x-ways forensics

x-ways forensics是一款很实用的取证分析人员的实用软件，它简单使用、运行更快速、无需安装、使用时效率更高、占用资源不多，x-ways forensics无需修改原始硬盘或镜像纠正分区表或文件系统数据结构来解析文件系统，强大的物理搜索和逻辑搜索功能，可同时搜索多个关键词，对这款软件有需要的小伙伴快来下载吧。

x-ways forensics基本简介

X-Ways Forensics 是为计算机取证分析人员提供的一个功能强大的、综合的取证、分析软件，可在 Windows XP/2003/Vista/2008/7/8/8.1/2012/10操作系统下运行，支持32 /64 位, Standard/PE/FE等版本。(Windows FE is described here, here and here.) 与其他竞争产品相比，由于它在运行时占用的资源更少，因此它在工作时更高效，运行更快速，并且能恢复已删除的文件，还能搜索到其他软件搜索不到的结果，还包含许多特有的功能，最重要的是成本更低廉。X-Ways Forensics 可随身携带，能够通过U盘在任意Windows操作系统下使用，无需安装。不像其他一些取证分析工具那样，X-ways Forensics不需要使用者设置数据库等繁琐的操作，并且超小化的安装包可以在数秒内下载并安装。它可以与WinHex hex和 disk editor 紧密结合，提供高效率的工作流模型， 这样计算机取证调查员就可以与使用X-Ways Investigator 的调查员共享数据，协同工作。

x-ways forensics功能介绍

·磁盘克隆和镜像功能，进行完整数据获取

·可分析 RAW/dd/ISO/VHD/VMDK 格式原始数据镜像文件中的完整目录结构，支持分段保存的镜像文件

·支持磁盘，RAID,扇区大小为8KB最大2TB的镜像的完全访问

·支持对JBOD、RAID0、RAID 5、RAID 5EE, RAID 6, Linux软RAID, Windows动态磁盘和LVM2等磁盘阵列

·自动识别丢失/删除的分区

·支持FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDF文件系统

·无需修改原始硬盘或镜像纠正分区表或文件系统数据结构来解析文件系统

·察看并获取 RAM和虚拟内存中的运行进程

·多种数据恢复功能，可对特定文件类型恢复

·基于GREP符号维护文件头签名数据库

·支持20种数据类型解释

·使用模板查看和编辑二进制数据结构

·数据擦除功能，可彻底清除存储介质中残留数据

·可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙中信息

·创建证据文件中的文件和目录列表

·能够非常简单地发现并分析ADS数据(NTFS交换数据流)

·支持多种哈希计算方法 (CRC32, MD4, ed2k, MD5,SHA-1, SHA-256, RipeMD...)

·强大的物理搜索和逻辑搜索功能，可同时搜索多个关键词

·在NTFS卷中为文件记录数据结构自动加色

·书签和注释

·可以运行在Windows FE中等Windows环境

·配合F-Response可进行远程计算机分析

x-ways forensics软件特色

1.查看Windows事件日志文件(.EVT，.EVTX)，Windows快捷方式(.LNK)文件，Windows预读取文件，$LogFile, $UsnJrnl,还原点change.log，Windows任务计划程序(.job)，$EFS LUS， INFO2，还原点change.log.1，wtmp/utmp/btmp log-in records登录记录，MacOS X系统kcpassword，AOL-PFC，OutlookNK2自动完成文件，Outlook的WAB地址簿，IE浏览器travellog(又名RecoveryStore)，IE浏览器index.dat历史记录和浏览器缓存数据库，SQLite数据库，如Firefox浏览历史，Firefox下载，Firefox表单历史，Firefox插件，Chrome的cookie，Chrome历史归档，Chrome历史记录，Chrome登录数据，Chrome网页数据，Safari浏览器缓存，Safarifeeds，Skype联系人和文件传输的main.db数据库等等

2.提取元数据，并从各种文件类型的内部创建时间戳，并允许通过他们过滤，如MS Office，OpenOffice，StarOffice，HTML，MDI，PDF，RTF，WRI，AOL，PFC，ASF，WMV，WMA，MOV，AVI，WAV， MP4，3GP，M4V，M4A，JPEG，BMP，THM，TIFF，GIF，PNG，GZ，ZIP，PF，IEcookies，DMP内存转储，hiberfil.sys，PNF，SHD和SPL打印机后台的Tracking.log， MDB，MS Access数据库，manifest.mbdx/.mbdb iPhone备份

3.可以从任何其他类型的文件中提取几乎任何一种嵌入式文件(包括图片)，从JPEG和缩略图缓存中提取缩略图，从跳转列表中提取.lnl快捷方式，从Windows.edb、浏览器缓存中提取各种数据，，从SQLite数据库表中提取PLists，从OLE2和PDF文档中的提取杂项元素等等

x-ways forensics安装步骤

1.在 下载x-ways forensics最新版软件包

2.解压x-ways forensics软件，运行“EXE.文件”

3.双击打开,进入x-ways forensics软件界面

4. 此软件为绿色版，无需安装即可使用

x-ways forensics更新日志

1.具有智能压缩功能的高效磁盘镜像;

2.能够读取、创建.e01 证据文件，可对证据文件进行 256位AES加密;

3.完整的案例管理功能;

4.自动创建软件操作日志 (审计日志);

5.数据写保护功能，确保数据真实性;

6.在网络环境中具有远程磁盘分析能力;