X-Ways Forensics

X-Ways Forensics是一款电脑取证软件，可以通过这款软件分析用户电脑全部数据，从而提取可用的证据将其恢复，可以在软件上制作磁盘镜像，将需要提取的分区制作为镜像，这样就可以保证数据不会丢失，随后将镜像添加到分析界面就可以开始查询数据资源，可以在软件显示电脑全部数据，可以查看数据文件的哈希内容，可以快速对每个证据文件的哈希值计算和匹配，可以快速提取内部元数据，浏览器历史记录和事件，可以提取Zip和RAR存档的内容，可以提取邮件和附件内容，帮助用户快速从电脑上取证，如果你需要这款软件就下载吧！

X-Ways Forensics 软件功能

·磁盘克隆和镜像功能，进行完整数据获取

·可分析 RAW/dd/ISO/VHD/VMDK 格式原始数据镜像文件中的完整目录结构，支持分段保存的镜像文件

·支持磁盘，RAID,扇区大小为8KB最大2TB的镜像的完全访问

·支持对OD、RAID0、RAID 5、RAID 5EE, RAID 6, Linux软RAID, Windows动态磁盘和LVM2等磁盘阵列

·自动识别丢失/删除的分区

·支持FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO60/Joliet, UDF文件系统

·无需修改原始硬盘或镜像纠正分区表或文件系统数据结构来解析文件系统

·察看并获取 RAM和虚拟内存中的运行进程

·多种数据恢复功能，可对特定文件类型恢复

·基于GREP符号文件头签名数据库

·支持20种数据类型解释

·使用模板查看和编辑二进制数据结构

·数据擦除功能，可彻底清除存储介质中残留数据

·可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙中

·创建证据文件中的文件和目录列表

·能够非常简单地发现并分析ADS数据（NTFS交换数据流)

·支持多种哈希计算方法 (CRC32, MD4, ed2k, MD5,SHA-1, SHA-256, RipeMD…)

