产品概述
X-Ways Forensics 它是为计算机取证分析师提供的功能强大、综合性的取证分析软件 Windows XP/2003/Vista/2008/7/8/8.支持32 /64 位, Standard/PE/FE等版本。与其他竞争产品相比,它在运行中占用的资源更少,工作效率更高,运行速度更快,可以恢复删除的文件,搜索其他软件无法搜索的结果,包含许多独特的功能,最重要的是成本更低。与其他竞争产品相比,它在运行中占用的资源更少,工作效率更高,运行速度更快,可以恢复删除的文件,搜索其他软件无法搜索的结果,包含许多独特的功能,最重要的是成本更低。X-Ways Forensics 可随身携带,可通过U盘随意携带Windows无需安装操作系统。与其他取证分析工具不同,X-ways Forensics无需用户设置数据库等繁琐操作,超小安装包可在几秒钟内下载安装。它可以与WinHex hex和 disk editor 紧密结合,提供高效的工作流模型, 这样,计算机取证调查员就可以使用它x-ways Investigator 调查人员共享数据,共同工作。
产品功能
完整数据采集磁盘克隆和镜像功能。
可分析 RAW/dd/ISO/VHD/VMDK 原始数据镜像文件中的完整目录结构支持分段保存的镜像文件。
磁盘可读取,RAIDs以及超过2TB大镜像文件(超过 232 个扇区) 扇区最大为8KB。
磁盘阵列内置分析JBOD、RAID 0、RAID 5、RAID 5EE, RAID 6, Linux 软件磁盘阵列,windows动态磁盘和LVM2逻辑卷管理器。
自动识别丢失/删除的分区。
支持 FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3 CDFS/ISO9660/Joliet, UDF 文件系统。
支持风扇区叠加分析, 例如,即使数据损坏,也可以在不改变原始磁盘或镜像的情况下,通过更正的分区表或文件系统数据结构来完全分析文件系统。
查看并完全获取内存转存,并在虚拟内存中获取运行过程。
使用多种数据恢复技术,可以快速找到需要恢复的数据,并支持碎片级数据恢复。
支持文件头数据库GRPE检索。
可分析20种不同类型的数据。
二进制数据结构通过模板查看和编辑。
数据擦除功能可以完全清除存储介质中的残留数据。
残余空间、空余空间、分区间隙和一般文本中的信息可以从磁盘或镜像文件中收集。
能够非常简单地发现和分析ADS数据(NTFS备用数据流)。
支持各种哈希计算方法 (CRC32, MD4, ed2k, MD5, SHA-1, SHA-256, RipeMD, ...)。
强大的物理搜索和逻辑搜索功能可以同时搜索多个关键字。
现有文件和已删除的文件可在子目录中反复查看。
彩色显示自动显示NTFS文件结构。
支持书签和注释。
符合法证要求的Windows FE在环境中运行,如有限的分类/查看。
非常便携,U无需安装即插即用盘,支持任何操作系统。
能与F-Response 远程计算机配合使用分析。
磁盘镜像可以快速获取,并提供生成镜像压缩的选项。
能够读写.e01 可以选择格式证据文件 256位AES加密 (注:不仅仅是口令保护)。
能创建Skeleton镜像 和Cleansed镜像。
可将相关文件复制到证据文件管理器文件中,如:可将相关证据文件保存到管理器中,管理并有选择地与不同的需求者共享。
完整的案例管理功能。
自动创建软件操作日志 (审计日志)。
数据写保护功能,保证数据真实性。
对网盘的远程分析功能可任意添加。
支持 HFS, HFS /HFSJ/HFSX, ReiserFS, Reiser4, XFS, UFS, UFS2文件系统。
对所有卷影副本(但不包括重复数据)进行分析和过滤,找到快照属性等。
点击鼠标查看文件列表。例如,文件记录、索引记录等文件系统的数据结构, $LogFile,卷影副本, FAT 目录项, Ext* inode等。
支持分区类型: 苹果格式, MBR, GPT (GUID), Windows动态卷 (MBR GPT), LVM2 (MBR GPT), 未分区 (软盘/大容量软盘)。
能对Windows 2000 , XP , Vista,2003 server, 2008 server, Windows 主内存分析7、8、10的本地内存或内存转储,功能非常强大。
显示文件的所有者,NTFS文件权限,对象ID/GUID 以及特殊属性。
弥补 NTFS压缩过程中造成的数据丢失和 雕刻文件时Ext2/Ext3区分分配逻辑。
可以快速切换前后目录和多个步骤,快速导航回到排序选项、过滤器激活(停止)和选择界面。
浏览内置缩略图片。
浏览内置日历。
文件签名和特征比较自动进行。
支持270多种文件类型的内置文件预览功能。
可以直接从程序中打印相同的文件类型,包含所有元数据。电脑
能查看 Windows事件日志文件 (.evt, .evtx), Windows 快速文件 (.lnk) , Windows 预读文件, $LogFile, $UsnJrnl, 系统还原点 change.log, Windows Task Scheduler (.job), $EFS LUS, INFO2, 系统还原点change.log.1, wtmp/utmp/btmp 登陆信息, MacOS X kcpassword, AOL-PFC, Outlook NK2 自动完成, Outlook WAB 地址簿, Internet Explorer 浏览记录 (a.k.a. RecoveryStore), Internet Explorer index.dat 浏览器缓存数据库的历史 , SQLite数据库例如Firefox 历史记录, Firefox 下载, Firefox 表单历史, Firefox 签名, Chrome cookies, Chrome历史归档, Chrome 历史, Chrome 登陆信息, Chrome 网络数据, Safari 缓存, Safari feeds, Skype 的main.db数据库(包括联系人和文件传输记录, ...等)。
收集可用空间或虚拟文件中的闲置空间Internet Explorer浏览器缓存的历史记录 index.dat。
元数据和内部生成的时间戳可以从各种类型的文件中提取,例如: MS Office, OpenOffice, StarOffice, HTML, MDI, PDF, RTF, WRI, AOL PFC, ASF, WMV, WMA, MOV, AVI, WAV, MP4, 3GP, M4V, M4A, JPEG, BMP, THM, TIFF, GIF, PNG, GZ, ZIP, PF, IE cookies, DMP memory dumps, 电脑 hiberfil.sys, PNF, SHD & SPL printer spool, tracking.log, .mdb MS Access database, manifest.mbdx/.mbdb iPhone 备份, ...
