X-waysForensics是一款专业的法证分析软件。用于计算机取证的综合的取证、分析软件,可在 Windows XP/2003/Vista/2008/7/8/8.1及WinPE/FE操作系统下运行,有32位和64位版。它事实上就是WinHex的法证授权版本,具有跟Winhex相同的界面和Winhex所有功能外的更多功能,并增加了文件预览等实用功能!有需要的朋友不要错过,KK下载站推荐大家下载体验!
X-waysForensics软件介绍
x-ways forensics是一款为计算机取证分析人员提供的一个综合的取证分析软件,使用这款x-ways forensics可以让你在进行取证分析的过程中不再被其他因素影响!
X-waysForensics软件特色
1、查看Windows事件日志文件(.EVT,.EVTX),Windows快捷方式(.LNK)文件,Windows预读取文件,$LogFile, $UsnJrnl,还原点change.log,Windows任务计划程序(.job),$EFS LUS, INFO2,还原点change.log.1,wtmp/utmp/btmp log-in records登录记录,MacOS X系统kcpassword,AOL-PFC,OutlookNK2自动完成文件,Outlook的WAB地址簿,IE浏览器travellog(又名RecoveryStore),IE浏览器index.dat历史记录和浏览器缓存数据库,SQLite数据库,如Firefox浏览历史,Firefox下载,Firefox表单历史,Firefox插件,Chrome的cookie,Chrome历史归档,Chrome历史记录,Chrome登录数据,Chrome网页数据,Safari浏览器缓存,Safarifeeds,Skype联系人和文件传输的main.db数据库等等
2、提取元数据,并从各种文件类型的内部创建时间戳,并允许通过他们过滤,如MS Office,OpenOffice,StarOffice,HTML,MDI,PDF,RTF,WRI,AOL,PFC,ASF,WMV,WMA,MOV,AVI,WAV, MP4,3GP,M4V,M4A,JPEG,BMP,THM,TIFF,GIF,PNG,GZ,ZIP,PF,IEcookies,DMP内存转储,hiberfil.sys,PNF,SHD和SPL打印机后台的Tracking.log, MDB,MS Access数据库,manifest.mbdx/.mbdb iPhone备份
3、可以从任何其他类型的文件中提取几乎任何一种嵌入式文件(包括图片),从JPEG和缩略图缓存中提取缩略图,从跳转列表中提取.lnl快捷方式,从Windows.edb、浏览器缓存中提取各种数据,,从SQLite数据库表中提取PLists,从OLE2和PDF文档中的提取杂项元素等等
X-waysForensics软件功能
.磁盘克隆和镜像功能获取完整的数据
.可分析RAW/dd/ISO/VHD/VMDK原始数据镜像文件中的完整目录结构支持分段保存的镜像文件
·支持磁盘,RAID,扇区大小为8KB最大2TB完全访问镜像
·支持对JBOD.RAID0.RAID5.RAID5EE,RAID6,Linux软RAID,Windows动态磁盘和LVM2等磁盘阵列
·自动识别丢失/删除的分区
·支持FAT12,FAT16,FAT32,exFAT,TFAT,NTFS,Ext2,Ext3,Ext4,Next3,CDFS/ISO9660/Joliet,UDF文件系统
·文件系统的数据结构不需要修改原始硬盘或镜像来纠正分区表或文件系统的数据结构
·察看并获取RAM以及虚拟内存中的运行过程
·多种数据恢复功能可以恢复特定文件类型
·基于GREP符号维护文件头签名数据库
·支持20种数据类型解释
·使用模板查看和编辑二进制数据结构
·数据擦除功能可以彻底清除存储介质中残留的数据
·残余空间可以从磁盘或镜像文件中收集.空余空间.分区间隙中的信息
·创建证据文件中的文件和目录列表
·能够非常简单地发现和分析ADS数据(NTFS交换数据流)
·支持各种哈希计算方法(CRC32,MD4,ed2k,MD5,SHA-1,SHA-256,RipeMD...)
·强大的物理搜索和逻辑搜索功能可以同时搜索多个关键字
·在NTFS数据结构自动着色
·书签和注释
·可以运行在WindowsFE中等Windows环境
·配合F-Response远程计算机分析可以进行