临时文件的目录(&F):
保存镜像和备份的目录(&k):
保存案件的目录:
模板,X-Tensions,对话,脚本:
保存哈希库的目录:
作为默认设置
将字节以文本方式逐个显示
以管理员身份运行
<0x20 替换字符:
十六进制偏移量(&e)
RAM 编辑器中使用虚拟地址
显示分页符
字节/每行
字节/每组
文件模式下，搜索结果高亮
像素－行之间的间隔
自动着色:
选块的背景色(&B):
记录的背景色:
注释的颜色:
显示改动位置颜色:
字体:
显示时区...
扇区读取缓存(&S)
在.cfg 文件中保存程序设置
替代坏扇区的字符:
清除系统内存，解除文件占用，强制从磁盘中读取镜像
选择处理当前案件的代码页:
现在可以所有选择的证据项目中，以索引搜索方式搜索。
可使用防病毒软件检测目录 "~"下的文件。
可疑病毒
显示 ~
通过文件名称过滤，允许使用通配符*，例如：*.jpg and : for NOT
禁用此功能，修改 安全 选项。
延迟：
校验:
在文字上方显示图片+links
匹配单元格开始的文字
更改整行颜色
解析文件元数据、浏览器历史记录和事件日志
片段:
已添加标记
包含有注释
摘录
加载查看器 X-Tensions
选择文件类型(&e):
单元格颜色设置
所需的字串:
条件
列:
文件名前缀(&n):
应用于所有打开窗口
自动解析 NTFS 压缩
支持 Ext2/Ext3 逻辑块
为每类文件创建子目录(&f)
之后开始新子目录
初始化目录项...
清除未使用的目录项?
秒: 小数之后的位数:
Del
强制 +
不包含 -
正常 OR 组合 Esc
发现自释放压缩文件。文件类型将被标记为 "sfx"。
Ctrl
FAT 记录
作为
with
运行 &X-Tensions 脚本
包含隐藏的文档修订信息
查找上级目录项
.lnk 快捷方式, .emf 打印缓存 (.spl), Windows.edb 中的各种文件, Safari 缓存和 PList, PDF 和
OLE2 中的各种数据, 从 hiberfil.sys 获取的内存转储, SQLite 中的 Cookies, 在所有其它文件具有"e"
属性的文件类型 (如 JPEG, PNG)
克隆分区
缩略图
试用版功能限制，无法打开此证据文件。
希望查看邮件? 请先进行磁盘快照。
编辑元数据(&m)...
跳过并排除空余簇中的数据
计算哈希值...
镜像结束后立即校验哈希值
用磁盘镜像替换证据项目
使用缩略图表示大文件
如果您再次进行同样的磁盘快照，所有处理过的文件都会被快速跳过，详细的处理将从最后保存的位置开始（依
据自动保存结果）。
"~" 意外中断，因为访问了内部编号为 ID ~的文件。再次处理时，该文件应被隐藏或忽略掉。
将 ADS 数据以单独文件导出
从视频中抽取静态图像帧(&C)
抽取间隔(秒)
没有图片被抽取
抽取可能不完整
案件未保存时依然保留磁盘快照
当没有簇分配表时加速磁盘快照
适用所有文件系统
检测虚拟内存变动(&C)
确认更新文件(&F)
保存程序意外退出时的报告
保护驱动器盘符(&D)
将提示保存至 msglog.txt 中(&M)
不显示加密口令(&E)
不在内存中保存口令(&N)
通过操作系统打开文件
视频抽帧图像
虚拟出的附加数据
列出已排除的数据
列出未排除的数据
(包含下列字符串)
自定义视频播放器:
MS Office 混合文档!
