X-Ways Forensics32位/64位解锁绿色中文版

X-Ways Forensics简介

X-Ways Forensics是一款计算机取证软件，可以对用户计算机的所有数据进行分析，从而提取出可利用的证据并进行还原。可以在软件上制作一个磁盘镜像，把需要提取的分区系统作为镜像，这样可以保证数据不会丢失。然后，可以通过将图像添加到分析界面开始查询数据资源，在软件中显示计算机的所有数据，并查看数据文件的哈希内容。您可以快速计算和匹配每个证据文件的哈希值，快速提取内部元数据、浏览器历史记录和事件，提取Zip和RAR档案的内容，提取电子邮件和附件的内容，帮助用户快速从计算机获取证据。如果你需要这个软件，就下载吧！

X-Ways Forensics 软件功能

完整数据采集的磁盘克隆和镜像功能。

它可以分析RAW/dd/ISO/VHD/VMDK格式原始数据图像文件中完整的目录结构，支持分段图像文件。

支持对扇区大小为8KB、最大2TB的磁盘、磁盘阵列和镜像的完全访问。

支持OD、RAID0、RAID 5、RAID 5EE、RAID 6、Linux软RAID、Windows动态磁盘、LVM2等磁盘阵列。

自动识别丢失/删除的分区

支持fat12、fat16、fat32、EXFAT、t fat、NTFS、ext2、ext3、ext4、next3、CDFS/ISO 60/Joliet、UDF文件系统

无需修改原始硬盘或镜像校正分区表或文件系统数据结构来解析文件系统。

检查并获取内存和虚拟内存中正在运行的进程。

各种数据恢复功能，可以恢复特定的文件类型。

基于GREP符号文件头的签名数据库

支持20种数据类型的解释

使用模板查看和编辑二进制数据结构

数据擦除功能，可以彻底清除存储介质中的残留数据。

剩余空间、可用空间和分区间隙可以从磁盘或图像文件中收集。

在证据文件中创建文件和目录列表。

查找和分析ADS数据(NTFS交换数据流)非常简单

支持多种哈希计算方式(CRC32、MD4、ED2K、MD5、SHA-1、SHA-256、RIPEMD & # 8230)

