X-Ways Forensics是一款专业的取证分析工具。电脑取证分析你可以来试试X-Ways Forensics。您可以使用此软件来分析用户计算机上的所有数据,以提取可用的证据来还原它。您可以在软件上制作磁盘映像,并创建需要提取的分区作为镜像,这样可以确保数据不会丢失,然后添加镜像。您可以开始在分析中查询数据资源界面中,可以显示软件中的所有计算机数据,可以查看数据文件的哈希内容,可以快速计算和匹配每个证据文件的哈希值,可以快速提取内部元数据,并浏览历史记录和设备的事件可以提取Zip和RAR档案的内容,并且可以提取电子邮件和附件的内容,以帮助用户快速从计算机获取证据。如果需要此软件,请下载!
官方教程:
提取内部元数据和事件
卷快照优化的一部分。需要法医许可证。
A)您可以检查EXE,ZIP,RAR,JPEG,GIF,PNG,RIFF,BMP和PDF文件的文件格式一致性。 “类型状态”列将显示结果,“确定”或“损坏”。
b)允许从OLE2复合文件(例如2007年之前的MS Office文档),EDB,PDF,MS Office HTML,EML,MDI,ASF,WMV,WMA,MOV,JPEG,THM,TIFF,PNG创建中提取内部存储的文件时间,GZ,GHO,PGP pubring.pkr钥匙圈,ETL,SQM,IE Cookies,CAT,CER,CTL,SHD打印机后台处理程序,PF预取,LNK快捷方式和DocumentSummary备用数据流。该时间戳将以Int显示。目录浏览器的“创建”列。在某些情况下,将提取最早的时间戳,该时间戳最接近真实的原始创建日期。
c)允许将某些文件元数据复制到“元数据”列,这将允许您按此元数据进行过滤,使用“导出列表”命令导出元数据,并将其与案例表中的报告表一起输出。可以从“详细信息”模式下特别支持的所有文件类型以及Windows快捷方式文件(.lnk)和预取文件(.pf)中提取元数据。仅提取在“详细信息”模式下看到的元数据的子集。您可以选择从提取的元数据中删除某些行,以使它们在“元数据”列中不可见,例如,使案例报告或“导出列表”命令的输出更紧凑,以便在屏幕上打印或查看,或者仅因为某些元数据字段与您不相关。您可以通过子字符串标识不必要的元数据字段。子字符串可以匹配字段名称(例如“ Focal Length”)或字段的值(例如,如果文档的作者名称是“ Joe”,如果您事先知道您对“ Author”字段不感兴趣) )Huber“)。每行输入1个子字符串。该子字符串可能包含空格。您可以通过共享文件“ Unwanted Metadata.txt”来共享您的定义。
基于名为“跳转列表名称.txt”的新的用户可编辑文本文件,跳转列表哈希值将转换为提供的customDestionations-ms和automaticDestinations-ms跳转列表文件的元数据中的应用程序名称。当前,翻译表包含约500个条目。如果添加条目,请确保将它们插入正确的位置,以便所有条目以CRC升序排列。显然必须保留CRC中的前导零。 CRC和应用程序名称之间有一个选项卡。
D)在某些文件类型(例如$ I *回收站文件和iPhone移动同步备份索引(Manifest.mbdx))中找到时,它允许还原原始文件系统元数据(例如文件名,时间戳)。原始文件名通常比为确保单个目录中唯一性而分配的随机名称有意义得多,以用于备份。此类随机名称的示例是3a1c41282f45f5f1d1f27a1d14328c0ac49ad5ae(适用于iPhone备份中的文件)或$ RAE2PBF.jpg(Windows回收站)。根据文件系统的当前文件名仍然可以在“名称”列和“详细信息”模式下的方括号中看到,并且“名称”过滤器会同时找到原始名称和当前名称,因此当前文件名将不完整丢失。
备用名称和时间戳也从Linux PNG缩略图中提取,如Ubuntu和Kubuntu发行版,桌面管理器MATE和GNOME ThumbnailFactory中所知。原始文件的名称显示在“名称”列的方括号中,原始文件的记录时间戳显示为“内容创建”时间戳。原始文件的完整路径可以在“元数据”列中看到。
E)填写原始单个电子邮件文件(.eml,.emlx,.olk14msgsource)的“发件人和收件人”列。提取此类电子邮件的主题,如果该主题与文件名不同,它将显示在“名称”列中。除非文件是雕刻文件(即具有手动生成的文件名的文件),否则原始文件名将保留并在同一列中显示为备用名称。
