简介
X-Ways Forensics 是由 Stefan Fleischmann 编写的一个轻量化的应急响应及取证工具,是 WinHex 的法证版本,因此界面逻辑和 WinHex 较为相似。在配置好 mplayer 的情况下,程序总体积在 100MiB 左右,运行时内存占用极低,功能极其强大。
本文讲解了最基本的几个功能,后续也会更新。
过滤
过滤是取证人员必备的技能,面对复杂、多样化、存储量巨大的检材,快速定位目标文件是必不可少的
XWF中过滤一个目录下的文件需要先将文件平铺,在检材处右键后会高亮,此时所有该目录以及子目录下的文件都会平铺到一个文件列表中,便于我们全面过滤
文件类型
过滤zip文件
文件名称
XWF支持grep的正则表达式
搜索
同步搜索(暴力搜索)
选中分区或者磁盘文件
打开同步搜索
暴力搜索的原理是数据的存储存在安全问题,没有编码或者加密
注册表
首先过滤注册表文件
双击注册表文件即可使用XWF的自带注册表查看器查看
随后选择配置文件后即可分析成功
保存为html文件后使用浏览器打开
操作系统基本信息
CPU信息:CPU
磁盘信息:IDE Device
Windows 版本信息:Windows internal version,Windows installation date,Windows product ID,Windows CD key,Windows name,Windows build number,Service pack,Last logged on user,Default Internet Browser
计算机名称:Active computer name
Windows 安装语言(也不知道是不是正在使用的语言):Windows installation language
可移动设备:Windows portable devices
启用的服务:Services installed
查看安装了的软件:Install date of,Name of program Uninstall,Install date of Uninstall,Location of program Uninstall,Source of program Uninstall,Name of program
网络信息
默认网关MAC:Default Gateway MAC
本机MAC(看起来可能会更齐全):This computer's MAC address
DHCP指定的IP:DHCP assigned IP Address
本地连接网络:Network connection
TCP/IP网络名称:Tcpip host name
网卡信息:Model description of installed network card
用户信息
IE输入记录:URLs typed in Internet Explorer
打开过的文件:Documents opened,Recent File List
用户账户(但是看不到用户名,只能看到SID):`User Account
最后登录用户:Last logged on user
最后登录时的计算机名称(不知道具体什么作用):Last Computer Name
用户设置的地区(NTUSER.DAT):Country
用户自定义的文件夹(NTUSER.DAT):User-specific directories
各个用户对应的UID(这个很有用,可以对照着查):User ID of Administrator
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