强大的物理搜索和逻辑搜索功能，可以同时搜索多个关键词。

自动为NTFS卷中的文件记录数据结构着色。

书签和笔记

可以在Windows FE中等Windows环境下运行。

配合F-Response进行远程计算机分析。

X-Ways Forensics 软件特色

1.X-Ways Forensics提供数据提取功能。

2.迅速从电脑中提取证据。

3.可以在软件上分析文件的哈希值，以验证文件是否已被修改。

4.提供图像分析，并直接将磁盘图像加载到软件中查询数据。

5.您可以在软件中快速分析磁盘数据并显示数据块。

6.可以搜索文件系统数据结构。

7.支持文件头签名搜索、逐块哈希和匹配。

8.文件类型可以通过哈希值计算和匹配来验证。

9.支持提取内部元数据、浏览器历史和事件。

10.查找嵌入的数据并从中捕获静态图像。

1.提取的图片可以被分析和处理。

12.支持使用FuzzyDoc识别已知文档

13.支持文件格式特异性和统计加密测试。

14.支持磁盘编辑器，在软件行编辑磁盘数据块，也支持内存编辑器/分析。

15.支持擦除数据，并删除和初始化所有镜像数据。

16.支持磁盘克隆、映像和备份以及模板编辑。

17.支持数据恢复，并在软件中查找删除的数据资源。

18.支持图像分析，分析磁盘提供的图像资源。

19.您可以查看案例报告和报告表单。

X-Ways Forensics 使用说明

1.打开xwforensics.exe进入中文界面，可以创建分析文件。

2.您可以将图像加载到软件分析中，也可以通过将硬盘设为镜像来将其加载到软件分析中。

3.支持创建磁盘映像、骨架映像、骨架映像验证、映像文件恢复和备份管理器。

4.复制选定块和剪贴板数据，删除和粘贴0字节，定义选定块，修改数据和填充选定块。

5.同步搜索、导出单词列表、查找文本、查找十六进制值和替换十六进制值。

6.磁盘克隆、浏览递归、文件类型恢复、再次磁盘快照、扫描丢失的分区作为分区的起始位置。

7.文件合并、文件拆分、数据集成和数据拆分。

8.拍摄磁盘快照，报告技术细节，将图像文件转换为磁盘，并收集备用空间。

X-Ways Forensics 教程

提取内部元数据和事件

快照优化的一部分。需要法医执照。

EXE、ZIP、RAR、JPEG、GIF、PNG、RIFF、BMP、PDF文件的文件格式一致。“类型状态”列将显示结果“正常”或“损坏”。

b)允许从OLE2复合文件(如2007年以前的MS Office文档)、EDB、PDF、MS Office HTML、EML、MDI、ASF、WMV、WMA、MOV、JPEG、THM、TIFF、PNG中提取内存、GZ、GHO、P pubng.pkr钥匙圈、ETL、SQM的创建时间。IE Cookies、CAT、CER、CTL、SHD打印机后台打印程序、PF预取、LNK快捷方式和DocumentSummary交替数据流。这个时间将以整数显示。创建目录的列。在某些情况下，会提取最早的时间，最接近真实的原始创作时期。

c)允许将一些文件元数据复制到“元数据”列，这将允许您按此元数据进行筛选，使用“导出列表”命令导出元数据，并将其与案例报告中的报告表一起输出。元数据可以从详细模式特别支持的所有文件类型以及Windows快捷方式文件(。lnk)和预取文件(。pf)。仅提取您在详细模式下看到的元数据的子集。您可以选择从提取的元数据中删除一些行，以便在“元数据”列中看不到它们。例如，使案例报告或导出列表命令的输出更加紧凑，以便在屏幕上打印或查看，或者仅仅因为某些元数据字段与您无关。您可以通过子字符串识别不需要的元数据字段。子字符串可以匹配字段的名称(例如，“Focal Len”)或字段的值(例如，如果文档的作者名是“Joe”，如果您事先知道您对“author”字段不感兴趣)Huber)。每行输入1个子字符串。子字符串可能包含空格。您可以通过共享文件“不需要的元数据. txt”来共享您的定义。

基于名为“跳转列表名”的新的用户可编辑文本文件。txt”，跳转列表哈希值被转换为customdestinations-ms和automatic destinations-ms跳转列表文件中提供的元数据中的应用程序名称。目前，翻译表包含大约500个条目。如果添加条目，请确保将它们插入正确的位置，以便所有条目都以升序排列。显然必须保留循环冗余校验中的前导零。并且在CRC和应用程序名称之间有一个选项卡。

d)允许在某些文件类型(如$ I *回收站文件和iPhone Mobile Sync备份索引(Manifest.mbdx))中找到原始文件系统元数据(如文件名、时间)时将其还原。原始文件名通常比随机分配的名称更有意义，以确保单个目录中的唯一性，用于备份目的。这种随机名称的例子有3a 1c 41282 f 45 f1 f1 a1 d 14328 c0ac 49 ad 5ae(iPhone备份中使用的文件)或$ RAE2PBF.jpg(Windows回收站)。根据文件系统的当前文件名，在“详细”模式下，仍然可以在“名称”列和方括号中看到它，“名称”过滤器会同时找到原始名称和当前名称，因此当前文件名不会完全丢失。

替换的名称和时间也是从Linux PNG缩略图中提取的，如Ubuntu和Kubuntu发行版、桌面管理器MATE和OME图钉工厂所知。原始文件的名称显示在“名称”列的方括号中，原始文件的录制时间显示为“内容创建”时间。原始文件的完整路径可以在元数据列中看到。

e)填写原始单个电子邮件文件的“发件人和收件人”列(。eml，。emlx，。olk14msgsource)。提取此类电子邮件的主题。如果与文件名不同，它将显示在“名称”列中。除非该文件是一个精雕细琢的文件(即具有手动生成的文件名的文件)，否则原始文件名将被保留，并在同一列中显示为替代名称。

