X-Ways Forensics(取证分析软件)V20.9 汉化版

软件介绍

X-Ways Forensics是一款专业的取证分析工具。电脑取证分析你可以来试试X-Ways Forensics。您可以使用此软件来分析用户计算机上的所有数据，以提取可用的证据来还原它。您可以在软件上制作磁盘映像，并创建需要提取的分区作为镜像，这样可以确保数据不会丢失，然后添加镜像。您可以开始在分析中查询数据资源界面中，可以显示软件中的所有计算机数据，可以查看数据文件的哈希内容，可以快速计算和匹配每个证据文件的哈希值，可以快速提取内部元数据，并浏览历史记录和设备的事件可以提取Zip和RAR档案的内容，并且可以提取电子邮件和附件的内容，以帮助用户快速从计算机获取证据。如果需要此软件，请下载！

官方教程：

提取内部元数据和事件

卷快照优化的一部分。需要法医许可证。

A）您可以检查EXE，ZIP，RAR，JPEG，GIF，PNG，RIFF，BMP和PDF文件的文件格式一致性。 “类型状态”列将显示结果，“确定”或“损坏”。

b）允许从OLE2复合文件（例如2007年之前的MS Office文档），EDB，PDF，MS Office HTML，EML，MDI，ASF，WMV，WMA，MOV，JPEG，THM，TIFF，PNG创建中提取内部存储的文件时间，GZ，GHO，PGP pubring.pkr钥匙圈，ETL，SQM，IE Cookies，CAT，CER，CTL，SHD打印机后台处理程序，PF预取，LNK快捷方式和DocumentSummary备用数据流。该时间戳将以Int显示。目录浏览器的“创建”列。在某些情况下，将提取最早的时间戳，该时间戳最接近真实的原始创建日期。

c）允许将某些文件元数据复制到“元数据”列，这将允许您按此元数据进行过滤，使用“导出列表”命令导出元数据，并将其与案例表中的报告表一起输出。可以从“详细信息”模式下特别支持的所有文件类型以及Windows快捷方式文件（.lnk）和预取文件（.pf）中提取元数据。仅提取在“详细信息”模式下看到的元数据的子集。您可以选择从提取的元数据中删除某些行，以使它们在“元数据”列中不可见，例如，使案例报告或“导出列表”命令的输出更紧凑，以便在屏幕上打印或查看，或者仅因为某些元数据字段与您不相关。您可以通过子字符串标识不必要的元数据字段。子字符串可以匹配字段名称（例如“ Focal Length”）或字段的值（例如，如果文档的作者名称是“ Joe”，如果您事先知道您对“ Author”字段不感兴趣））Huber“）。每行输入1个子字符串。该子字符串可能包含空格。您可以通过共享文件“ Unwanted Metadata.txt”来共享您的定义。

基于名为“跳转列表名称.txt”的新的用户可编辑文本文件，跳转列表哈希值将转换为提供的customDestionations-ms和automaticDestinations-ms跳转列表文件的元数据中的应用程序名称。当前，翻译表包含约500个条目。如果添加条目，请确保将它们插入正确的位置，以便所有条目以CRC升序排列。显然必须保留CRC中的前导零。 CRC和应用程序名称之间有一个选项卡。

D）在某些文件类型（例如$ I *回收站文件和iPhone移动同步备份索引（Manifest.mbdx））中找到时，它允许还原原始文件系统元数据（例如文件名，时间戳）。原始文件名通常比为确保单个目录中唯一性而分配的随机名称有意义得多，以用于备份。此类随机名称的示例是3a1c41282f45f5f1d1f27a1d14328c0ac49ad5ae（适用于iPhone备份中的文件）或$ RAE2PBF.jpg（Windows回收站）。根据文件系统的当前文件名仍然可以在“名称”列和“详细信息”模式下的方括号中看到，并且“名称”过滤器会同时找到原始名称和当前名称，因此当前文件名将不完整丢失。

备用名称和时间戳也从Linux PNG缩略图中提取，如Ubuntu和Kubuntu发行版，桌面管理器MATE和GNOME ThumbnailFactory中所知。原始文件的名称显示在“名称”列的方括号中，原始文件的记录时间戳显示为“内容创建”时间戳。原始文件的完整路径可以在“元数据”列中看到。

E）填写原始单个电子邮件文件（.eml，.emlx，.olk14msgsource）的“发件人和收件人”列。提取此类电子邮件的主题，如果该主题与文件名不同，它将显示在“名称”列中。除非文件是雕刻文件（即具有手动生成的文件名的文件），否则原始文件名将保留并在同一列中显示为备用名称。

F）在Internet浏览器中创建SQLite数据库的预览，这可能需要检查文件的实际文件类型。支持Firefox历史记录，Firefox下载，Firefox表单历史记录，Firefox登录名，Chrome cookie，

