更新快照:将当前案件中磁盘数据保持最新状态。更新快照后,上述所有操作及搜索记录等将全部被清空。
完成磁盘快照之后,如右图显示案件中数据增多,这时才能继续进行过滤、搜索等操作。
第五章 过滤
本说明中所有图片均出自X-ways Forensics 13.8 版。在X-ways Forensics 中,可方便地对各种类型的数据文件进行过滤操作。
一、按文件名称过滤
可以使用通配符,针对特定文件名称进行过滤。如搜索“*.DOC,*.HTM,收件箱*”等。使用通配符时,不能出现2个*。此种过滤方式,适用于对文件名,及单一文件类型过滤。速度快,准确率高。
例:如果需要查找文件内容包含“陈立康”的Word文件,可首先过滤出*.DOC文档,然后全选、标记,并在标记文件中搜索关键词“陈立康”即可。
二、按文件类型过滤
可按照设定的文件分类,对不同类型的文件进行过滤。通过此过滤方式,可以容易地将办公文档、图形图像、压缩文件,以及各种重要数据,如注册表文件、互联网历史记录、回收站文件、打印池、Windows交换文件、日志等,快速过滤出来。
文件过滤类型可以自定义扩充与修改。文件名为:File Type Categories.txt。最新文件类型过滤文件www.china-forensic.com/xways/downloads/FileType.rar。
使用方法:选择相应文件类型,点击激活。过滤前,应在磁盘快照中选择依据文件签名校验文件真实类型,才能够判断出文件的真实类型。
三、按签名状态过滤
进行完整磁盘快照后,X-ways可依据文件签名检测每一个文件的签名信息是否匹配。如果文件扩展名被改变,签名状态将显示为签名不匹配。通过选择过滤选项中的文件签名显示状态,可发现签名匹配、不匹配的文件。
缺省状态下,文件显示为“签名未校验”。通过文件签名校验文件类型后:如果文件非常小,状态被显示为“无关的”;如果文件扩展名和文件签名都未知,状态被显示为“不在列表中”;如果文件签名和文件扩展名一致,状态被显示为“签名匹配”;如果文件扩展名正确,但文件签名未知,状态显示为“签名未确认”;如果文件签名和文件扩展名不匹配,或没有文件扩展名,状态显示为“签名不匹配”。
三、按文件大小过滤
根据文件的实际大小过滤,不包含残留区数据。
第一选项,用于设定小于一定容量文件,如可查找小于1.2MB的文件;
第二选项,用于设定大于一定容量的文件,如可查找大于3.4KB的文件。
两个选项同时使用,用于设定一定容量大小之间的文件。
四、按文件时间过滤
创建时间:当前磁盘中的文件和目录的创建时间。
修改时间:当前磁盘中文件和目录最后修改后的时间。
访问时间:但前磁盘中文件和目录的最后读取或访问的时间。
记录更新时间:NTFS或Linux文件系统中,文件和目录的最后修改时间。这是包含于文件元数据中的文件系统数据结构。
删除时间:Linux系统下文件和目录的删除时间。
五、按文件属性过滤
A = 文档 R = 只读
H = 隐含 S = 系统
P = 连接点
C = 文件系统级压缩
c = ZIP, RAR等文件中压缩
E = 文件系统级加密
e = ZIP, RAR中加密文件
e? = 可能是压缩或加密的
第六章 搜索
本说明中所有图片均出自X-ways Forensics 13.8 版。 同步搜索,允许用户指定一个搜索关键词列表文件,每行设定一个搜索关键词。所发现的搜索关键词被保存在搜索列表中,或位置管理器中。同步搜索能够以“物理搜索”和“逻辑搜索”两种方式进行。物理搜索,通过扇区方式进行;逻辑搜索,通过文件方式进行。相比而言,逻辑搜索功能更强大,更彻底。
数据搜索时,可以同时使用Unicode (UCS-2LE)和代码页方式对相同的词汇全面搜索。当前Windows系统默认代码页,被标记有星号,且被缺省采用。如美国和西欧的计算机,通常默认代码页为1252 ANSI Latin I。Microsoft Windows使用ANSI代码页。苹果Macintosh使用MAC代码页。OEM表示DOS和Windows命令行中使用的代码页。如果搜索词汇无法转换为当前使用的代码页,搜索时将会出现提示信息。
一、选定搜索文件
将所有文件展开,或通过过滤选择所需搜索的文件。
1、在特定文件中搜索,须首先选择文件,并添加标记。之后,可以使用在标记数据中搜索。如在所有文件中搜索,无需选择文件。直接选择在所有数据中搜索。
2、点击同步搜索
3、输入关键词。每行一个关键词,支持空格。
4、输入关键字,选择字符编码。 如果需要搜索Unicode字符,则需将Unicode (UCS-2LE)选中。如果对PDF等文件中的数据进行搜索,还需选择“解码文件中的文本”。对非Unicode文本进行搜索,需使用代码页。对不同语种字符进行搜索,需将代码页设置为相应语种。繁体中文代码页为950,日文为932,韩文为949。