包含嵌入的文档
由于文件系统已被部分或全部覆盖，文件内容已经不存在。因此不能认为在当前文件中所看到的数据内容肯定是
原始文件的真实内容。
程序意外中止原因
磁盘快照后出现的数据
许可
从文件中抽取的内部元数据
文件内容未知
个被过滤掉
文件中的子数据
如果完成 ~, 是否需要现在进行压缩、分割或加密，转换 RAW 原始格式至.e01 格式?\n\n（请注意，进行格式
转换并不像有些用户认为的那样会有优势。Raw 格式镜像比.e01 文件更易于被解析。重要的其文件系统被支
持。）
重新校验
包含文件系统的目录数据结构
包含上级目录数据和内容
子数据内容
复制已选择的包含子数据的目录
复制已选择的包含子数据的文件
无效路径
包含子数据的文件
磁盘
光盘
卷
至少
有效数据长度:
案件
行
参考：您的软件免费升级期将在 ~ 过期。您需要联系总代理购买下一年度软件升级
"~" 在读取扇区 ~ 文件时发生错误。 下次运行时，该扇区将被自动忽略处理。
"~" 在检测扇区 ~ 数据结构时发生错误。
请注意，当前发现的 ~ 可能不是真实的分区，而是签名特征相近的假分区。
将选块视为文件...
已选择的项目
包含自数据的文件
直接子数据项目
展开所有子数据项目
最大字符数:
浏览删除的文件。 需要进一步分析请点击 "Raw".
固定证据文件容器的文件系统
依据字母顺序划分字词
导出(&x)...
导入...
允许字词扩展
同步 I/O ( 源盘与目标盘是不同的物理介质时速度较快)
缺少管理员权限。
请注意在 Vista/7/8/10 系统下，需要以管理员身份运行软件才能扇区级访问存储介质(右键点击程序，以管理
员身份运行)。
哈希数据库似乎正在使用中。请取消，并确定哈希库没有被使用!
每个 HTML 报告中最多的项目:
提示：报告已被保存为多个 HTML 文件!
列出已查看过的文件
列出未查看过的文件
继承原有的删除状态(&I)
在所有位置搜索 FILE 记录
包含簇号未知的文件
分析原始的文件名称和路径
内存分析: 仅针对进程模块的头部签名
始终包含删除的文件(&I)
防止软件崩溃的安全文本解码方式 (较慢)
针对邮件附件采用特殊规则
&Substring search
为保证性能，排序已被禁用。可以通过选择列标题进行排序，通过右键菜单中的命令取消排序。
计算证据项哈希值...
为适应浏览器自动对 EML 文件重命名
将图片以内嵌代码形式存入 HTML (Base64)
显示压缩文件中的图片缩略图
[用户可访问]
在内存中保存更多的磁盘快照数据
双击鼠标进行查看而非浏览
添加外部文件...
添加外部目录...
导出可供第三方分析的数据(&E)...
导入关联报告表(&I)...
关联报告表导入、导出成功。
分组依据
存在
未读
坏簇
将附件存入原始 EML 文件中
为新识别的文件增加扩展名
分卷压缩文件
在所有位置搜索 FILE 记录
在空余簇中搜索文件头
只在已分配空间中搜索文件头
您知道吗?
在多数对话窗口中都可以通过点击 F1 获得详细帮助。
在所有此类对话窗中，都可以点按 Ctrl+C 将信息复制到剪贴板，可以将信息添加至相关报告中。
把文件的子对象放置到子目录（用于第三方工具）
对此种用途建议使用 GREP 表达式。
反向拷贝扇区 (反方向)
保留现存文件数据，从最后端填充?
选项: ~下级子目录:
文件名最大长度:
结束后休眠(&H)
所有镜像格式
至少
所有
报告中包含残余空间重要信息
为打印输出的详细报告模式
重试，避免丢失数据? (确保具备足够的空余空间)
预付费(&T)
为使软件生效，您需要将验证码发送给 X-Ways 中国总代理公司北京天宇宁达科技有限公司以获取激活码。
加密锁操作模式:
正常, 无使用限制(未申请保护)
受保护, 限制使用 (已申请保护)
剩余次数:
递交的验证码:
X-Ways 公司授权激活码:
如果联网直接发送
上报丢失加密锁的方式
请使用 Ctrl+C 复制这些记录: 可以通过发送软件锁编号 ID ~ 上报软件锁丢失，或联系中国地区总代理北京天
宇宁达科技有限公司。
只有预付费并从服务器得到激活码之后，软件锁才可得到 X-Ways 公司的保护。因此，你需要尽快申请保护服务。
WEB 服务器返回的信息:
此选项依据于另一选项
正在排序...
