Editier-Modi
Der Modus, in dem eine Datei oder ein Datenträger im Programm geöffnet ist, wird in der grauen Informationsspalte angezeigt. Deren Kontextmenü enthält einen Befehl, um den Modus des aktuellen Fensters selektiv zu ändern.
View-Modus: Empfohlener Modus für computerforensische Untersuchungen. Um den strengen forensischen Anforderungen zu genügen, ist dies der einzige Modus, der in X-Ways Forensics verfügbar ist, außer für Dateien im Verzeichnis des aktuellen Falls und im allgemeinen Ordner für temporäre Dateien, damit deren Decodierung, Entschlüsselung oder Konvertierung usw. möglich ist. Dateien und Datenträger, die im View-Modus geöffnet werden, können in WinHex nicht (absichtlich oder versehentlich) editiert/verändert, sondern nur eingesehen werden. Dies entspricht der Möglichkeit in bestimmten anderen Windows-Programmen, Dateien »schreibgeschützt« zu öffnen..
Standard-Editiermodus: Im Standard-Editiermodus werden Änderungen, die Sie an einer geöffneten Datei oder einem Datenträger vornehmen, in einer temporären Datei gespeichert. Diese wird dynamisch verwaltet. Erst beim Speichern oder Schließen werden die Änderungen dann nach Rückfrage in die Originaldatei bzw. auf den Datenträger übertragen.
In-Place-Modus: Verwenden Sie diesen Modus mit Vorsicht. Sämtliche Änderungen (Tastatureingaben, Füllen/Entfernen des Blocks, Schreiben des Zwischenspeichers, Ersetzen-Vorgänge, ...) werden direkt in die Originaldatei bzw. auf den Datenträger (»in-place«) geschrieben. Dies geschieht dynamisch, spätestens aber, wenn das Editierfenster geschlossen wird, ohne weitere Rückfragen. Es ist daher nicht erforderlich, den Menüpunkt »Speichern« im Dateimenü aufzurufen, es sei denn, Sie möchten sicherstellen, daß alle Änderungen zu einem bestimmten Zeitpunkt geschrieben werden, wenn das Editierfenster noch geöffnet ist.
Dieser Modus empfiehlt sich, wenn das im Standard-Editiermodus obligate Übertragen von Daten aus der Originaldatei in die Temporärdatei und umgekehrt zu zeitaufwendig wäre und zuviel Festplattenspeicherplatz verbräuchte. Dies kann z. B. dann der Fall sein, wenn in großen Dateien viele Änderungen vorgenommen werden sollen. Da im In-Place-Modus keine Daten in temporären Dateien gespeichert werden, ist dieser Editiermodus generell schneller als der Standard-Editiermodus. Der In-Place-Modus ist der einzige Modus, in dem der RAM-Editor benutzt werden kann. Hinweis: Auch im In-Place-Modus muß eine temporäre Datei angelegt werden, wenn die Größe der Originaldatei geändert wird.
Wenn Sie Dateien über das Betriebssystem öffnen (z. B. über Datei | Öffnen, von irgendeinem Laufwerksbuchstaben, der gerade in Windows zugeordnet ist), werden Datei-Schreibbefehle des Betriebssystems verwendet, um eine Datei zu ändern. Es ist aber in WinHex auch möglich, Dateien direkt auf einem Datenträger/in einem Roh-Image zu editieren, in jedem von WinHex unterstützten Dateisystem, auch wenn Windows nicht bekannt, auch wenn Windows die Dateien nicht sehen kann (z. B. weil gelöscht), ohne die Zeitstempel oder Attribute zu ändern, im In-Place-Modus. Für diese Editierfähigkeit muß die Datei aus dem bereits geöffneten Dateisystem heraus geöffnet werden, das es enthält, entweder über den Öffnen-Befehl im Kontextmenü des Verzeichnis-Browsers oder im Datei-Modus (nur mit forensischer Lizenz). Komprimierte Dateien und generell Dateien innerhalb anderer Dateien (z. B. E-Mails und Datei-Anhänge in E-Mail-Archiven) können nicht editiert werden, außer innerhalb eines Datei-Containers, wenn sie selbst dediziert vom Original-Datenträger oder Image dort hineinkopiert wurden. Beachten Sie, daß Dateien auf die neue Weise nicht gekürzt oder verlängert werden können und daß nur allozierte Bereiche einer Datei geändert werden können. Das Editieren von Dateien, die wie oben beschrieben direkt aus Datenträgern/Images heraus geöffnet werden, ist nur in WinHex möglich, nicht in X-Ways Forensics oder X-Ways Investigator, wo Schreibzugriff auf Sektor-Ebene (in das alle Datei-Schreibzugriffe der neuen Art intern übersetzt werden) ausgeschlossen sind und wo der einzige verfügbare Modus für Datenträger und interpretierte Images und für darin geöffnete Dateien nach wie vor der Schreibschutz-Modus ist. X-Ways Forensics läßt sich auch als WinHex betreiben (einfach .exe-Datei umbenennen, s. hier).
In der Computerforensik und IT-Sicherheit kann die Editiermöglichkeit hilfreich sein beim manuellen Redigieren (z. B. Überschreiben mit XXX) von spezifischen Daten, die nicht untersucht/weitergegeben/eingesehen werden sollen oder um bestimmte Bereiche in einer Datei sicher zu überschreiben (z. B. als Block definieren und diesen dann füllen). Beachten Sie, daß Datei-Container Roh-Images sind, wenn sie nicht ins .e01-Evidence-File-Format konvertiert worden sind, und daher nachträgliches Editieren von Dateien erlauben, was aber natürlich begleitende Hash-Werte ungültig macht. Es ist sogar möglich, Verzeichnisse zu editieren, also die Cluster mit Verzeichnisdaten, wie z. B. INDX-Puffer in NTFS, z. B. wenn Sie darin vorkommende Namen bestimmter Dateien unlesbar machen müssen.