是由德国X-ways推出的一个法证分析软件,主要是用于计算机取证的综合的取证、分析,为计算机证据检查工具提供一个高级工作环境。该软件可在基本的操作系统上面运行,它拥有与Winhex相同的界面,但是比Winhex更加全面的功能,而且相对于同类软件而言,该软件在使用一段时间后效率更高,资源消耗小,运行速度也更快,还能查找已删除文件和搜索结果。软件具有智能压缩功能的高效磁盘镜像,能够读取、创建.e01 证据文件,可对证据文件进行 256位AES加密。该软件能够完全访问大小超过2TB的磁盘、RAID和映像,还能自动为你识别丢失/删除的分区,还可以帮你从松弛空间、可用空间、间隔空间中收集通用文本和图像。软件内置多种数据恢复技术,闪电般快速而强大的文件雕刻,而且提供了其他竞争者缺少的很多功能,没有硬件要求,不需要建立复杂的数据库。此外该软件是可移植的,不需要安装就可以在任何一个Windows系统上运行USB内存条,功能十分强大,欢迎有需要的朋友来本站下载体验!
软件功能
1、磁盘克隆和映像。
2、能够读取原始(.dd)映像文件,ISO,VHD,VHDX,VDI和VMDK映像中的分区和文件系统结构。
3、完全访问大小超过2 TB(超过2 32个扇区)的磁盘,RAID和映像,扇区大小最大为8 KB。
4、对JBOD,RAID 0,RAID 5,RAID 5EE和RAID 6系统,Linux软件RAID,Windows动态磁盘和LVM2的内置解释。
5、自动识别丢失/删除的分区。
6、原生支持FAT12,FAT16,FAT32,exFAT,TFAT,NTFS,Ext2,Ext3,Ext4, Next3®,CDFS / ISO9660 / Joliet,UDF。
7、扇区的叠加,例如使用校正后的分区表或文件系统数据结构,即使数据损坏也可以完全解析文件系统,而无需更改原始磁盘或映像。
8、访问正在运行的进程的逻辑内存。
9、多种数据恢复技术,闪电般快速而强大的文件雕刻。
10、基于GREP表示法的维护良好的文件头签名数据库。
11、数据解释器,了解20种变量类型。
12、使用模板查看和编辑二进制数据结构。
13、硬盘清洁以产生法医无菌介质。
14、从驱动器和图像中收集松弛空间,可用空间,分区间空间以及通用文本。
15、为所有计算机媒体创建文件和目录目录。
软件特色
1、支持文件系统HFS,HFS + / HFSJ / HFSX,ReiserFS,Reiser4,XFS,UFS1和UFS2的许多变体,APFS。
2、具有智能压缩选项的高级快速磁盘映像。
3、能够读取和写入.e01证据文件(也称为EnCase图像),可以选择进行真正的加密(256位AES,即不仅仅是“密码保护”)
4、能够创建骨架图像,清理图像和摘要图像(详细信息)
5、能够将相关文件复制到证据文件容器中,这些文件将 保留几乎所有原始文件系统元数据,以作为首先选择性地获取数据或与调查人员,起诉人,律师等交换选定文件的手段。
6、完整的案例管理。
7、能够标记文件并将重要文件添加到案例报告中。能够输入有关文件的注释以包含在报告中或进行过滤。
8、在X-Ways Forensics根据Windows帐户区分不同用户的情况下,支持多个检查者。用户可以在不同时间或同一时间处理同一案件,并保持其结果(搜索命中,注释,报告表关联,标记,查看的文件,排除的文件,附加文件)分开,或者根据需要共享。
9、案例报告可以由理解HTML的任何其他应用程序(例如MS Word)导入并进一步处理。
10、支持案例报告格式定义的CSS(级联样式表)
11、自动活动记录(审核日志)
支持的平台
Windows XP,Windows 2003 Server,Windows Vista / Server 2008,Windows 7,Windows 8 / 8.1 / Server 2012,Windows 10 / Server2016。32位和64位。标准,PE和FE。在Linux + Wine下运行时,某些功能也可用。但是,不幸的是,某些复制保护方法(包括加密狗)根本无法在Linux + Wine下运行。
使用说明
1、将本站下载的文件解压缩到您选择的目录中。不需要使用安装程序进行安装。该程序是可移植的,也可以直接从其他计算机上的USB记忆棒启动。
2、例如您要检查的实时系统。还要下载查看器组件(标准下载中不包括该组件,因为它很少更新)。
3、将查看器组件的64位版本用于X-Ways Forensics的64位版本。
4、默认情况下,查看器组件应位于子目录 viewer(32位)或 x64 viewer(64位)中。
5、请注意,与X-Ways取证服务不同,查看器组件会在当前登录用户的配置文件中创建文件,因此,如果您希望避免在所检查的实时系统上创建文件,请不要让X-取证使用查看器组件的方式。
6、如果您打算让X-Ways Forensics从视频中产生静止图像以在画廊中查看,您也可能希望下载MPlayer。始终可以将较新的版本解压缩到较早版本的现有目录中。您可以继续使用较早版本中的WinHex.cfg配置文件,而不是更高版本。
更新内容
X-Ways Forensics v20.0更新:
1、APFS:支持Mac OS Catalina创建的新目录ID结构。
2、技术详细信息报告/证据对象属性现在显示HFS +或APFS卷上的MacOS X安装的详细信息:确切的OS X版本,时区,系统的网络和显示名称。
3、UFS支持已被修订。现在,可以理解更多的UFS变体。
4、JPEG屏幕快照识别现在基于生成设备识别。
5、改进了基于像素尺寸的图片分类。
6、现在可以识别另外5000种设备,以更好地识别JPEG图片的来源。
7、JPEG文件摘要表中“质量”的简化输出。它可以采用以下值之一:高,中,低和非常低。它基于DQT段的有损压缩百分比。
8、根据EXIF标签是否已排序,在检查相机原稿时进行附加测试。
9、输出的GPS坐标小数点后最多6位。这是有用的,因为习惯于使用新的三星设备型号来指定更多的小数,并以此间接表示值的精度,这与使用GPS Error标签用于该信息的惯例不同,这与Apple和较旧的三星型号不同。
10、如果基于JPEG文件的假定来源,遇到的GPS格式是“意外”的,则在“详细信息”模式下引起用户注意。如果未在相机原始图片中使用GPS格式,则GPS格式将显示为“未知”(例如Geosetter应用程序的格式)。
11、总体上改进了GPS格式一致性测试。
12、各种小改进。
推荐评语
好用的软件