Chrome存档历史记录，Chrome历史记录，Chrome登录数据，Chrome Web数据，Chrome同步，Safari缓存，Safari feed和Skype的main.db联系人和文件传输数据库。 Google Chrome浏览器的历史记录还会显示每个已访问网站的转换，从而更容易确定访问是由用户触发还是由其他操作（例如重定向）触发。还列出了每次访问的持续时间。 Chrome浏览器地址栏中运行的Internet搜索在单独的表格中列出，并且也添加到了事件列表中。解析Google Chrome SNSS会话文件（“当前/最后一个会话”和“当前/最后一个标签”）。结果会话概述列出了所有打开的选项卡及其浏览历史记录。还创建了Internet Explorer index.dat文件（包括在文件标题签名搜索过程中从各个位置的各个记录编译的手动index.dat文件），用于Internet Explorer 10的WebCacheV * .dat文件以及用于Edge浏览器的spartan.edb文件。（所有文件）预览收藏夹和ReadingList条目将添加到事件列表中），$ UsnJrnl：$ J，Windows事件日志（.evt和.evtx），Apple FSEvent日志。从iOS sms.db，所有通过SMS记录的对话都被提取到一个单独的聊天文件中，并且所有消息都被添加到事件列表中，可以在其中基于电话号码或电子邮件地址对其进行过滤。它还从Safari的图标数据库中提取浏览历史信息。这个替代资源非常有趣，因为即使Safari处于私有浏览模式，它也会记录浏览历史记录。

HTML预览和index.dat视图Internet浏览器的缓存/历史文件包含一列，其偏移量与文件中记录的位置有关，在该位置已找到每一行的数据。此偏移量显示为链接。如果单击它，则将在“文件”模式下自动导航到相应index.dat文件中的偏移量，以验证从该位置的记录中提取的X-Ways取证信息。（请注意，该方法仅在链接未分为两行的情况下才有效（这可能会在查看器组件的v8.4中发生，但在v8.3.7中不会发生）。无论如何，您仍然可以手动导航到该偏移量。

元数据和事件是从SRUDB.dat中提取的，它们是由系统资源使用情况监视器（SRUM）捕获的活动。您可以看到随着时间的流逝而开始的过程，列出了所有者，以及大量的统计信息。还提取每个进程的网络使用活动。提取的信息对于识别可能的入侵时刻或导致入侵的过程很有用。该信息以详细的HTML子目标文件的形式显示，并以事件列表的形式显示。它还支持iOS netusage.sqlite文件，该文件记录了应用程序的数据使用情况。除了流入和流出的数据量外，它们还提供了首次使用和最后使用该应用程序时的近似时间戳。提取合适的东西

归档并创建一个包含所有相关信息的HTML预览。

X-Ways Forensics不仅可以将内部生成的HTML子对象用于父文件的预览。通过将这些子对象发送到您选择的程序（目录浏览器上下文菜单），您还可以在外部程序（例如您的首选浏览器）或MS Excel中查看所有这些表。在任意数量的行之后，您可能会有X-Ways Forenscis拆分HTML表。如果确实使用首选的Internet浏览器而不是查看器组件（不能处理非常大的表）从外部查看HTML预览，则可以将此数字设置得更高。 HTML子对象和用于浏览器数据，事件日志和更多数据源的可搜索文本的存在也提高了搜索和索引的效率。

G）以TSV格式从其他各种SQLite数据库中提取表，并将第一个用作SQLite数据库文件本身的预览。

H）提取已编辑的PDF文档的原始版本（如果有）作为子对象。

I）在文件系统中提供时间戳记作为事件，以便在事件列表中进行分析。

J）在文件中提供内部时间戳记作为事件。

K）可以估计文件的一般相关性，并且可以通过按“相关性”列进行排序按相关性顺序检出文件。用户可以定义文件的当前性和大小，以影响其计算出的总体相关性的权重。 100％代表默认重量。 50％表示一半。 0％表示该因子完全无效。最大值为255％。可以在文件Generator Signatures.txt中定义用于一般相关性判断的设备类型的权重。权重因子可以在***行的末尾找到。它可以在0到50之间。对于JPEG，PNG，GIF和WEBP格式的图片，该算法尝试强调情报的价值而不是新闻的价值，并权衡证据的价值高于信息的价值。相关值3.0是为文件类型Categories.txt中的JPEG文件定义的基本值。您还可以从仅做广告的图像中获得此值。 3.2 =典型的浏览器会缓存图片。 3.5 =系统分区中图片的典型值。 3.9 =社交媒体。 4.1 =网络摄像头。 4.2 =备份。 4.7 =最初由数码相机拍摄的照片。根据相关性对图片进行排序可以在图库中实现分组效果，因为来自相似上下文的图片彼此相邻排序。