5、设定其他选项
如果只需要发现包含有关键词的文件,则可将“每个文件显示1个搜索结果”选中,以提高搜索速度。
通过选定证据项中搜索,可以在当前案例中多个磁盘或镜像文件中进行搜索。
二、查看搜索结果
搜索结束后,显示所有包含关键词的搜索结果。本例中共有5个关键词,173个搜索命中结果。双击每一个关键词,可以查看该关键词的搜索结果。搜索结果保存在案例文件中。再次打开案例文件,搜索结果依然保存。通过DEL键,可以删除该关键词及结搜索果。可以通过搜索结果栏,预览所搜索的关键词上下文内容。
描述栏,可以查看搜索方式及编码方式。有Unicode、代码页和Decoded三种。
点击相关文件,可以通过预览方式察看文件内容。
对于文件的操作,与文件浏览器操作方式类似。通过鼠标右键菜单,可以进行标记、复制、注释等操作。如果需要在案件报告里包含文件内容中的重要信息,可以复制这些信息,全部粘贴到注释中即可。
第七章 报告
本说明中所有图片均出自X-ways Forensics 13.8 版。
一、添加至报告表
创建报告前,须选择所关注的文件,然后点击鼠标右键,添加至报告表。根据文件内容或类别,可新建报告表,命名为“关注的文档”、“xxx地址”、“xxx电子邮件”等。只有将文件添加至报告表后,这些文件才能被包含在报告当中。
二、创建报告
选择 |案件数据|—|创建案件报告|。
三、设置选项
输入报告头,封面信息,选用的徽章图像,所需包含的报告表,报告中包含的项目名称及内容。如果选择了包含操作记录日志,分析过程中的所有屏幕画面图片,所执行的命令及运行结果,都可包含于报告中。
四、报告样例:
第八章 数据恢复
本说明中所有图片均出自X-ways Forensics 13.8 版。 对于删除和格式化的磁盘,可以利用X-ways Forensics 的强大数据恢复功能,将磁盘中的数据尽可能地恢复回来。
例一:恢复标准方式格式化后的SD卡:
1、创建案例,添加存储设备-SD卡;
2、进行磁盘快照,只需选择依据文件系统搜索并恢复目录及文件即可。
3、磁盘快照完毕,显示发现470个数据。
4、展开目录,可看到所有数据均已恢复。5、可进行关键词搜索、恢复\复制等操作。
例二:重组Raid阵列或动态磁盘。
1、加载Raid 镜像文件
2、选择菜单中 |专业工具| — |重组Raid|
3、设置参数及Raid排列顺序。如阵列顺序排列错误,则提示出错信息。
4、阵列顺序排列正确,可顺利显示分区,打开文件。
第九章 安全擦除
本说明中所有图片均出自X-ways Forensics 13.8 版。
一、文件擦除
可以彻底清除文件数据内容,不留任何痕迹。选用菜单中 |工具|—|文件工具|—|安全擦除|,选定需要擦除的文件名,设置填充值。
注意:文件名或上级目录名不能包含中文。对于中文名称,可先将目录或文件名改为数字、英文,即可成功擦除。
二、磁盘擦除
可以彻底清除指定磁盘中的所有数据。例如对于前面数据恢复成功的SD卡,经过磁盘擦除之后,数据将永远无法恢复。
1、调用 |工具|——|打开磁盘| 或 通过F9键。
2、选择菜单中 |编辑| — |填充磁盘扇区|
3、设置设置填充值和填充方式。4、磁盘被填充数据后,经重新格式化,可重新使用。
第十章 高级应用-1 理解文件签名库和文件类型库
本说明中所有图片均出自X-ways Forensics 及Winhex 13.8版。本节,我们利用Winhex / X-ways Forensics分析软件,对“王者加密大师”1.0版工具软件制作的加密文件进行分析,介绍一种数据分析方法。即如何对未知文件格式进行分析,发现该类型文件的唯一特征签名信息,通过“修改文件签名库”,使Winhex / X-ways Forensics分析软件能够自动通过文件签名校验发现这种类型的加密文件。
一、“王者加密大师”简介
王者加密大师是一款简单易用的数据加密工具软件。据该软件官方描述:王者加密大师是一款专业的加密、解密软件,可以对任何想加密的文件进行加密,这就是说你可以用它对各种文件进行加密,如:文本文件(*.txt)、图像文件(*.jpg,*.gif,*.bmp,*.tif...)、音乐文件(*.mid;*.mp3;*.wav;*.wma,*.wmv...)、可执行文件(*.exe;*.dll...)、办公文件(*.wps;*.doc;*.xls)等众多的文件进行加密解密。软件充分考虑了用户的操作,通过简单几步便可完成加密,解密要求。本软件将是你重要数据和隐私的保护神。软件下载地址:www.sjwx.net。