软件介绍
X-Ways Forensics 是为计算机取证分析人员提供的一个功能强大的、综合的取证、分析软件,可在 Windows XP/2003/Vista/2008/7/8/8.1/2012/10操作系统下运行,支持32 /64 位, Standard/PE/FE等版本。(Windows FE is described here, here and here.) 与其他竞争产品相比,由于它在运行时占用的资源更少,因此它在工作时更高效,运行更快速,并且能恢复已删除的文件,还能搜索到其他软件搜索不到的结果,还包含许多特有的功能,最重要的是成本更低廉。X-Ways Forensics 可随身携带,能够通过U盘在任意Windows操作系统下使用,无需安装。不像其他一些取证分析工具那样,X-ways Forensics不需要使用者设置数据库等繁琐的操作,并且超小化的安装包可以在数秒内下载并安装。它可以与WinHex hex和 disk editor 紧密结合,提供高效率的工作流模型, 这样计算机取证调查员就可以与使用X-Ways Investigator 的调查员共享数据,协同工作。
软件截图
主要功能
完整的案件管理和日志记录功能
自动生成HTML格式案件报告,可以用Word等程序查看并编辑
文件阅读器 支持上百种文件格式
支持文件打印,且可在封面中包含文件元数据信息
支持读取包含 FAT12/16/32, TFAT, exFAT, NTFS, Ext2/3/4, Next3?, CDFS, UDF, HFS, HFS+, ReiserFS, Reiser4, UFS, UFS2文件系统的存储介质或镜像文件
可识别 DD镜像和 .e01 证据文件格式
可分析X-Ways Forensics制作的证据文件管理器中的文件
能够运行关键词搜索,支持逻辑搜索和索引搜索(索引搜索数据需由 X-Ways Forensics 制作)
强大的搜索及搜索结果预览功能,支持关键字临近的上下文预览。如:可搜索Documents and Settings目录下,最后访问时间为2004年,包含关键词A, B, D 的doc和ppt文件
以缩略图方式预览图片,日历方式查看文件日期
案件报告中可关联文件注释或过滤信息
可标记文件,并将所标记的文件添加至自定义案件报告中
软件窗口左侧显示目录数结构,能够浏览并标记相关目录及子目录
强大的动态过滤功能,能以文件类型、哈希库、时间、文件大小、注释、报告表等方式组合进行文件过滤
通过递归浏览功能,同时显示所有目录下的文件和删除数据
肤色图片检测功能,(根据肤色比例,以画廊方式排序,加速对色情图片、黑白图片的搜索)