X-Ways Forensics是一款全球知名的计算机综合取证分析工具,德国数据分析软件,数据恢复软件,十六进制编辑器和磁盘编辑器。用于取证搜集、数据恢复、文件分析和编辑、底层数据处理和安全领域收集文件报告。软件功能丰富,分析数据精准,有需要的用户赶快来本站下载吧!
基本简介
X-Ways Forensics是为计算机取证分析人员提供的一个功能强大的、综合的取证、分析软件,可在 Windows XP/2003/Vista/2008/7/8/8.1/2012/10操作系统下运行,支持32 /64 位, Standard/PE/FE等版本。(Windows FE is described here, here and here.) 与其他竞争产品相比,由于它在运行时占用的资源更少,因此它在工作时更高效,运行更快速,并且能恢复已删除的文件,还能搜索到其他软件搜索不到的结果,还包含许多特有的功能,最重要的是成本更低廉。
X-Ways Forensics可随身携带,能够通过U盘在任意Windows操作系统下使用,无需安装。不像其他一些取证分析工具那样,X-ways Forensics不需要使用者设置数据库等繁琐的操作,并且超小化的安装包可以在数秒内下载并安装。它可以与WinHex hex和 disk editor 紧密结合,提供高效率的工作流模型,这样计算机取证调查员就可以与使用X-Ways Investigator 的调查员共享数据,协同工作。
功能列表
1、记录并追踪已浏览的文件。
2、把源文件链接到外部文件,例如,原文件的翻译版、解密版或更改后的版本。
3、能够分析检查抽取出的电子邮件数据,支持Outlook (PST/OST)注, Exchange EDB, Outlook Express (DBX), AOL PFC, Mozilla (包括 Thunderbird), generic mailbox (mbox, Unix), MSG, EML。
4、生成一个功能强大的事件列表,生成该列表的时间戳来自:所有支持的文件系统,操作系统(包括事件日志,注册表,回收站等),文件内容(例如,邮件头,exif时间戳,GPS时间戳,最后打印时间;浏览器数据库,skype 聊天记录,通话记录,文件传输记录,创建的账户信息......)。
5、在分析中引入时间的纬度,按照时间顺序展示事件发展延伸的整个过程。在时间线中,事件以图形显示,可方便地查看某活动在哪个时间段活跃,哪个时间段不活跃。只需点击鼠标即可快速过滤某个时间段的事件。
6、拥有基于签名和专门算法的文件类型自动验证功能。
7、可标记文件,并将所标记的文件添加至自定义案件报告中。
8、自动生成HTML格式案件报告,可以用Word查看并编辑。
9、案件报告中可关联文件注释或过滤信息。
10、软件窗口左侧显示目录数结构,能够浏览并标记相关目录及子目录。
11、在扇区视图模式下,可同步显示对应扇区的文件和目录。
12、强大的动态过滤功能,能以文件类型、哈希库、时间、文件大小、注释、报告表等方式组合进行文件过滤。
13、通过递归浏览功能,同时显示所有目录下的文件和删除数据。
14、能从硬盘或者硬盘镜像中复制文件,内容可包含相应文件的完整路径,还可包含或排除文件闲置区域的数据,或将文件闲置区域的数据单独导出或全部导出。
应用特征
1、查看Windows事件日志文件(.EVT,.EVTX),Windows快捷方式(.LNK)文件,Windows预读取文件,$LogFile, $UsnJrnl,还原点change.log,Windows任务计划程序(.job),$EFS LUS, INFO2.还原点change.log.1.wtmp/utmp/btmp log-in records登录记录,MacOS X系统kcpassword,AOL-PFC,OutlookNK2自动完成文件,Outlook的WAB地址簿,IE浏览器travellog(又名RecoveryStore),IE浏览器index.dat历史记录和浏览器缓存数据库,SQLite数据库,如Firefox浏览历史,Firefox下载,Firefox表单历史,Firefox插件,Chrome的cookie,Chrome历史归档,Chrome历史记录,Chrome登录数据,Chrome网页数据,Safari浏览器缓存,Safarifeeds,Skype联系人和文件传输的main.db数据库等等
2、提取元数据,并从各种文件类型的内部创建时间戳,并允许通过他们过滤,如MS Office,OpenOffice,StarOffice,HTML,MDI,PDF,RTF,WRI,AOL,PFC,ASF,WMV,WMA,MOV,AVI,WAV, MP4.3GP,M4V,M4A,JPEG,BMP,THM,TIFF,GIF,PNG,GZ,ZIP,PF,IEcookies,DMP内存转储,hiberfil.sys,PNF,SHD和SPL打印机后台的Tracking.log, MDB,MS Access数据库,manifest.mbdx/.mbdb iPhone备份
3、可以从任何其他类型的文件中提取几乎任何一种嵌入式文件(包括图片),从JPEG和缩略图缓存中提取缩略图,从跳转列表中提取.lnl快捷方式,从Windows.edb、浏览器缓存中提取各种数据,,从SQLite数据库表中提取PLists,从OLE2和PDF文档中的提取杂项元素等等
客户端优势
1、书签和注释。
2、支持20种数据类型解释。
3、自动识别丢失/删除的分区。
4、创建证据文件中的文件和目录列表。
5、使用模板查看和编辑二进制数据结构。
6、磁盘克隆和镜像功能,进行完整数据获取。
7、数据擦除功能,可彻底清除存储介质中残留数据。
8、在NTFS卷中为文件记录数据结构自动加色。
9、可以运行在Windows FE中等Windows环境。
10、配合F-Response可进行远程计算机分析。
11、可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙中信息。
12、强大的物理搜索和逻辑搜索功能,可同时搜索多个关键词。
13、查看并获取 RAM和虚拟内存中的运行进程。
14、多种数据恢复功能,可对特定文件类型恢复。
15、基于GREP符号维护文件头签名数据库。
16、能够非常简单地发现并分析ADS数据(NTFS交换数据流)。
17、支持多种哈希计算方法 (CRC32, MD4, ed2k, MD5,SHA-1, SHA-256, RipeMD...)。
18、无需修改原始硬盘或镜像纠正分区表或文件系统数据结构来解析文件系统。
19、可分析 RAW/dd/ISO/VHD/VMDK 格式原始数据镜像文件中的完整目录结构,支持分段保存的镜像文件。
20、支持磁盘,RAID,扇区大小为8KB最大2TB的镜像的完全访问。
21、支持对JBOD、RAID0、RAID 5、RAID 5EE, RAID 6, Linux软RAID, Windows动态磁盘和LVM2等磁盘阵列。
22、支持FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDF文件系统。
