x-ways forensics

X-Ways Forensics是一款计算机取证分析软件，这款软件取证分析功能强大，分析数据准确率高，支持各种版本的windows作系统，与其它同类软件相比，这款软件占用资源少，分析速度快，可以让你在进行取证分析的过程中不再被其他因素所影响。

x-ways forensics

x-ways forensics功能介绍

·磁盘克隆和镜像功能，进行完整数据获取

·可分析 RAW/dd/ISO/VHD/VMDK 格式原始数据镜像文件中的完整目录结构，x-ways forensics版支持分段保存的镜像文件

·支持磁盘，RAID,扇区大小为8KB最大2TB的镜像的完全访问

·支持对OD、RAID0、RAID 5、RAID 5EE, RAID 6, Linux软RAID, Windows动态磁盘和LVM2等磁盘阵列

·自动识别丢失/删除的分区

·支持FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO60/Joliet, UDF文件系统

·无需修改原始硬盘或镜像纠正分区表或文件系统数据结构来解析文件系统

·察看并获取 RAM和虚拟内存中的运行进程

·多种数据恢复功能，可对特定文件类型恢复

·基于GREP符号文件头签名数据库

·支持20种数据类型解释

·使用模板查看和编辑二进制数据结构

·数据擦除功能，可彻底清除存储介质中残留数据

·可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙中

·创建证据文件中的文件和目录列表

·能够非常简单地发现并分析ADS数据(NTFS交换数据流)

·支持多种哈希计算方法 (CRC32, MD4, ed2k, MD5,SHA-1, SHA-256, RipeMD…)

·强大的物理搜索和逻辑搜索功能，可同时搜索多个关键词

·在NTFS卷中为文件记录数据结构自动加色

·书签和注释

·可以运行在Windows FE中等Windows环境

·配合F-Response可进行远程计算机分析

x-ways forensics软件特色

1.查看Windows事件志文件(.EVT，.EVTX)，Windows快捷方式(.LNK)文件，Windows预读取文件，$LogFile, $UsnJrnl,还原点change.log，Windows任务计划程序(.job)，$EFS LUS， INFO2，还原点change.log.1，wtmp/utmp/btmp log-in records登录记录，MacOS X系统kcpassword，AOL-PFC，OutlookNK2自动完成文件，Outlook的WAB地址簿，IE浏览器travellog(又名RecoveryStore)，IE浏览器index.dat历史记录和浏览器缓存数据库，SQLite数据库，如Firefox浏览历史，Firefox下载，Firefox表单历史，Firefox插件，Chme的cookie，Chme历史归档，Chme历史记录，Chme登录数据，Chme网页数据，Safa浏览器缓存，Safafeeds，Skype联系人和文件传输的main.db数据库等等

2.提取元数据，并从各种文件类型的内部创建时间，x-ways forensics版允许通过他们过滤，如MS Office，OpenOffice，StarOffice，HTML，MDI，PDF，RTF，WRI，AOL，PFC，ASF，WMV，WMA，MOV，I，W， MP4，3，M4V，M4A，JPEG，BMP，THM，TIFF，GIF，PNG，GZ，ZIP，PF，IEcookies，DMP内存转储，hiberfil.sys，PNF，SHD和SPL打印机后台的Tracking.log， MDB，MS Access数据库，manifest.mbdx/.mbdb iPhone备份

3.可以从任何其他类型的文件中提取几乎任何一种嵌入式文件(包括图片)，从JPEG和缩略图缓存中提取缩略图，从跳转列表中提取.lnl快捷方式，从Windows.edb、浏览器缓存中提取各种数据，，从SQLite数据库表中提取PLists，从OLE2和PDF文档中的提取杂项元素等等

x-ways forensics更新志

1.具有智能压缩功能的高效磁盘镜像;

2.能够读取、创建.e01 证据文件，可对证据文件进行 256位AES加密;

3.完整的案例管理功能;

4.自动创建软件作志 (审计志);

5.数据写保护功能，确保数据真实;

6.在网络环境中具有远程磁盘分析能力;