第一章 配置软件
X-way Forensics软件可以通过setup.exe安装配置后使用,也可以通过运行xwforensics.exe直接使用。具体使用方法可根据用户习惯来选择。但通常来说,直接运行最为方便。
软件使用中,保存有X-way Forensics软件临时文件和案例文件的分区将作为默认的数据输出路径,即只有该分区被允许写入数据。因此,在选择X-way Forensics软件使用分区时,需要考虑好下一步数据分析的实际情况。建议选择容量较大,数据较少的分区。
使用软件前,请预先X-ways目录下建立如下三个文件夹,分别用于保存案例文件、镜像文件和临时文件。文件夹名称也可自定义。
一、第一次使用X-ways
运行X-ways Forensic软件后,软件首次启动,出现英文用户界面。当进入软件后,将设置更改为中文后,再次启动即可以看到右侧的中文界面。
当数据分析使用时,一定要选择计算机法证版用户界面。简化界面为 X-ways Investigator 用户界面。点击确定后,将出现 “General Options”对话框。此时软件界面仍为英文。暂时关闭该对话框,选择调用中文界面。点击菜单中的 |Help | Setup | Chinese,Please! ,软件界面即转为中文。如果将来需要使用英文界面,可用同样方法转换回来。
二、设置
使用X-ways Forensics进行各项操作之前,首先需要进行设置。点击 |菜单|常规设置|,或直接按 F5 键,即可显示常规设置对话窗。
保存临时文件的目录:当前设置默认保存临时文件至C:\Documents and Settings\sprite\Local Settings\Temp。为便于管理临时文件,我们为其新创建一个temp文件夹,本例为E:\xway\temp。
保存镜像和备份文件的目录:当前设置默认保存镜像文件和备份文件至C:\Documents and Settings\ sprite\ LocalSettings\ Temp。为将来方便地调用和管理镜像文件,我们为其新创建一个images文件夹,路径为E:\xway\images。
保存案件和方案的目录:当前系统默认保存为X-ways Forensics 的当前目录下,本例为E:\xway目录。由于将来创建的案件越来越多,这些案例文件保存在当前目录下非常混乱,不易查找,因此,我们为其新创建一个案例文件夹,E:\xway\case。
保存脚本的目录:系统默认保存在X-ways Forensics 的当前目录下,本例为E:\xway目录。本手册中不涉及脚本,无需改变。
保存哈希库的目录:系统默认哈希库文件位置为E:\xway\HashDB。此目录可由X-ways Forensics 自动创建和管理,无需改变。
注:如果在固定计算机中安装使用X-ways Forensics,通过上述设置即可使用。如果在移动硬盘中使用X-ways Forensics,请确定路径设置正确,并将上述路径指向移动硬盘中的相应目录。如果在光盘中使用X-ways Forensics,则一定要将路径指向移动硬盘中的相应目录。
第二章 创建案件
本说明中所有图片均出自X-ways Forensics 13.8 版。
一、创建新案件
开始数据分析,首先要创建案例,并将需要分析的存储介质或者镜像文件加载到案例中。X-ways Forensics软件本身不会使数据内容产生变化。
在案件数据对话框中,可输入案件名称、案件描述、调查员、机构地址等辅助信息。案件名称应使用英文或数字,否则案例日志和报告中无法出现屏幕快照图片。为保障数据分析中显示的时间正确,需在显示时区中设置正确的时区信息。案件创建日期将由X-ways Forensics依据系统时钟自动创建。请确保当前计算机系统时间设置准确。
二、添加数据
创建案件后,需要添加所需获取/分析的目标。可以添加物理存储设备,如磁盘、光盘、USB移动存储设备等,也可添加E01、DD磁盘镜像,以及X-ways 自有的证据文件格式。
三、创建磁盘镜像
创建磁盘镜像,需在扇区察看方式下,选择菜单中 | 文件| 创建磁盘镜像|。选择镜像文件格式,如E01磁盘镜像,并指定保存位置。
创建镜像文件过程中,将显示复制进度。
操作结束,将生成TXT格式操作日志,包含如磁盘参数、MD5值等信息。
第三章 基本操作
本说明中所有图片均出自X-ways Forensics 13.8 版。
一、浏览所有文件
如果需要显示当前驱动器下所有文件,使用鼠标右键单击驱动器图标,选择右键菜单中的展开目录。文件浏览器中将显示所选驱动器下所有文件列表。取消全部文件显示模式,使用鼠标左键单击驱动器图标。
二、文件浏览器菜单说明
过滤漏斗:过滤选项,灰色时表示未启用;蓝色时,表示应用了相应的过滤设置。本例中,由于对文件名称栏目进行了过滤操作,文件名称旁边出现了一个“蓝色漏斗”。