(不再使用)
视频文件长度(分钟) ---->
签名检测
文件格式循环检测
不正常
针对子数据的虚拟目录
后缀(&S):
以证据名称及内部标识 ID 顺序导出文件
以案件目录显示顺序导出文件
发现证据文件 ~ 采用了低效的压缩方法。为加快数据分析速度，今后请避免使用该镜像文件。
水印
正在创建目录树...
最多协作用户数量:
已处理的原始 EML 邮件
用新目录替换...
读取搜索结果的数据&&内容并用它进行排序
部分的
镜像类型(&I):
存储镜像分段文件的位置(&S):
开始时显示启动中心(&S)
恢复上次窗口状态
参考: 删除完整的搜索词汇要比删除一个单独的搜索结果更为快捷。
之前版本
避免产生相同的 SC 版本号
其他
更多...
磁盘快照: 防止因同一破损文件导致软件崩溃
在原有目录下查看所选项目
在卷目录下查看所选项目
允许交叉重复的搜索结果
从此扇区恢复
总是忽略已知文件的起始扇区
对浏览器记录数据库、事件日志和$UsnJrnl:$J 创建预览
最多行数 <每个表>:
服务器中文件日期
最后访问
最后访问 (本地原始时间)
协议
域名
源链接
本地文件名
次数
用户名
HTML 标题
重要，请务必记录!
创建副本
复制
同时预览多个图片
使用本功能将会在当前 Windows 系统中生成文件。如果您正在对嫌疑计算机进行在线获取，请停止本操作。
Base32 方式显示 SHA-1 && TTH 哈希
过滤重复项
打印时添加分页符时的表单数量:
个处理器
字节间最大距离:
在空域空间和残留区中查找 index.dat 文件记录
选择的其他程序...
日期
附件
主题
转换 EML 邮件在浏览器中的显示方式
重试
允许分布式分析及磁盘快照
用于多个用户利用多台机器同时在一个局域网分析一个大型案件，或用于同时对案件的不同证据项目进行分布式
磁盘快照（仅适用于证据存储在不同的磁盘中）。案件文件会以只读的方式打开，磁盘快照将会以协同模式打开。
已同步成功:
忽略(&I)
如需在安装 Windows 的分区中特定扇区写入数据，可以从 Windows PE 光盘引导系统，然后运行从命令提示符
运行 WinHext。
~ 个文件和 ~ 个目录被添加至 ~。
小时
是否也包含 ~ 自身目录?
在磁盘快照中保留现存目录 ~ 和下级目录中的文件吗?
如果是首行缩进的
如果通过提示~
统计纯粹空余空间
用户自定义
彻底搜索, 放宽字词范围定义
放弃非文本数据中的关键词搜索结果，例如 Base64 代码
忽略更多关键词搜索结果，严格遵循所定义的关键词
事件
时间信息
为事件分析提取文件系统时间(&f)
为事件分析提取文件内部时间(&i)
导出排除的信息
叠加扇区(&S)...
叠加扇区了创建了 ~ 个文件。
叠加扇区已取消。
展开
提取其他各种 SQLite 数据库的表单
定期联网查找软件更新
可用，是否下载?
已经发布，现在查看更新?
如果案件中已经计算了哈希值，且启用了案件保护，此文件和相同文件将从磁盘快照中忽略。
另外的打印任务
选择一个栏目，通过上下箭头来调整该列的显示顺序
我想要所有的 (贪婪模式 greedy mode)
在案件列表中移动证据项目
总以字节方式显示文件大小
等级
分组
调整 EML 邮件的预览方式
不支持的版本
文件未包含在当前的磁盘镜像中。它是在软件崩溃前最后的快照操作添加进来的。 你可以通过忽略过滤出的文件
来跳过此文件，并设置一个内部 ID 过滤:
查找相关文件
NTFS/HFS+: 忽略额外的硬链接
创建 Skeleton 镜像
校验 Skeleton 镜像
这是一个 Skeleton 镜像文件，此种镜像格式不是位对位复制的完整的镜像。
当前被正在访问的磁盘、分区或被解析的镜像文件将被部分地创建镜像。当镜像文件在后台被创建后，当前无论
因何种原因所被正在读取的扇区都将被写入该镜像文件中。
创建为 NTFS Sparse 文件
将镜像文件逻辑绒里设置为源盘的实际容量
创建日志文件
对已复制的扇区计算哈希值
跳过源扇区已经清零的扇区
已设置数据源为
读取的第一扇区是数字
正在读取指定获取的特定扇区
空闲
防止未加密的副本
保存案件中的 key? 这个操作非常便捷，但是如果没有保护案例文件的话，可能不很安全。
文件头行
添加千位分隔符(&G)
Cleansed 镜像格式
提取 PDF 文件的原始版本为子项目
开启另一个案件进程
分析前一个案件进程
如果崩溃，恢复前一个案件进程
立即终止前一个案件进程
读
写
net
冻结
时间戳
设备...
