Fallprotokoll
Wenn im Fall und in den Asservatseigenschaften eingestellt, protokolliert WinHex beharrlich alle Benutzeraktivitäten mit, wenn der Fall offen/aktiv ist. Das erlaubt es, die Schritte, die Sie zu einem bestimmten Ergebnis geführt haben, auf einfachste Weise nachzuvollziehen, zu reproduzieren und zu dokumentieren, zu Ihrer eigenen Information oder für ein Gerichtsverfahren.
Folgende Daten werden aufgenommen:
wenn Sie einen Menübefehl angewählt haben, der Titel des Befehls (oder zumindest seine Identifikationsnummer) und der Name des aktiven Editierfensters, falls kein Asservat, mit vorangestelltem Schlüsselwort »Menu«,
wenn ein Meldungsfenster angezeigt wird, dessen Text und welchen Schalter Sie gedrückt haben (OK, Ja, Nein oder Abbrechen), mit vorangestelltem Schlüsselwort »MsgBox«,
wenn ein kleines Fortschrittsfenster angezeigt wird, dessen Titel (wie etwa »Durchsuche Sektoren...«) und ob der Vorgang vollendet oder vorzeitig abgebrochen wurden, mit vorangestelltem Schlüsselwort »Operation«,
ein Bildschirmfoto eines jeden angezeigten Dialogfensters mit allen gewählten Optionen für einen ggf. folgenden komplexen Vorgang, vorangehend der Titel dieses Fensters,*
das ausführliche Protokoll, das von Datenträger klonen und Dateien retten nach Typ erzeugt wird,
Ihre eigenen Einträge (freier Text), die Sie mit dem Menübefehl »Protokolleintrag« hinzufügen können, entweder zu dem Fall als ganzes oder zu einem speziellen Asservat.
Der Ausgabepfad einer jeden mit dem Verzeichnis-Browser-Kontextmenü kopierten/wiederherstellten Datei, zusammen mit ausgewählten Metadaten wie Originalname, Originalpfad, Größe, Zeitstempel, wird in einer separaten Datei names copylog.html oder copylog.txt im Unterverzeichnis _log mitprotokolliert.
Alle Aktivitäten werden mit Datum und exakter Uhrzeit erfaßt, intern im Datenformat FILETIME mit einer Genauigkeit von 100-Nanosekunden. Aufzeichnungen von Aktivitäten werden standardmäßig mit dem Fall als Ganzes verknüpft. Aktivitäten, die sich auf ein Asservat beziehen, werden jedoch unterhalb des jeweiligen Asservats aufgezeichnet. Dies bestimmt, wo im Bericht die protokollierten Aktivitäten aufgeführt werden. Bildschirmfotos werden als PNG-Dateien im Unterordner _log eines Fallordners abgelegt.
*If "Include screenshots in log" in the case properties is half-checked, that means that no actual screenshots of dialog windows will be taken, just a simple ASCII representation will be stored in the log (the same that you get when via Ctrl+C). These details are included in a special way in the HTML output, so that they do not detract too much from the main log entries. Either they are output in a smaller font and gray color (if "Include screenshots in log" is fully checked) or simply as a pop-up when hovering with the mouse cursor over a space-saving placeholder rectangle, as known from Windows registry reports in X-Ways Forensics (if half checked) or not at all (if not checked). The placeholder rectangle and pop-up work best when viewed in Google Chrome, as that browser does not truncate the text if lengthy and even shows a preview of the first line in the placeholder rectangle. If you have X-Ways Forensics take conventional (real) screenshots of dialog boxes in the log, pixels with the gray background color can be changed to pure white, to save toner/ink in case you are going to print your log at some time (anyway, please think twice and save paper).