天津鸿萌科贸发展有限公司从事数据安全业务20余年，在数据恢复、数据取证、数据备份等领域有丰富的案例经验、专业技术及良好的行业口碑。同时，公司面向取证机构及数据恢复公司，提供数据恢复实验室建设方案，包含数据恢复硬件设备及数据恢复软件产品。

X-Ways Forensics 是数据取证领域的重要工具，支持以只读模式对磁盘、镜像文件、虚拟内存和物理内存进行分析，并生成取证报告。在不受严格限制的情况下，可以将 X-Ways Forensics 降级为 WinHex，进行磁盘扇区的编辑修复等操作。 WinHex 是数据恢复专业人员的常用工具。

WinHex 与 X-Ways Forensics 的不同许可证类型

• WinHex 个人许可证，价格较低，只能以非商业目的用于非经营性、非机构性、非政府环境中。
• WinHex 专业许可证，可以用于任何环境中（家庭、公司、组织或公共行政部门）。使用专业许可证可以执行脚本。
• WinHex 专家许可证，除了可以使用 Specialist 菜单功能、读取 exFAT, Ext2, Ext3, Ext4, Next3®, CDFS/ISO9660, UDF 文件系统之外，还可以突出显示可用磁盘空间和松散空间、支持 RAID 重建、支持 Windows 动态磁盘、Linux LVM2、目录浏览器中有更多列的信息显示、磁盘克隆/镜像的逆向操作。对于 IT 安全专家来说尤其实用。
• WinHex 实验室版本，除了可以读取HFS, HFS+/HFSJ/HFSX, ReiserFS, Reiser4, XFS文件系统以及UFS和UFS2+APFS(未加密)多种版本文件系统之外， 还可以创建证据管理器，以及运行正规版本的X-Tensions。
• X-Ways Forensics 取证版本，除了上述功能之外，还提供强大的案例管理功能和报告生成功能、内置浏览器和独立浏览器组件、画廊视图功能、卷快照优化、目录浏览器中更多列信息和筛选（列的顺序可以更改）、评价和报告表。此外，还可以对证据文件（.e01）进行读写，还有更多其他功能！对于计算机取证调查人员尤其实用。
• X-Ways 调查版本是 X-Ways Forensics 的简化版本。它没有 X-Ways Forensics 的功能多，甚至也不如 WinHex 功能多。X-Ways Forensics 的用户可以暂时将 X-Ways Forensics 软件界面降级为 X-Ways 调查版本界面，以判断对其组织来讲，通过购买更多的 X-Ways 调查版本许可证，并将调查工作任务（有些为非技术性任务）分摊给多个用户的这种许可证购买方案是否更加实惠。X-Ways 调查版本的设计初衷其实不是一个独立运行的产品。

WinHex 和 X-Ways Forensics 的其他区别

WinHex（主要执行文件是 winhex.exe 或 winhex64.exe）在用户界面中的名称为 WinHex；而 X-Ways Forensics（主要执行文件是xwforensics.exe或xwforensics64.exe）的界面名称是 X-Ways Forensics。但是，在共用的帮助文件和手册中，大多数情况下仅用 WinHex 这个通称，偶尔会用“X-Ways Forensics”。

WinHex 和 X-Ways Forensics 的基础代码相同。在 X-Ways Forensics 中，磁盘、解析镜像文件、虚拟内存和物理内存被严格的限制为只能以浏览模式（只读）打开，目的是强制执行取证程序，不可对证据进行任何更改。X-Ways Forensics 的严格写保护确保了不会对原始证据造成误改，这一点在法庭审理程序中是至关重要的。

只有在不受严格的取证程序限制以及/或在需要时能对磁盘或镜像执行更进一步的操作时（例如，用户需要修复一个启动扇区或删除某类或不相关的数据时），X-Ways Forensics 的用户才会选择运行 WinHex。使用 WinHex，用户可以编辑磁盘扇区和清空整个硬盘、可用空间、松散空间、所选文件、所选磁盘区域等。

X-Ways Forensics 用户如果需要将其软件降级为 WinHex，只需复制 xwforensics.exe 可执行文件，然后将复制文件重命名为 winhex.exe（或对于64位版本，复制xwforensics64.exe可执行文件，然后将副本文件重命名为winhex64.exe）。如果该程序基于名称为*winhex*.exe的可执行文件运行，则所有涉及到名称的地方（用户界面、案例报告、案例日志、镜像描述和所有屏幕截图）都显示 WinHex 名称，功能也与 WinHex 相同。这个版本是两者兼顾的最好方案：既有 X-Ways Forensics 完整的取证功能，又有 WinHex 编辑扇区和删除数据的功能。