F)在Internet浏览器中创建SQLite数据库的预览,这可能需要检查文件的实际文件类型。支持Firefox历史记录,Firefox下载,Firefox表单历史记录,Firefox登录名,Chrome cookie,
Chrome存档历史记录,Chrome历史记录,Chrome登录数据,Chrome Web数据,Chrome同步,Safari缓存,Safari feed和Skype的main.db联系人和文件传输数据库。 Google Chrome浏览器的历史记录还会显示每个已访问网站的转换,从而更容易确定访问是由用户触发还是由其他操作(例如重定向)触发。还列出了每次访问的持续时间。 Chrome浏览器地址栏中运行的Internet搜索在单独的表格中列出,并且也添加到了事件列表中。解析Google Chrome SNSS会话文件(“当前/最后一个会话”和“当前/最后一个标签”)。结果会话概述列出了所有打开的选项卡及其浏览历史记录。还创建了Internet Explorer index.dat文件(包括在文件标题签名搜索过程中从各个位置的各个记录编译的手动index.dat文件),用于Internet Explorer 10的WebCacheV * .dat文件以及用于Edge浏览器的spartan.edb文件。 (所有文件)预览收藏夹和ReadingList条目将添加到事件列表中),$ UsnJrnl:$ J,Windows事件日志(.evt和.evtx),Apple FSEvent日志。从iOS sms.db,所有通过SMS记录的对话都被提取到一个单独的聊天文件中,并且所有消息都被添加到事件列表中,可以在其中基于电话号码或电子邮件地址对其进行过滤。它还从Safari的图标数据库中提取浏览历史信息。这个替代资源非常有趣,因为即使Safari处于私有浏览模式,它也会记录浏览历史记录。
HTML预览和index.dat视图Internet浏览器的缓存/历史文件包含一列,其偏移量与文件中记录的位置有关,在该位置已找到每一行的数据。此偏移量显示为链接。如果单击它,则将在“文件”模式下自动导航到相应index.dat文件中的偏移量,以验证从该位置的记录中提取的X-Ways取证信息。 (请注意,该方法仅在链接未分为两行的情况下才有效(这可能会在查看器组件的v8.4中发生,但在v8.3.7中不会发生)。无论如何,您仍然可以手动导航到该偏移量。
元数据和事件是从SRUDB.dat中提取的,它们是由系统资源使用情况监视器(SRUM)捕获的活动。您可以看到随着时间的流逝而开始的过程,列出了所有者,以及大量的统计信息。还提取每个进程的网络使用活动。提取的信息对于识别可能的入侵时刻或导致入侵的过程很有用。该信息以详细的HTML子目标文件的形式显示,并以事件列表的形式显示。它还支持iOS netusage.sqlite文件,该文件记录了应用程序的数据使用情况。除了流入和流出的数据量外,它们还提供了首次使用和最后使用该应用程序时的近似时间戳。提取合适的东西
归档并创建一个包含所有相关信息的HTML预览。
X-Ways Forensics不仅可以将内部生成的HTML子对象用于父文件的预览。通过将这些子对象发送到您选择的程序(目录浏览器上下文菜单),您还可以在外部程序(例如您的首选浏览器)或MS Excel中查看所有这些表。在任意数量的行之后,您可能会有X-Ways Forenscis拆分HTML表。如果确实使用首选的Internet浏览器而不是查看器组件(不能处理非常大的表)从外部查看HTML预览,则可以将此数字设置得更高。 HTML子对象和用于浏览器数据,事件日志和更多数据源的可搜索文本的存在也提高了搜索和索引的效率。
G)以TSV格式从其他各种SQLite数据库中提取表,并将第一个用作SQLite数据库文件本身的预览。
H)提取已编辑的PDF文档的原始版本(如果有)作为子对象。
I)在文件系统中提供时间戳记作为事件,以便在事件列表中进行分析。
J)在文件中提供内部时间戳记作为事件。