记录和跟踪已浏览的文件。
将源文件链接到外部文件,如翻译版、解密版或更改版本。
可以分析和检查提取的电子邮件数据,支持Outlook (PST/OST)注, Exchange EDB, Outlook Express (DBX), AOL PFC, Mozilla (包括 Thunderbird), generic mailbox (mbox, Unix), MSG, EML。
从所有支持的文件系统、操作系统(包括事件日志、登记表、回收站等)、文件内容(如邮件头)中生成功能强大的事件列表。exif时间戳,GPS时间戳,最后打印时间;浏览器数据库,skype 聊天记录、电话记录、文件传输记录、创建账户信息……)。
将时间纬度引入分析,按时间顺序展示事件发展延伸的全过程。
将时间纬度引入分析,并按时间顺序显示事件发展和延伸的整个过程。在时间线上,事件以图形显示,可以很容易地检查活动在哪个时间段活跃,哪个时间段不活跃。点击鼠标快速过滤某一时间段的事件。
具有基于签名和特殊算法的文件类型自动验证功能。
可标记文件,并在自定义案件报告中添加标记文件。
自动生成HTML可使用格式案件报告Word查看并编辑。
相关文件在案件报告中注释或过滤信息。
对应扇区的文件和目录可在扇区视图模式下同步显示。
强大的动态过滤功能可以文件类型、哈希库、时间、文件大小、注释、报告表等方式过滤文件。
所有目录下的文件和数据都通过递归浏览功能显示。
文件可以从硬盘或硬盘镜像中复制,包括相应文电脑件的完整路径、文件闲置区域的数据、文件闲置区域的数据单独或全部导出。
自动识别加密MS Office 和PDF文件。
几乎任何嵌入式文件(包括图片)都可以从任何其他类型的文件中提取, 从 JPEGs和thumbcaches从跳转列表中提取缩略图 .lnk 快捷方式 , 从Windows.edb从中提取各种数据SQLite浏览器缓存中提取, PLists和表记录, 从 OLE2 和 PDF 从文档中提取各种数据, ...
肤色图片检测功能(根据肤色比例,通过图片集排序,加快儿童色情图片和黑白图片的搜索)
检测黑白或灰度的图片可能是扫描文件或数字存储的传真。
可以检测到可性OCR识别的 PDF 文档。
可以检测到可性OCR识别的 PDF 文档。
能通过MPlayer或Forensic Framer,根据用户自定义的时间间隔,从视频文件中提取静态图像,以便在必须查看不当或非法内容时大大减少要查看的数据。
内置 Windows 注册表查看器(支持所有(支持所有) Windows 版本)并自动生成注册表报告。
压缩文件中的内容可以通过目录逐步浏览。
易用的逻辑搜索功能件和压缩文件中,都可以使用易用的逻辑搜索功能PDF, HTML, EML, ..., 搜索等类型文件, 可选项有: GREP, 用户自定义的全字匹配。
强大的搜索和搜索结果预览功能,支持关键字的上下文预览。如:可搜索Documents and Settings最后的访问时间是2004年,包括关键字A, B, D 的doc和ppt文件。
在Unicode 搜索和索引各种代码页面。
索引算法高度灵活,可在索引结果中搜索固定复合词。
AND ,fuzzy AND,NEAR 和 – 组合使用逻辑操作,搜索结果。
可以导出搜索结果HTML,并显示文件内容和文件元数据。
硬盘可以检测和排除HPA区域和ATA加密硬盘保护区硬盘保护区。
特定类型的文件可以根据内部哈希库快速定位。
能够导入 NSRL RDS 2.x, HashKeeper 和
电脑