例如，设备路径
设定类型...
分析未在上面列出的文件类型
应用展开目录(&r)
请仅应用于某些类型的特定（标记的或者选定的）文件，而不是随机的全部文件或者在空余空间中虚拟的文件。
谢谢。
星期日
星期一
星期二
星期三
星期四
星期五
星期六
肤色图片及黑白图片检测(&S)
创建缩略图以加速图片预览速度
逐块哈希
逐块哈希并比对
~ 可能不完整或已被损坏。
(可选, Esc 放弃)
LT: 原始时间
复制到
需求:
首先您需要遍历案件根目录，否则文件不会被列在案件的根目录窗口。
历史记录
开始时间： ~ ，软件版本： ~ ，分析人员：
多用户协同处理时谨慎处理数据
激活用户
如果继续，则无法用早期版本使用该案件。
您已利用新的独立用户身份加入到案件中。请注意新的姓名缩写为原始姓名缩写+字母 2。
以用户的第二个身份打开案件，作为一个新的独立用户
以其他用户身份打开案件
你可能希望立即或稍后再试。
关于
导入另一用户的搜索
同步其他用户的"已查看"数据结果
允许其他用户同时以只读方式读取当前案件
只显示用户自己的关联报告表
在报告表关联中显示用户姓名缩写
对新添加的文件显示用户姓名缩写
在评论中插入用户姓名缩写
我的缩写：
总是建议打开案件时共享分析模式
创建镜像获取报告
这将在命中任意一个搜索结果后停止对一个文件的搜索，如果有其他搜索条目在同一个文件中，不会提示。不同
搜索结果的逻辑组合（包括明确的例外）将因此而无法实现！
锁定显示列:
块哈希集
对齐
索引文本
在索引中搜索
Enter 输入
根据文件系统的名称
提取文件系统的原始元数据：如$I*文件、Manifest.mbdx 等
十进制 ASCII 时间戳(&D)
时间戳基于(&B)
搜索历史
搜索条目
命中数
忽略哈希库内已知文件
进度报告...
读取错误后终止操作
如果覆写分区内的文件内容／ 文件系统数据结构出错，那么原因就在于 ~ 分区和 ~ 分区在 ~ 扇区内部分重叠。
只显示先前有效的时间戳(0x30)
按住 Shift 键并点击以启动外部程序。
增强的物理介质解析
名称/路径 历史
等待其他镜像进程结束后进行
在文件内容中搜索（数据）
在目录浏览器的特定列中搜索（元数据）
字符最多可以有
上下文包含:
多用户支持选项...
更新(&U)
案件数据
区分不同的用户
我
读取的总字节为：大约。
为那个用户
_文件
包含所选文件的子数据
你可以尝试应用此操作直接从物理磁盘上打开而不是卷标。
大小不是 512 字节的整数倍，不完整的镜像？！
不能重复添加到案例
添加
整数类型:
数值范围:
保持在一定范围内
允许超出/低于
反转位(&I)
反向字节的顺序(&R)
左移一位(&L)
右移一位(&R)
根据...移动(&S)
向左旋转
解析 Windows VSC 卷影拷贝
解析$LogFile 文件
从不同的数据源获取时间戳
特定语言规则（把 ß 作为 ss, 将 é 和 e 一样排序。）
将对应的平假名和片假名视为相同
特别处理连字符号和撇号
将十进制字符作为数字处理，例如，把“2”排在“10”之前
将半角和全角字符视为相同
不区分大小写
在各分区查找
发现一个未能完成更新的 hash 数据库，如果继续，这些残余将被删除，挂起的更改将丢失。
比如某次升级后加密狗需要重新编程更新维护。
将非图片文件也以缩略图方式表示
缩小文档并以缩略图方式预览
片段镜像
活动的
所选文件至少与一个报告表有关联。根据你的设置，该报告表自动应用于相关类型文件。将现有类似的关联从相
关文件去除吗？
是合适的!