K)可以估计文件的一般相关性,并且可以通过按“相关性”列进行排序按相关性顺序检出文件。用户可以定义文件的当前性和大小,以影响其计算出的总体相关性的权重。 100%代表默认重量。 50%表示一半。 0%表示该因子完全无效。最大值为255%。可以在文件Generator Signatures.txt中定义用于一般相关性判断的设备类型的权重。权重因子可以在***行的末尾找到。它可以在0到50之间。对于JPEG,PNG,GIF和WEBP格式的图片,该算法尝试强调情报的价值而不是新闻的价值,并权衡证据的价值高于信息的价值。相关值3.0是为文件类型Categories.txt中的JPEG文件定义的基本值。您还可以从仅做广告的图像中获得此值。 3.2 =典型的浏览器会缓存图片。 3.5 =系统分区中图片的典型值。 3.9 =社交媒体。 4.1 =网络摄像头。 4.2 =备份。 4.7 =最初由数码相机拍摄的照片。根据相关性对图片进行排序可以在图库中实现分组效果,因为来自相似上下文的图片彼此相邻排序。
软件功能:
·磁盘克隆和镜像功能,可完成数据采集
·可以分析RAW / dd / ISO / VHD / VMDK格式原始数据镜像文件的完整目录结构,并支持分段保存的镜像文件
·支磁盘,RAID,对磁盘的完全访问,扇区大小为8KB,最大2TB
·支持JBOD,RAID0,RAID 5,RAID 5EE,RAID 6,Linux软RAID,Windows动态磁盘和LVM2等磁盘阵列
·自动识别丢失/删除的分区
·支持FAT12,FAT16,FAT32,exFAT,TFAT,NTFS,Ext2,Ext3,Ext4,Next3,CDFS / ISO9660 / Joliet,UDF文件系统
·无需修改原始硬盘或镜像即可更正分区表或文件系统数据结构来解析文件系统
·查看并获取RAM和虚拟内存中的运行进程
·多种数据恢复功能,可以恢复特定的文件类型
·基于GREP符号维护文件头签名数据库
·支持20种数据类型解释
·使用模板查看和编辑二进制数据结构
·数据擦除功能,可以彻底清除存储介质中的残留数据
·可以从磁盘或映像文件中收集剩余空间,可用空间和分区信息
·在证据文件中创建文件和目录的列表
·能够非常容易地查找和分析ADS数据(NTFS交换数据流)
·支持多种哈希计算方法(CRC32,MD4,ed2k,MD5,SHA-1,SHA-256,RipeMD ...)
·强大的物理搜索和逻辑搜索功能,可以同时搜索多个关键词
·自动为NTFS卷中的文件记录数据结构添加颜色
·收藏夹
·可以在Windows FE中等Windows环境下运行
·通过F-Response,可以进行远程计算机分析
使用说明:
1.打开xwforensics64.exe进入中文界面,可以创建分析文件
2,您可以将镜像加载到软件分析中,使硬盘成为镜像,然后将其加载到软件分析中
3,支持创建磁盘镜像,创建骨架镜像,验证骨架镜像,还原镜像文件,备份管理器
4,复制块选择,剪贴板数据,删除,粘贴0字节,定义块选择,修改数据,填充块选择
5.同步搜索,导出单词列表,查找文本,查找十六进制值,替换十六进制值
6.磁盘克隆,递归浏览,按文件类型还原,重新获取磁盘快照,扫描丢失的分区,作为分区的起始位置
7,文件合并,文件拆分,整合数据,拆分数据
8.拍摄磁盘快照,报告技术细节,将映像文件转换为磁盘,并收集可用空间信息
软件功能:
1.X-Ways取证提供数据提取功能
2.快速从计算机中提取证据内容
3.可以在软件上分析文件的哈希值,并可以验证文件是否已被修改
4.提供映像分析,直接将磁盘映像加载到软件中查询数据
5.您可以在软件中快速分析磁盘数据并显示数据块
6.可以搜索文件系统的数据结构
7.支持文件头签名搜索,逐块哈希和匹配
8.可以通过哈希值计算和匹配来验证文件类型
9.支持提取内部元数据,浏览器历史记录和事件
10.发现嵌入式数据并从视频中捕获静止图像
11.可以分析和处理提取的图片
12.支持使用FuzzyDoc识别已知文件
13.支持文件格式特定和统计加密测试
14.支持磁盘编辑器,在软件行中编辑磁盘数据块,还支持存储器编辑器/分析
15.支持擦除数据,删除和初始化所有镜像数据
16.支持磁盘克隆,映像和备份,模板编辑
17.支持数据恢复,在软件上查找已删除的数据资源
18.支持图像分析,分析磁盘提供的图像资源
19.您可以查看案例报告和报告表格