·强大的物理搜索和逻辑搜索功能，可同时搜索多个关键词

·在NTFS卷中为文件记录数据结构自动加色

·书签和注释

·可以运行在Windows FE中等Windows环境

·配合F-Response可进行远程计算机分析

X-Ways Forensics 软件特色

1、X-Ways Forensics提供数据提取功能

2、快速从电脑上提取证据内容

3、可以在软件上分析文件哈希值，可以验证文件是否被修改

4、提供镜像分析，直接将磁盘镜像加载到软件查询数据

5、可以在软件快速分析磁盘数据，将数据块显示

6、可以对文件系统数据结构搜索

7、支持文件头签名搜索、逐块散列和匹配

8、通过哈希值计算和匹配可以验证文件类型

9、支持提取内部元数据，浏览器历史记录和事件

10、发现嵌入式数据，从中捕获静止图像

11、可以对提取的图片分析与处理

12、支持使用FuzzyDoc识别已知文档

13、支持文件格式特定和统计加密测试

14、支持磁盘编辑器，在软件行编辑磁盘数据块，也支持内存编辑器/分析

15、支持擦除数据，将镜像的数据全部删除和初始化

16、支持磁盘克隆、映像和备份、模板编辑

17、支持数据恢复，在软件上找到已经删除的数据资源

18、支持影像解析，分析磁盘提供的影像资源

19、可以查看案例报告、报告表

X-Ways Forensics 使用说明

1、打开xwforensics.exe进入中文界面，可以创建分析文件

2、可以加载镜像到软件分析，将你的硬盘制作为镜像就可以加载到软件分析

3、支持创建磁盘镜像、创建 Skeleton镜像、校验 Skeleton镜像、恢复镜像文件、备份管理器

4、复制选块、剪贴板数据、移除、粘贴0字节、定义选块、修改数据、填充选块

5、同步搜索、导出词语列表、查找文本、查找十六进制数值、替换十六进制数值

6、磁盘克隆、浏览递归、通过文件类型恢复、重新进行磁盘快照、扫描丢失的分区、作为分区起始位置

7、文件合并、文件分割、整合数据、拆分数据

8、进行磁盘快照、技术细节报告、将镜像文件转换为磁盘、收集空余空间

X-Ways Forensics 教程

提取内部元数据和事件

卷快照优化的一部分。需要法医许可证。

a）可以EXE，ZIP，RAR，JPEG，GIF，PNG，RIFF，BMP和PDF文件的文件格式一致。 “类型状态”列将显示结果，“确定”或“损坏”。

b）允许从OLE2复合文件（例如2007年前的MS Office文档），EDB，PDF，MS Office HTML，EML，MDI，ASF，WMV，WMA，MOV，JPEG，THM，TIFF，PNG中提取内部存储的创建时间，GZ，GHO，P pubng.pkr密钥环，ETL，SQM，IE Cookies，CAT，CER，CTL，SHD打印机后台打印程序，PF预取，LNK快捷方式和DocumentSummary备用数据流。此时间将显示在Int中。目录浏览器的“创建”列。在某些情况下，最早的时间将被提取，这最接近真实的原始创建期。

c）允许将某些文件元数据复制到“元数据”列，这将允许您按此元数据进行过滤，使用“导出列表”命令导出元数据，并在案例报告中将其与报告表一起输出。可以从“详细”模式特别支持的所有文件类型以及Windows快捷方式文件（.lnk）和预取文件（.pf）中提取元数据。仅提取您在“详细”模式下看到的元数据的子集。您可以选择从提取的元数据中删除某些行，以便在“元数据”列中看不到它们，例如，使案例报告或“导出列表”命令的输出更紧凑，以便在屏幕上打印或查看，或者只是因为某些元数据字段与您无关。您可以通过子字符串标识不需要的元数据字段。该子字符串可以与字段名称（例如“ Focal Len”）匹配，也可以与字段的值匹配（例如，如果文档的作者名称为“ Joe”，则如果您事先知道您对“作者”字段不感兴趣） Huber”）。每行输入1个子字符串。子字符串可能包含空格。您可以通过共享文件“ Unwanted Metadata.txt”来共享您的定义。

基于名为“跳转列表名称.txt”的新的用户可编辑文本文件，将跳转列表哈希值转换为customDestionations-ms和tomaticDestinations-ms跳转列表文件的已提供元数据中的应用程序名称。目前，翻译表包含约500个条目。如果添加条目，请确保将它们插入正确的位置，以使所有条目均按CRC升序排列。 CRC中的前导零显然必须保留。 CRC和应用程序名称之间有一个制表符。

d）在某些文件类型（例如$ I *回收站文件和iPhone移动同步备份索引（Manifest.mbdx））中找到时，允许恢复原始文件系统元数据（例如文件名，时间）。原始文件名通常比为保证备份目的而在单个目录中确保唯一而分配的随机名称要有意义得多。此类随机名称的示例是3a1c41282f45f5f1d1f27a1d14328c0ac49ad5ae（用于iPhone备份中的文件）或$ RAE2PBF.jpg（Windows回收站）。根据文件系统的当前文件名仍然可以在“名称”列以及“详细”模式中的方括号中看到，并且“名称”过滤器将同时找到原始名称和当前名称，因此当前文件名不会完全丢失。

替代名称和时间也从Linux PNG缩略图中提取，如Ubuntu和Kubuntu发行版，桌面管理器MATE和OME ThumbnailFactory所知。原始文件的名称显示在“名称”列的方括号中，原始文件的记录时间显示为“内容创建”时间。原始文件的完整路径可以在“元数据”列中看到。

e）填充原始单个电子邮件文件（.eml，.emlx，.olk14msgsource）的“发件人和收件人”列。提取此类电子邮件的主题，如果与文件名不同，则将其显示在“名称”列中，除非该文件是雕刻文件（即具有人工生成的文件名的文件），否则将保留原始文件名并在同一列中显示为备用名称。

