軟體介紹
X-Ways Forensics 是用於計算機取證的綜合的取證、分析軟體,可在 Windows XP/2003/Vista/2008/7/8/8.1及WinPE/FE作業系統下運行,有32位和64位版。它事實上就是WinHex的法證授權版本,具有跟Winhex相同的界面和Winhex所有功能外的更多功能,並增加了檔案預覽等實用功能。
對比
相同之處
•磁碟克隆和鏡像功能,進行完整數據獲取
•可分析 RAW/dd/ISO/VHD/VMDK 格式原始數據鏡像檔案中的完整目錄結構,支持分段保存的鏡像檔案
•支持磁碟,RAID,扇區大小為8KB最大2TB的鏡像的完全訪問
•支持對JBOD、RAID0、RAID 5、RAID 5EE, RAID 6, Linux軟RAID, Windows動態磁碟和LVM2等磁碟陣列
•自動識別丟失/刪除的分區
•支持FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDF檔案系統
•無需修改原始硬碟或鏡像糾正分區表或檔案系統數據結構來解析檔案系統
•察看並獲取 RAM和虛擬記憶體中的運行進程
•多種數據恢復功能,可對特定檔案類型恢復
•基於GREP符號維護檔案頭簽名資料庫
•支持20種數據類型解釋
•使用模板查看和編輯二進制數據結構
•數據擦除功能,可徹底清除存儲介質中殘留數據
•可從磁碟或鏡像檔案中收集殘留空間、空餘空間、分區空隙中信息
•創建證據檔案中的檔案和目錄列表
•能夠非常簡單地發現並分析ADS數據(NTFS交換數據流)
•支持多種哈希計算方法 (CRC32, MD4, ed2k, MD5,SHA-1, SHA-256, RipeMD...)
•強大的物理搜尋和邏輯搜尋功能,可同時搜尋多個關鍵字
•在NTFS卷中為檔案記錄數據結構自動加色
•書籤和注釋
•可以運行在Windows FE中等Windows環境
•配合F-Response可進行遠程計算機分析
增強功能
•具有智慧型壓縮功能的高效磁碟鏡像
•能夠讀取、創建.e01 證據檔案,可對證據檔案進行 256位AES加密
•完整的案例管理功能
•自動創建軟體操作日誌 (審計日誌)
•數據防寫功能,確保數據真實性
•在網路環境中具有遠程磁碟分析能力
•支持 HFS, HFS+/HFSJ/HFSX, ReiserFS, Reiser4, XFS, UFS, UFS2檔案系統
•滑鼠點擊即可生成一個基本的檔案列表,可通過列表導航到已定義的檔案系統數據結構,如:檔案記錄,索引記錄,$LogFile,卷影複製,FAT目錄項,Ext節點,嵌入檔案等
•支持分區類型:蘋果格式MBR, GPT(GUID), Windows動態卷(MBR+GPT), LVM2 (MBR+GPT), 未分區 (軟碟/大容量軟碟)
•Windows 2000, XP, Vista, 2003 Server, 2008 Server, Windows 7下的記憶體和記憶體鏡像分析
•顯示檔案所有者,NTFS檔案許可權,對象ID/GUID和特別屬性
•NTFS壓縮效應補償和Ext2/Ext3塊分配邏輯
•內置檔案預覽功能,支持270種以上檔案類型
•查看Windows事件日誌檔案(.EVT,.EVTX),Windows捷徑(.LNK)檔案,Windows預讀取檔案,$LogFile, $UsnJrnl,還原點change.log,Windows任務計畫程式(.job),$EFS LUS, INFO2,還原點change.log.1,wtmp/utmp/btmp log-in records登錄記錄,MacOS X系統kcpassword,AOL-PFC,OutlookNK2自動完成檔案,Outlook的WAB地址簿,IE瀏覽器travellog(又名RecoveryStore),IE瀏覽器index.dat歷史記錄和瀏覽器快取資料庫,SQLite資料庫,如Firefox瀏覽歷史,Firefox下載,Firefox表單歷史,Firefox外掛程式,Chrome的cookie,Chrome歷史歸檔,Chrome歷史記錄,Chrome登錄數據,Chrome網頁數據,Safari瀏覽器快取,Safarifeeds,Skype聯繫人和檔案傳輸的main.db資料庫等等
•能夠收集IE瀏覽器的歷史和那些漂浮在空中或閒置空間在虛擬單個檔案瀏覽器快取中的index.dat記錄
•提取元數據,並從各種檔案類型的內部創建時間戳,並允許通過他們過濾,如MS Office,OpenOffice,StarOffice,HTML,MDI,PDF,RTF,WRI,AOL,PFC,ASF,WMV,WMA,MOV,AVI,WAV, MP4,3GP,M4V,M4A,JPEG,BMP,THM,TIFF,GIF,PNG,GZ,ZIP,PF,IEcookies,DMP記憶體轉儲,hiberfil.sys,PNF,SHD和SPL印表機後台的Tracking.log, MDB,MS Access資料庫,manifest.mbdx/.mbdb iPhone備份,...
•能夠分析檢查抽取出的電子郵件數據,支持Outlook (PST/OST)注, ExchangeEDB, Outlook Express(DBX), AOL PFC, Mozilla(包括 Thunderbird), generic mailbox (mbox, Unix), MSG, EML
•以縮略圖方式預覽圖片
•自動生成HTML格式案件報告,可以用Word查看並編輯
•在扇區視圖模式下,可同步顯示對應扇區的檔案和目錄
•強大的動態過濾功能,能以檔案類型、哈希庫、時間、檔案大小、注釋、報告表等方式組合進行檔案過濾
•導出案件檔案時,可包含並創建相應檔案的原始路徑,還可包含或排除檔案殘留區數據,或將檔案或殘留區數據單獨導出。
•自動識別加密的MS Office 和PDF檔案
•可以從任何其他類型的檔案中提取幾乎任何一種嵌入式檔案(包括圖片),從JPEG和縮略圖快取中提取縮略圖,從跳轉列表中提取.lnl捷徑,從Windows.edb、瀏覽器快取中提取各種數據,,從SQLite資料庫表中提取PLists,從OLE2和PDF文檔中的提取雜項元素等等
•膚色圖片檢測功能,(根據膚色比例,以畫廊方式排序,加速對色情圖片、黑白圖片的搜尋)
•黑白或灰度圖片檢測
•可被OCR的PDF文檔檢測
•可根據用戶定義的時間間隔從視頻檔案中提取靜態圖片
•內置 Windows 註冊表查看器(支持所有 Windows 版本),並自動生成註冊表報告
•可查看Windows 事件日誌檔案
•能夠以目錄方式逐級瀏覽壓縮檔案中內容
•可在所有檔案、選中檔案和壓縮檔案、PDF, HTML, EML, ..., 等類型檔案中進行搜尋
•在Unicode和各種代碼頁進行搜尋和索引
•使用AND,AND, NEAR, + 、- 等邏輯操作符進行搜尋
•可檢測硬碟HPA區域(host-protected areas )和ATA加密硬碟保護區域
•依據內部哈希庫,可以快速定位特定類型檔案
•能夠導入 NSRL RDS 2.x, HashKeeper 和ILook格式的哈希庫
•可創立用戶專用哈希集
•能夠解壓縮整個的hiberfil.sys檔案和單獨塊