f)创建互联网浏览器的SQLite数据库的预览，这可能需要文件的真实文件类型。支持Firefox历史、Firefox下载、Firefox表单历史、Firefox登录、Chme cookie、Chme存档历史、Chme登录数据、Chme web数据、Chme同步、Safa缓存、Safa feed和Skype关于联系人和文件传输的main.db数据库。Google Chme浏览器的历史记录也显示了每个被访问网站的过渡情况，因此更容易确定访问是由用户触发还是其他动作(如重定向)触发。还列出了每次访问的持续时间。在Chme地址栏中运行的互联网搜索被列在一个单独的表中，并且也被添加到事件列表中。解析谷歌SNSS会话文件(“当前/上次会话”和“当前/上次选项卡”)。会话摘要列出了所有打开的选项卡及其浏览历史。Internet Explorer index.dat文件(包括在文件标题签名搜索期间从不同位置的各种记录中编译的手动index.dat文件)，WebCacheV *。Internet Explorer 10的dat文件，Edge浏览器的spartan.edb文件(所有文件的预览收藏夹和ReadingList条目将被添加到事件列表中)，$ usnjrnl: $ j，Windows事件日志(。evt和。evtx)，以及苹果FSEvent日志。从iOS的sms.db中，通过S记录的所有对话都被提取到一个单独的聊天文件中，所有消息都被添加到事件列表中，在那里可以根据电话号码或电子邮件地址进行过滤。浏览历史也是从Safa的图标数据库中提取的。这个替代源非常有趣，因为即使Safa处于私人浏览模式，它也会记录浏览历史。

互联网浏览器的缓存/历史文件包含一列，偏移量与文件中记录的位置有关，每行的数据都在该位置找到。该偏移显示为链接。如果点击，会在文件模式下自动导航到相应index.dat文件中的偏移量，从而验证X-Ways Forensics从该位置的记录中提取的。(请注意，只有当链接没有分成两行时，该方法才能正常工作(这可能发生在查看器组件的v8.4中，但不会发生在v8.3.7中)。在任何情况下，您仍然可以手动导航到偏移。

元数据和事件是从SRUDB.dat中提取的，即由系统资源使用监视器(SRUM)捕获的活动。您可以看到随着时间的推移而开始的过程，列出它们的所有者，以及大量的统计数据。还提取每个进程的网络使用活动。提取对于找出可能的入侵时间或导致入侵的过程非常有用。这以详细的HTML子对象文件的形式和事件列表的形式显示。它还支持记录应用程序数据使用情况的iOS netusage.sqlite文件。除了流入和流出的数据量之外，它们还提供了应用程序首次使用和最后一次使用的大致时间。提取适当的事件，并创建一个包含所有相关信息的HTML预览。

X-Ways Forensics不仅可以在内部使用其生成的HTML子对象进行父文件的预览。您也可以通过将这些子对象发送到您选择的程序(目录浏览器的上下文菜单)来查看外部程序(如首选浏览器)或微软Excel中的所有这些表。在任意数量的行之后，您可能有X-way forensis来拆分HTML表。如果您确实使用首选的互联网浏览器而不是查看器组件(它不能处理非常大的表格)从外部查看HTML预览，您可以将该数字设置得更高。浏览器数据、事件日志和更多数据源的HTML子对象和可搜索文本的存在也提高了搜索和索引的效率。

g)从TSV格式的其他SQLite数据库中提取表，并将第一个表用作SQLite数据库文件本身的预览。

h)提取编辑后的PDF文档的原始版本(如果有)作为子对象。

I)将文件系统中的时间作为事件在事件列表中进行分析。

j)在文件中提供内部时间记录作为事件。

k)可以估计文件的一般相关性，通过按“相关性”列排序，可以按相关顺序检出文件。用户可以定义文件的当前大小影响其计算的一般相关性的权重。100%表示默认重量。50%意味着一半。0%表示该因子完全无效。最大值为255%。您可以在文件生成器签名. txt中定义用于一般相关性判断的设备类型的权重..权重因子可以在* * *行的末尾找到。它可以在0到50之间。对于JPEG、PNG、GIF和WEBP图像，算法尽量强调价值而非新闻价值，将证据价值重于价值。相关值3.0是在文件类型Categoes.txt中为JPEG文件定义的基本值。您也可以从仅广告图片中获取该值。3.2 =典型的浏览器缓存图片。3.5 =系统分区中图片的典型值。3.9 =社交媒体。4.1 =网络摄像头。4.2 =备份。4.7 =数码相机最初拍摄的照片。根据相关性对图片进行排序可以在图库中实现分组效果，因为来自相似上下文的图片是一个接一个排序的。