f）创建Internet浏览器SQLite数据库的预览，这可能需要文件的真实文件类型。支持Firefox历史记录，Firefox下载，Firefox表单历史记录，Firefox登录，Chme cookie，Chme存档历史记录，Chme历史记录，Chme登录数据，Chme Web数据，Chme同步，Safa缓存，Safa提要和Skype的main.db有关联系人和文件传输的数据库。 Google Chme浏览器的历史记录还会显示每个访问的网站的过渡情况，从而更容易确定访问是由用户触发还是由其他作（如重定向）触发。还列出了每次访问的持续时间。在Chme的地址栏中运行的Internet搜索在单独的表格中列出，并且也添加到了事件列表中。解析Google Chme SNSS会话文件（“当前/最后一个会话”和“当前/最后一个标签”）。结果会话概述列出了所有打开的选项卡及其浏览历史记录。还创建Internet Explorer index.dat文件（包括在文件标题签名搜索过程中从各个位置的各个记录编译的人工index.dat文件），Internet Explorer 10的WebCacheV * .dat文件，Edge浏览器的spartan.edb文件（所有文件）的预览收藏夹和ReadingList条目将添加到事件列表中），$ UsnJrnl：$ J，Windows事件志（.evt和.evtx），Apple FSEvent志。从iOS的sms.db中，所有通过S记录的对话都被提取到单独的聊天文件中，并且所有消息都被添加到事件列表中，可以在其中基于电话号码或电子邮件地址对其进行过滤。还从Safa的图标数据库中提取浏览历史记录。这个替代来源非常有趣，因为即使Safa处于私有浏览模式下，它也会记录浏览历史记录。

HTML预览和index.dat的视图Internet浏览器的缓存/历史记录文件包含一列，该偏移量与文件中记录的位置有关，在该位置已找到每一行的数据。此偏移量显示为链接。如果单击它，您将在“文件”模式下自动导航到相应index.dat文件中的偏移，以便于验证X-Ways Forensics从该位置的记录中提取的。 （请注意，只有在链接未分成两行（这可能在查看器组件的v8.4中发生，而在v8.3.7中却没有发生）时，此方法才能正常工作。无论如何，您仍然可以手动导航到该偏移量。

元数据和事件是从SRUDB.dat中提取的，即由系统资源使用情况监视器（SRUM）捕获的活动。您可以看到随着时间的推移开始的过程，列出了它们的所有者，以及大量的统计。还提取每个过程的网络使用活动。提取的对于查明可能的入侵时刻或导致入侵的过程很有用。该以详细的HTML子对象文件形式显示，并以事件列表的形式显示。还支持iOS netusage.sqlite文件，该文件记录了应用程序的数据使用情况。除了流入和流出的数据量外，它们还提供了首次使用和最后使用应用程序时的近似时间。提取适当的事件，并创建一个HTML预览，其中包含所有相关。

X-Ways Forensics不仅可以在内部将其生成的HTML子对象用于父文件的预览。通过将这些子对象发送到您选择的程序（目录浏览器上下文菜单），您还可以在外部程序（例如首选浏览器）或MS Excel中查看所有这些表。在任意数量的行之后，您可能会有X-Ways Forenscis拆分HTML表。如果您确实使用首选的Internet浏览器而不是查看器组件（无法处理非常大的表）从外部查看HTML预览，则可以将该数字设置得更高。 HTML子对象的存在以及用于浏览器数据，事件志和更多数据源的可搜索文本，也提高了搜索和索引的效率。

g）以TSV格式从其他各种SQLite数据库中提取表，并将第一个用作SQLite数据库文件本身的预览。

h）提取已编辑的PDF文档的原始版本（如果有）作为子对象。

i）提供文件系统中的时间作为事件，以在事件列表中进行分析。

j）在文件中提供内部时间记作为事件。

k）可以估计文件的一般相关，并且可以通过按“相关”列进行排序来按相关顺序检出文件。用户可以定义文件的当前和大小影响其计算的通用相关的权重。 100％表示默认重量。 50％表示一半。 0％表示该因素完全无效。最大值为255％。可以在文件Generator Signatures.txt中定义用于通用相关判断的设备类型的权重。权重因子可以在***行的末尾找到。它可以在0到50之间。对于JPEG，PNG，GIF和WEBP格式的图片，该算法尝试更加强调价值而不是新闻价值，并权衡高于价值的证据价值。相关值3.0是在文件类型Categoes.txt中为JPEG文件定义的基本值。您也可以从仅做广告的图片中获得此值。 3.2 =典型的浏览器缓存图片。 3.5 =系统分区中的图片的典型值。 3.9 =社交媒体。 4.1 =网络摄像头。 4.2 =备份。 4.7 =最初由数码相机拍摄的照片。按相关对图片进行排序可在图库中实现分组效果，因为来自相似上下文的图片彼此相邻排序。