x-ways forensics1.0

大小：64.19MB

版本：undefined

语言：简中

更新：2025-05-24

普通下载

资源说明

x-ways forensics是一款很实用的取证分析人员的实用软件，它简单使用、运行更快速、无需安装、使用时效率更高、占用资源不多，x-ways forensics无需修改原始硬盘或镜像纠正分区表或文件系统数据结构来解析文件系统，强大的物理搜索和逻辑搜索功能，可同时搜索多个关键词，对这款软件有需要的小伙伴快来下载吧。

软件亮点

X-Ways Forensics 是为计算机取证分析人员提供的一个功能强大的、综合的取证、分析软件，可在 Windows XP/2003/Vista/2008/7/8/8.1/2012/10操作系统下运行，支持32 /64 位, Standard/PE/FE等版本。(Windows FE is described here, here and here.) 与其他竞争产品相比，由于它在运行时占用的资源更少，因此它在工作时更高效，运行更快速，并且能恢复已删除的文件，还能搜索到其他软件搜索不到的结果，还包含许多特有的功能，最重要的是成本更低廉。X-Ways Forensics 可随身携带，能够通过U盘在任意Windows操作系统下使用，无需安装。不像其他一些取证分析工具那样，X-ways Forensics不需要使用者设置数据库等繁琐的操作，并且超小化的安装包可以在数秒内下载并安装。它可以与WinHex hex和 disk editor 紧密结合，提供高效率的工作流模型，这样计算机取证调查员就可以与使用X-Ways Investigator 的调查员共享数据，协同工作。

x-ways forensics1.0

软件功能

磁盘克隆和镜像功能，进行完整数据获取

可分析 RAW/dd/ISO/VHD/VMDK 格式原始数据镜像文件中的完整目录结构，支持分段保存的镜像文件

支持磁盘，RAID,扇区大小为8KB最大2TB的镜像的完全访问

支持对JBOD、RAID0、RAID 5、RAID 5EE, RAID 6, Linux软RAID, Windows动态磁盘和LVM2等磁盘阵列

自动识别丢失/删除的分区

支持FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDF文件系统

无需修改原始硬盘或镜像纠正分区表或文件系统数据结构来解析文件系统

察看并获取 RAM和虚拟内存中的运行进程

多种数据恢复功能，可对特定文件类型恢复

基于GREP符号维护文件头签名数据库

支持20种数据类型解释

使用模板查看和编辑二进制数据结构

数据擦除功能，可彻底清除存储介质中残留数据

可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙中信息

创建证据文件中的文件和目录列表

能够非常简单地发现并分析ADS数据(NTFS交换数据流)

支持多种哈希计算方法 (CRC32, MD4, ed2k, MD5,SHA-1, SHA-256, RipeMD...)

强大的物理搜索和逻辑搜索功能，可同时搜索多个关键词

在NTFS卷中为文件记录数据结构自动加色

书签和注释

可以运行在Windows FE中等Windows环境

配合F-Response可进行远程计算机分析

软件特色

1.查看Windows事件日志文件(.EVT，.EVTX)，Windows快捷方式(.LNK)文件，Windows预读取文件，$LogFile, $UsnJrnl,还原点change.log，Windows任务计划程序(.job)，$EFS LUS， INFO2，还原点change.log.1，wtmp/utmp/btmp log-in records登录记录，MacOS X系统kcpassword，AOL-PFC，OutlookNK2自动完成文件，Outlook的WAB地址簿，IE浏览器travellog(又名RecoveryStore)，IE浏览器index.dat历史记录和浏览器缓存数据库，SQLite数据库，如Firefox浏览历史，Firefox下载，Firefox表单历史，Firefox插件，Chrome的cookie，Chrome历史归档，Chrome历史记录，Chrome登录数据，Chrome网页数据，Safari浏览器缓存，Safarifeeds，Skype联系人和文件传输的main.db数据库等等

2.提取元数据，并从各种文件类型的内部创建时间戳，并允许通过他们过滤，如MS Office，OpenOffice，StarOffice，HTML，MDI，PDF，RTF，WRI，AOL，PFC，ASF，WMV，WMA，MOV，AVI，WAV， MP4，3GP，M4V，M4A，JPEG，BMP，THM，TIFF，GIF，PNG，GZ，ZIP，PF，IEcookies，DMP内存转储，hiberfil.sys，PNF，SHD和SPL打印机后台的Tracking.log， MDB，MS Access数据库，manifest.mbdx/.mbdb iPhone备份

3.可以从任何其他类型的文件中提取几乎任何一种嵌入式文件(包括图片)，从JPEG和缩略图缓存中提取缩略图，从跳转列表中提取.lnl快捷方式，从Windows.edb、浏览器缓存中提取各种数据，，从SQLite数据库表中提取PLists，从OLE2和PDF文档中的提取杂项元素等等