计算机磁盘功能,X-ways Forensics磁盘快照功能介绍

一般使用X-ways司法分析软件案件加载证据文件或磁盘以后,首先要对磁盘进行磁盘快照,经过磁盘快照以后,它会把案件中的压缩文件、电子邮件以及附件解开,删除的数据恢复出来。经过磁盘快照的数据会比未经过磁盘快照时的文件数量更多,此时进行搜索得到的结果也会更准确

a4c26d1e5885305701be709a3d33442f.png

依据文件系统搜索并恢复目录及文件:将当前磁盘中的删除、丢失文件全部恢复。

通过文件签名搜索并恢复文件:根据文件签名值搜索特定类型格式文件,如:可以仅搜索并恢复doc格式文件。

计算哈希值:自动计算所有文件的哈希值。目录、0字节文件没有哈希值。算法支持MD5、SHA-1、SHA-256。

依据哈希库对比哈希值:如果已经拥有完整的哈希库,可在计算文件哈希值过程中,将哈希值与哈希库中值比对,以确定文件哈希分类。例如,通过此选项排除已知的Windows系统文件。

依据文件签名校验文件真实类型:可判断doc、jpg格式文件是否被改名或伪装。

分析ZIP和RAR等压缩文件中的数据:将压缩文件释放,并以虚拟目录形式浏览。

导出电子邮件正文和附件:拆解电子邮件,将邮件正文与附件以虚拟形式显示。

查找嵌入在正文内的图片:可以将WORD、PPT等复合文件中的图片抽取出来。

肤色图片和黑白图片检测:用于检测包含人体肤色特征的图片和其他黑白文字图片。

加密文件检测:用于检测特定类型加密文件,如加密的DOC、XLS文件。首先,通过熵值检测,自动对大于255

字节的文件进行检测。如果熵值超过设定值,文件属性标记为"e?" ,表明应仔细检查该文件。例如:PGP Desktop,

BestCrypt 或DriveCrypt 加密文件。熵值检测不适用于ZIP, RAR, CAB, JPG, MPG 和SWF

等文件。其次、可检测特定类型加密文件,如doc (MS Word 4至2003版),xls (MS Excel

2至2003版),ppt和pps (MS PowerPoint 97-2003),mpp (MS Project

98-2003),pdf (Adobe Acrobat)。如果为加密文件,文件属性显示 "e!" 。

更新快照:将当前案件中磁盘数据保持最新状态。更新快照后,上述所有操作及搜索记录等将全部被清空。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
X-Ways Forensics是一款强大的数字取证工具,用于帮助取证专家和调查人员分析和提取电子证据。该软件具有丰富的功能和易于使用的界面,使用户能够快速而准确地进行数字取证工作。 首先,X-Ways Forensics可以帮助用户获取各种类型的电子证据,包括磁盘、文件、邮件、图片、文档等。它支持多种取证方式,可以直接读取物理设备、逻辑设备、磁盘镜像和虚拟机映像,同时支持各种文件系统和分区格式。用户只需选择相应的取证源,即可轻松获取所需的数字证据。 其次,X-Ways Forensics具有强大的分析和搜索功能。用户可以使用多种过滤条件、关键词搜索、日期范围等方式对数据进行精确搜索,并在搜索结果中快速定位到相关的证据。此外,该软件还支持使用自定义的搜索脚本,以便更灵活地定制搜索过程。 除此之外,X-Ways Forensics还提供了强大的数据恢复功能。当用户遇到损坏或删除的文件时,可以使用软件提供的恢复工具来尝试恢复文件的内容。这对于分析隐藏、删除或被破坏的证据非常有用,可以提供更全面和准确的调查结果。 最后,X-Ways Forensics还具有报告生成和证据展示的功能。用户可以根据需要生成包含分析结果、搜索过程、取证步骤等信息的详细报告,并且还可以生成具有可视化效果的证据展示报告。这使得用户可以方便地向他人展示和解释取证过程和结果。 总之,X-Ways Forensics是一款功能丰富、易于使用的数字取证工具。它提供了多种取证方式、强大的分析和搜索功能、数据恢复工具以及报告生成和证据展示功能,可以帮助用户快速而准确地进行数字取证工作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值