窗口文件数量:位于右上角,表示当前窗口显示出的文件数量及总计文件数量。本例中,由于应用了过滤操作,窗口右上角数字含义为:应用过滤后,有170份文件符合过滤要求,有686份文件被过滤掉。如果没有使用过滤,此处仅显示文件总数量,即856份文件。
选择文件数量:位于右下角,表示当前窗口选择的文件数量及容量。本例中,选择了5份文件,总计容量117KB。
文件标记:文件名称前面的小方框为标记选框。可以手工为文件逐一添加标记,也可以通过鼠标右键中标记命令为所有选择的文件添加标记。
注:对指定文件的导出、添加注释、添加报告分类、创建哈希集,均可通过鼠标右键来实现。磁盘快照时间:磁盘快照是X-ways Forensics的一个重要功能,用于对当前驱动器中的所有数据进行快速解析,如计算哈希值、分析丢失数据、拆解压缩文件和电子邮件、加密文件检测等。当对当前使用的物理磁盘进行分析时,如C盘,磁盘的数据可能会随时发生改变,因此需要更新磁盘快照来保证案件中使用最新的数据。本例中,“20分钟前”表示当前案件数据是20分钟前制作的。可以通过F10更新磁盘快照。
三、更改文件浏览器显示内容
文件浏览器显示内容可以根据实际需要进行调整。通过Ctrl+F5,或菜单中|选项|目录浏览器|,调用目录浏览器过滤设置对话框。
设置显示宽度:
数字=0,表示不显示该栏目
数字>0,表示该栏目实际显示的宽度
本例中,文件名称栏目宽度为176点,文件类型栏目为65点,路径等项目为0,表示不显示。
当需要显示更多未列出的栏目,如路径、哈希值等,可将该栏目数值从0更改为50。数值可暂时设定,之后可利用鼠标将栏目调整至满意宽度。如需隐藏某栏目,将该数值更改回0即可。
四、过滤
当使用某过滤条件时,例如:对文件名进行过滤,查找所有DOC文档,只需点击文件名称右侧的漏斗,输入过滤条件*.DOC,点击激活即可显示过滤结果。文件名过滤支持多语种字符。如需取消某过滤条件,点击禁用即可。
五、图例说明
在文件浏览器中,会有一些不同的文件及图标显示方式,具体含义可以对照图例说明察看相应说明。
本例中,password-123456.doc显示为绿色,文件属性为e!A,对照图例说明,可知该文件为加密文件。当对该文件添加注释后,文件名后显示出一个红色三角。15.DOC文件类型显示为蓝色JPG,表示该文件为签名不匹配文件。通过“磁盘快照”功能,可将当前案件中所有这些类别的文件判断出来。
六、文件预览
X-ways内置了强大的文件察看器,可以支持400种以上文件格式的查看。点击预览,即可逐一察看文件内容。
如果还没有对案件数据进行磁盘快照,当浏览文件时,X-ways将自动对文件签名、加密等状态进行检测。
第四章 磁盘快照
本说明中所有图片均出自X-ways Forensics 13.8 版。 创建案件,载入E01证据文件后,一般应首先进行磁盘快照。由于磁盘快照过程将会把案件中的所支持的压缩文件、电子邮件及附件、删除的数据解开及恢复出来,古经快照处理后得到的数据要比未进行磁盘快照的文件数量多。此时进行过滤和搜索,会得到更准确的结果。
每个任务前面的方框,经选取后显示绿色对勾。
每个任务后面的方框,表示完成状态。绿色对勾表示全部完成;实心绿框表示已完成了部分,但尚未全部完成。
开始进行磁盘快照,选中相应的选项,点击确定即可。
任务说明:
依据文件系统搜索并恢复目录及文件:将当前磁盘中的删除、丢失文件全部恢复。
通过文件签名搜索并恢复文件:根据文件签名值搜索特定类型格式文件,如:可以仅搜索并恢复doc格式文件。
计算哈希值:自动计算所有文件的哈希值。目录、0字节文件没有哈希值。算法支持MD5、SHA-1、SHA-256。
依据哈希库对比哈希值:如果已经拥有完整的哈希库,可在计算文件哈希值过程中,将哈希值与哈希库中值比对,以确定文件哈希分类。例如,通过此选项排除已知的Windows系统文件。
依据文件签名校验文件真实类型:可判断doc、jpg格式文件是否被改名或伪装。
分析ZIP和RAR等压缩文件中的数据:将压缩文件释放,并以虚拟目录形式浏览。
导出电子邮件正文和附件:拆解电子邮件,将邮件正文与附件以虚拟形式显示。
查找嵌入在正文内的图片:可以将WORD、PPT等复合文件中的图片抽取出来。
肤色图片和黑白图片检测:用于检测包含人体肤色特征的图片和其他黑白文字图片。
加密文件检测:用于检测特定类型加密文件,如加密的DOC、XLS文件。首先,通过熵值检测,自动对大于255 字节的文件进行检测。如果熵值超过设定值,文件属性标记为"e?" ,表明应仔细检查该文件。例如:PGP Desktop, BestCrypt 或DriveCrypt 加密文件。熵值检测不适用于ZIP, RAR, CAB, JPG, MPG 和SWF 等文件。其次、可检测特定类型加密文件,如doc (MS Word 4至2003版),xls (MS Excel 2至2003版),ppt和pps (MS PowerPoint 97-2003),mpp (MS Project 98-2003),pdf (Adobe Acrobat)。如果为加密文件,文件属性显示 "e!" 。