设定可以用于授权取消软件狗保险的邮件地址，用逗号间隔
出于安全考虑，在确认收到之前，软件锁只可以启动程序几次。当变为正式版本后，您注册的邮箱将会收到一个
确定吗。或者，你可以继续在保险模式下使用软件狗，并偶尔确认一下
Pseudo-
如果可能导出为现有文件的子数据
证据容器
存在标志
识别已知文件 ~ /利用 ~
更精确匹配
比对图片内容，包含被调整的内容相同图片
分配间隔:
最大地址:
保护:
未知
文件系统
文件内部元数据
互联网相关
通信信息
社交网络
操作系统
事件日志
注册表
其他
GREP 直接逐字节翻译
Little Endian
Big Endian
MS Outlook cipher 基于
为每个文件创建一个哈希集
为导出文件重命名
最多 1
每个文件仅显示一次
每个文件复制和链接仅一次
点击任意处标记
做为我自己
多线程数:
每线程 RAM:
将命名的哈希集名称导入报告表
使用勾选框标记数据
已处理并开始下一列表项目
忽略
%肤色图片比率值
文档
请重新匹配
搜索范围
for
之前
嵌入的
比率
基于哈希集定义的文字类别
依据已处理文档中的文本
选项不可用。
如果升级软件后出现软件过期，则现在可以输入升级软件后收到的激活码。
加载选择...
保存选择...
可以加载或保存经常使用的、经常改变的过滤设置。(右键点击窗口标题)
替换名称
保存哈希以便重新快速比对或去重
(物理)
(逻辑)
是否申请邮件通知后续更新信息?
(不保存)
将 0 字节区域划为闲散空间
搜索条目之后命名?
详细模式输出元数据
字节方式更变偏移地址 (+/-)
字节方式改变长度 (+/-)
计算 PhotoDNA 哈希值
磁盘快照后 ~ 图片中包含 PhotoDNA 哈希值。
提取固定数量的静态帧
(请注意，某些 TIFF 图像会计算为两个哈希值，并非一个。)
导入前 PhotoDNA 哈希库内的条目总数。
重新分类（新、旧）条目
已添加新条目，目前条目总数为：
由于当前哈希值与其他值相似，未能成功添加。
[多个匹配结果]
另外的条件
原因: 尽管你希望按照这种顺序导出所有文件，但案件根目录下并未列出所选报告表对应的所有文件。
创建日期:
确保不重名的特殊字符:
即便...
忽略某些不需要的行
每行输入 1 个描述标识元数据项:
现有
删除

~ 个文件被忽略，因为它们没有以唯一的 ID 命名。
普通文件
在原始文件之后附加子文件
作为原始文件的所属文件
用附件替换原始文件
相同，但保留原始文件为子项目
在目录浏览器标题栏（显示当前已知路径的地方）任意处点击右键，即便该标题项不可见，也能快速找到其过滤
器设置。
请注意，一旦超出软件使用期，用户将无法继续使用加密锁保护模式。
包含在报告中
对临时文件采用区分大小写的目录
请首先安装 Microsoft Visual C++ 2013 Redistributable Package (x86 AND x64!!)，然后安装
Dokan 驱动。
无法读取的扇区编号:
创建缩略图
宽/高
JPEG 压缩
抽取连续的帧
最大的起始秒数:
帧的数量:
根据搜索词汇创建 RTA
基于指定哈希集的 RTA
对所有生成的哈希集创建报告表
记录证据文件管理器并添加至报告表
(仅包括人为创建的)
之前:
现在:
硬链接
选择性忽略
扩充的属性
禁用所有过滤条件
项目 #
此次磁盘快照已经和另一个 PhotoDNA 哈希库相匹配。在与此哈希库比对之前，请忽略之前一次的图片分析结果
(去除 "已完成" 标记)。
请自行删除与证据项内已有类别所匹配的文件，你可以选定文件，然后同时按下 Shift+Ctrl+Del 键。
递增的数字
假定在 Outlook PST 中为此种代码页
不支持在内存镜像中进行逻辑搜索。请改用物理搜索。
起始编号为 1
完整性检测...
