X-ways Forensics是由德国X-ways出品的一个法证分析软件，它其实是Winhex的一个法证授权版，跟Winhex界面完全一样。

 

X-ways Forensics是由德国X-ways出品的一个法证分析软件，它其实是Winhex的一个法证授权版，跟Winhex界面完全一样　　功能上，限制了对磁盘的写入操作提供了更强的磁盘和文件的分析功能以及增加了文件预览功能。

　　###特色功能　　X-Ways Forensics 是用于计算机取证的综合的取证、分析软件，可在 Windows XP/2003/Vista/2008/7/8/8.1及WinPE/FE操作系统下运行，有32位和64位版。

它事实上就是WinHex的法证授权版本，具有跟Winhex相同的界面和Winhex所有功能外的更多功能，并增加了文件预览等实用功能

　##与Winhex相比　　###相同之处　　磁盘克隆和镜像功能，进行完整数据获取　　可分析 RAW/dd/ISO/VHD/VMDK 格式原始数据镜像文件中的完整目录结构，支持分段保存的镜像文件　　支持磁盘，RAID,扇区大小为8KB最大2TB的镜像的完全访问

　　支持对JBOD、RAID0、RAID 5、RAID 5EE, RAID 6, Linux软RAID, Windows动态磁盘和LVM2等磁盘阵列　　自动识别丢失/删除的分区　　支持FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDF文件系统

　　无需修改原始硬盘或镜像纠正分区表或文件系统数据结构来解析文件系统　　察看并获取 RAM和虚拟内存中的运行进程　　多种数据恢复功能，可对特定文件类型恢复　　基于GREP符号维护文件头签名数据库　　支持20种数据类型解释

　　使用模板查看和编辑二进制数据结构　　数据擦除功能，可彻底清除存储介质中残留数据　　可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙中信息　　创建证据文件中的文件和目录列表　　能够非常简单地发现并分析ADS数据(NTFS交换数据流)

　　支持多种哈希计算方法 (CRC32, MD4, ed2k, MD5,SHA-1, SHA-256, RipeMD...)　　强大的物理搜索和逻辑搜索功能，可同时搜索多个关键词　　在NTFS卷中为文件记录数据结构自动加色

　　书签和注释　　可以运行在Windows FE中等Windows环境　　配合F-Response可进行远程计算机分析　　###增强功能　　具有智能压缩功能的高效磁盘镜像　　. 能够读取、创建.e01 证据文件，可对证据文件进行 256位AES

加密　　完整的案例管理功能　　自动创建软件操作日志 (审计日志)数据写保护功能，确保数据真实性　　在网络环境中具有远程磁盘分析能力　　支持 HFS, HFS+/HFSJ/HFSX, ReiserFS, Reiser4, XFS, UFS, UFS2文件系统

　　鼠标点击即可生成一个基本的文件列表，可通过列表导航到已定义的文件系统数据结构，如：文件记录，索引记录，$LogFile，卷影复制，FAT目录项，Ext节点，嵌入文件等　　支持分区类型：苹果格式MBR, GPT(GUID), Windows动态卷(MBR+GPT), LVM2 (MBR+GPT), 未分区 (软盘/大容量软盘)

　　Windows 2000, XP, Vista, 2003 Server, 2008 Server, Windows 7下的内存和内存镜像分析　　显示文件所有者，NTFS文件权限，对象ID/GUID和特别属性

　　NTFS压缩效应补偿和Ext2/Ext3块分配逻辑　　内置文件预览功能，支持270种以上文件类型　　查看Windows事件日志文件(.EVT，.EVTX)，Windows快捷方式(.LNK)文件，Windows预读取文件，$LogFile, $UsnJrnl,还原点change.log，Windows任务计划程序(.job)，$EFS LUS， INFO2，还原点change.log.1，wtmp/utmp/btmp log-in records登录记录，MacOS X系统kcpassword，AOL-PFC，OutlookNK2自动完成文件，Outlook的WAB地址簿，IE浏览器travellog(又名RecoveryStore)，IE浏览器index.dat历史记录和浏览器缓存数据库，SQLite数据库，如Firefox浏览历史，Firefox下载，Firefox表单历史，Firefox插件，Chrome的cookie，Chrome历史归档，Chrome历史记录，Chrome登录数据，Chrome网页数据，Safari浏览器缓存，Safarifeeds，Skype联系人和文件传输的main.db数据库等等

　　能够收集IE浏览器的历史和那些漂浮在空中或闲置空间在虚拟单个文件浏览器缓存中的index.dat记录　　提取元数据，并从各种文件类型的内部创建时间戳，并允许通过他们过滤，如MS Office，OpenOffice，StarOffice，HTML，MDI，PDF，RTF，WRI，AOL，PFC，ASF，WMV，WMA，MOV，AVI，WAV， MP4，3GP，M4V，M4A，JPEG，BMP，THM，TIFF，GIF，PNG，GZ，ZIP，PF，IEcookies，DMP内存转储，hiberfil.sys，PNF，SHD和SPL打印机后台的Tracking.log， MDB，MS Access数据库，manifest.mbdx/.mbdb iPhone备份，...

　　能够分析检查抽取出的电子邮件数据，支持Outlook (PST/OST)注, ExchangeEDB, Outlook Express(DBX), AOL PFC, Mozilla(包括 Thunderbird), generic mailbox (mbox, Unix), MSG, EML

　　以缩略图方式预览图片　　自动生成HTML格式案件报告，可以用Word查看并编辑　　在扇区视图模式下，可同步显示对应扇区的文件和目录　　强大的动态过滤功能，能以文件类型、哈希库、时间、文件大小、注释、报告表等方式组合进行文件过滤

　　导出案件文件时，可包含并创建相应文件的原始路径，还可包含或排除文件残留区数据，或将文件或残留区数据单独导出　　自动识别加密的MS Office 和PDF文件　　可以从任何其他类型的文件中提取几乎任何一种嵌入式文件(包括图片)，从JPEG和缩略图缓存中提取缩略图，从跳转列表中提取.lnl快捷方式，从Windows.edb、浏览器缓存中提取各种数据，，从SQLite数据库表中提取PLists，从OLE2和PDF文档中的提取杂项元素等等。

　　肤色图片检测功能，(根据肤色比例，以画廊方式排序，加速对色情图片、黑白图片的搜索)　　黑白或灰度图片检测　　可被OCR的PDF文档检测　　可根据用户定义的时间间隔从视频文件中提取静态图片　　内置 Windows 注册表查看器(支持所有 Windows 版本)，并自动生成注册表报告

　　可查看Windows 事件日志文件　　能够以目录方式逐级浏览压缩文件中内容　　可在所有文件、选中文件和压缩文件、PDF, HTML, EML, ..., 等类型文件中进行搜索　　在Unicode和各种代码页进行搜索和索引

　　使用AND,AND, NEAR, + 、- 等逻辑操作符进行搜索　　可检测硬盘HPA区域(host-protected areas )和ATA加密硬盘保护区域　　依据内部哈希库，可以快速定位特定类型文件

　　能够导入 NSRL RDS 2.x, HashKeeper 和ILook格式的哈希库　　可创立用户专用哈希集　　能够解压缩整个的hiberfil.sys文件和单独块

长按公众号，可“置顶”----------------------------------要闻、干货、原创、专业关注“黑白之道” 微信：i77169华夏黑客同盟我们坚持，自由，免费，共享！

免责声明：本站所有信息均搜集自互联网，并不代表本站观点，本站不对其真实合法性负责。如有信息侵犯了您的权益，请告知，本站将立刻处理。联系QQ：1640731186