X-Ways Forensics(取證分析軟件)

X-Ways Forensics中文版是一款取證分析軟件，軟件功能性強(qiáng)大，分析數(shù)據(jù)準(zhǔn)確率高，軟件內(nèi)置Windows注冊表查看器，支持各種版本的windows操作系統(tǒng)，同時還支持恢復(fù)上次窗口狀態(tài)、最大化編輯窗口、在cfg文件中保存程序設(shè)置、根據(jù)磁盤中的位置排序分區(qū)、自動檢測刪除的分區(qū)、改變磁盤訪問方式等多種功能。除此之外，X-Ways Forensics中文版可隨身攜帶，能夠通過U盤在任意Windows操作系統(tǒng)下使用，無需安裝。X-Ways Forensics中文版能通過MPlayer或Forensic Framer，根據(jù)用戶自定義的時間間隔，從視頻文件中提取靜態(tài)圖像，這樣就能在必須查看不恰當(dāng)或非法內(nèi)容時大大減少要查看的數(shù)據(jù)。非常的實(shí)用方便，感興趣的用戶可以下載體驗(yàn)一下試試看哦！

X-Ways Forensics(取證分析軟件)特色

1、德國數(shù)據(jù)分析軟件，數(shù)據(jù)恢復(fù)軟件，十六進(jìn)制編輯器和磁盤編輯器。
2、用于取證搜集、數(shù)據(jù)恢復(fù)、文件分析和編輯、底層數(shù)據(jù)處理和安全領(lǐng)域收集文件報告。
3、預(yù)設(shè)winhex.cfg配置，默認(rèn)啟動簡體中文，
4、xwforensics.exe重命名winhex.exe，軟件啟動也就是WinHex
5、重置選項(xiàng)臨時路徑X-Ways Forensics（法證授權(quán)版）包括MPlayer + 查看器組件。
6、Forensics提供了專家許可后的WinHex之外許多其它高級功能。7、包含插件：MPlayer 2018 x64
8、包含插件：Outside In Viewer v8.5.4
9、含WinHex Forensic Editon x86/x64

軟件功能

1、記錄并追蹤已瀏覽的文件。
2、把源文件鏈接到外部文件，例如，原文件的翻譯版、解密版或更改后的版本。
3、能夠分析檢查抽取出的電子郵件數(shù)據(jù)，支持Outlook (PST/OST)注, Exchange EDB, Outlook Express (DBX), AOL PFC, Mozilla (包括 Thunderbird), generic mailbox (mbox, Unix), MSG, EML。
4、生成一個功能強(qiáng)大的事件列表，生成該列表的時間戳來自：所有支持的文件系統(tǒng)，操作系統(tǒng)（包括事件日志，注冊表，回收站等），文件內(nèi)容（例如，郵件頭，exif時間戳，GPS時間戳，最后打印時間；瀏覽器數(shù)據(jù)庫，skype 聊天記錄，通話記錄，文件傳輸記錄，創(chuàng)建的賬戶信息……）。
5、在分析中引入時間的緯度，按照時間順序展示事件發(fā)展延伸的整個過程。在時間線中，事件以圖形顯示，可方便地查看某活動在哪個時間段活躍，哪個時間段不活躍。只需點(diǎn)擊鼠標(biāo)即可快速過濾某個時間段的事件。
6、擁有基于簽名和專門算法的文件類型自動驗(yàn)證功能。
7、可標(biāo)記文件，并將所標(biāo)記的文件添加至自定義案件報告中。
8、自動生成HTML格式案件報告，可以用Word查看并編輯。
9、案件報告中可關(guān)聯(lián)文件注釋或過濾信息。
10、軟件窗口左側(cè)顯示目錄數(shù)結(jié)構(gòu)，能夠?yàn)g覽并標(biāo)記相關(guān)目錄及子目錄。
11、在扇區(qū)視圖模式下，可同步顯示對應(yīng)扇區(qū)的文件和目錄。
12、強(qiáng)大的動態(tài)過濾功能，能以文件類型、哈希庫、時間、文件大小、注釋、報告表等方式組合進(jìn)行文件過濾。
13、通過遞歸瀏覽功能，同時顯示所有目錄下的文件和刪除數(shù)據(jù)。
14、能從硬盤或者硬盤鏡像中復(fù)制文件，內(nèi)容可包含相應(yīng)文件的完整路徑，還可包含或排除文件閑置區(qū)域的數(shù)據(jù)，或?qū)⑽募e置區(qū)域的數(shù)據(jù)單獨(dú)導(dǎo)出或全部導(dǎo)出。

軟件優(yōu)勢

1、書簽和注釋。
2、支持20種數(shù)據(jù)類型解釋。
3、自動識別丟失/刪除的分區(qū)。
4、創(chuàng)建證據(jù)文件中的文件和目錄列表。
5、使用模板查看和編輯二進(jìn)制數(shù)據(jù)結(jié)構(gòu)。
6、磁盤克隆和鏡像功能，進(jìn)行完整數(shù)據(jù)獲取。
7、數(shù)據(jù)擦除功能，可徹底清除存儲介質(zhì)中殘留數(shù)據(jù)。
8、在NTFS卷中為文件記錄數(shù)據(jù)結(jié)構(gòu)自動加色。
9、可以運(yùn)行在Windows FE中等Windows環(huán)境。
10、配合F-Response可進(jìn)行遠(yuǎn)程計(jì)算機(jī)分析。
11、可從磁盤或鏡像文件中收集殘留空間、空余空間、分區(qū)空隙中信息。
12、強(qiáng)大的物理搜索和邏輯搜索功能，可同時搜索多個關(guān)鍵詞。
13、查看并獲取 RAM和虛擬內(nèi)存中的運(yùn)行進(jìn)程。
14、多種數(shù)據(jù)恢復(fù)功能，可對特定文件類型恢復(fù)。
15、基于GREP符號維護(hù)文件頭簽名數(shù)據(jù)庫。
16、能夠非常簡單地發(fā)現(xiàn)并分析ADS數(shù)據(jù)（NTFS交換數(shù)據(jù)流)。
17、支持多種哈希計(jì)算方法 (CRC32, MD4, ed2k, MD5,SHA-1, SHA-256, RipeMD...)。
18、無需修改原始硬盤或鏡像糾正分區(qū)表或文件系統(tǒng)數(shù)據(jù)結(jié)構(gòu)來解析文件系統(tǒng)。
19、可分析 RAW/dd/ISO/VHD/VMDK 格式原始數(shù)據(jù)鏡像文件中的完整目錄結(jié)構(gòu)，支持分段保存的鏡像文件。
20、支持磁盤，RAID,扇區(qū)大小為8KB最大2TB的鏡像的完全訪問。
21、支持對JBOD、RAID0、RAID 5、RAID 5EE, RAID 6, Linux軟RAID, Windows動態(tài)磁盤和LVM2等磁盤陣列。
22、支持FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDF文件系統(tǒng)。