关闭时清空快照缓存
单列关键词列表
正常分区外数据
已索引
仅手动输入
仅显示静态图像的名称和注释
所有的时间
在列表中查找重复项...
标准
行为
标记为重复项
每一组仅显示一个重复的文件
标记为相关项目
为外部程序调用，是否将 ~ 转换为 UTF-16 编码?
在不同线程内计算哈希值
Overflow dir.:
相同驱动器，不合理
.e01 内部描述信息
总计
数据
仅附件
Ext3/Ext4: 解析日志
证据文件管理器接收文件的 RVS 状态
在 .evtx 事件日志内完全采用这些条目
清除中...
~ 个条目已被去除掉。
证据项
未分类的
支持不超过 1000 个报告表
Estimate generic relevance
在名称中插入
在开始时
残留区/未初始化
在 PhotoDNA 数据库内储存注释
在 PhotoDNA 数据库内采用注释
OLE2 项目
根据需要创建唯一文件名
覆盖相同名称的文件
跳过相同名称的文件
从原始的 EML 邮件中提取发件人、收件人和主题
创建案件
打开案件...
关闭案件
保存案件
案件归档...
创建报告...
添加存储设备...
添加镜像文件...
添加内存镜像文件...
添加文件...
添加 "~"
为提升匹配速度并保证结果的可靠性，是否选择对之前的数据采用新的分类方式并精简数据库？
一致性改进（采用新的分类方式）
冗余度压缩 （覆写以往的哈希值）
时间关联性权重
文件大小权重
加载该数据库时可能占主内存的%
处理时间
可忽略扇区
显示无文件头的 .eml 文件
复制电子邮件中的附件和链接
针对原始镜像请求用户输入
在过程指示窗中显示所有正在进行的操作
线程被强制终止，建议重启程序。
过程中修改过滤器将会影响到该过程还未完成的部分。
在这种情况下，可以在读取镜像时，通过自由选择扇区大小，（再次）镜像这个分区。
不可读扇区
无效证据文件！
镜像文件部分丢失！
镜像末端
无法读取文件
不可读页面
复制分组
分段
块
.e0x 分段标记为 dummy/placeholder/surrogate
备份
恢复
由于关键词搜索列表已改变，搜索结果无法恢复。
案件
查看器组件
接受重复的哈希值导入
忽略哈希库内已包含的哈希值
删除现有哈希集中重复的哈希值
磁盘／分区级别操作
单个文件处理
删除结果？
已提取文件内容
单元显示
禁用屏幕保护程序
or
该索引能支持的单词长度最长为 ~，因此用于搜索的将是 "~" 而不是 "~" 。
一般来说不会造成太多错误搜索结果。
密码
利用收集的密码尝试解密
日期 & 时间
数字显示方式
简单格式
完整格式
周，永远以英文显示
日期/时间分隔符:
时间分隔符:
十进制符号:
数字分组符号:
创建者的签名:
利用案件设定的时区显示时间
根据当前文件系统的时区显示时间:
变量
未确定 / 未定义
重组文件，忽略已使用空间
忽略 未标记/未选择 的项目
仅 ASCII 明文字符
字符
FAT: 已分配空间之外的删除数据
强烈建议在进行这个复杂的操作前，备份磁盘快照结果。 (右键点击证据项图标)
关于簇分配的解析信息将会丢失。
导出
当关闭所有数据窗口时，取消加载(Unload)
当关闭时删除搜索命中结果
定义键盘快捷键
请在中止前，立即停止并保存当前案件工作进度
连接问题
使用期已过，或尚未开始。请查看版本状态： www.x-ways.net.
同时利用查看器预览图片
每个文件最多行数:
首行缩进
HFS+: EA 扩展属性完整输出
如果部分选择，文件和目录可以分组显示(仅在非递归浏览状态下), 例如，确实需要显示所有目录下的数据，并
希望从最上面列表开始显示。
支持 * at the end
FAT32: 针对删除数据的增强支持
将相同词汇的的搜索结果合并
导入证据项目...
Clean up after GDI font object leaks
重解析点
忽略空白数据
unsupported
without drive letter
Terminating section missing.
Incomplete image.