X-Ways Forensics32位/64位绿色版

X-Ways Forensics32位/64位绿色版是款法政分析工具，同时也是取证软件以及数据恢复软件，它的功能十分强大，拥有着非常综合性的作用，而且使用的方法也很简单，有需要的朋友可以到站内下载！

X-Ways Forensics中文版介绍

X-Ways Forensics 是为计算机取证分析人员提供的一个功能强大的、综合的取证、分析软件，可在 Windows XP/2003/Vista/2008/7/8/8.1/2012/10/2016操作系统下运行，支持32 /64 位, Standard/PE/FE等版本。 与其他竞争产品相比，由于它在运行时占用的资源更少，因此它在工作时更高效，运行更快速，并且能恢复已删除的文件，还能搜索到其他软件搜索不到的结果，还包含许多特有的功能，最重要的是成本更低廉。

X-Ways Forensics软件亮点

- 磁盘克隆和镜像功能，进行完整数据获取

- 多种数据恢复功能，可对特定文件类型恢复

- 基于GREP符号维护文件头签名数据库

- 支持20种数据类型解释

- 使用模板查看和编辑二进制数据结构

- 能够非常简单地发现并分析ADS数据（NTFS交换数据流)

- 支持多种哈希计算方法 (CRC32, MD4, ed2k, MD5,SHA-1, SHA-256, RipeMD...)

- 可分析 RAW/dd/ISO/VHD/VMDK 格式原始数据镜像文件中的完整目录结构，支持分段保存的镜像文件

- 支持磁盘，RAID,扇区大小为8KB最大2TB的镜像的完全访问

- 支持对JBOD、RAID0、RAID 5、RAID 5EE, RAID 6, Linux软RAID, Windows动态磁盘和LVM2等磁盘阵列

- 强大的物理搜索和逻辑搜索功能，可同时搜索多个关键词

- 在NTFS卷中为文件记录数据结构自动加色

- 书签和注释

- 数据擦除功能，可彻底清除存储介质中残留数据

- 自动识别丢失/删除的分区

- 支持FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDF文件系统

- 无需修改原始硬盘或镜像纠正分区表或文件系统数据结构来解析文件系统

- 察看并获取 RAM和虚拟内存中的运行进程

- 可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙中信息

- 创建证据文件中的文件和目录列表

- 可以运行在Windows FE中等Windows环境

- 配合F-Response可进行远程计算机分析

软件功能

支持 HFS, HFS+/HFSJ/HFSX, ReiserFS, Reiser4, XFS, UFS, UFS2文件系统, APFS

能快速获取磁盘镜像，还提供生成镜像压缩程度的选项

能够读写.e01 格式的证据文件，可选择对证据文件进行 256位AES加密 (注：并非仅仅采用口令保护方式)

能创建Skeleton镜像 和Cleansed镜像 （更多信息）

能够拷贝相关文件至证据文件管理器文件中，如：可将相关证据文件保存至管理器中，管理并选择性的共享给不同的需求者

完整的案例管理功能

自动创建软件操作日志 (审计日志)

数据写保护功能，确保数据真实性

可以任意添加对网盘的远程分析功能（更多信息）

能分析、过滤所有卷影副本（但不包括重复数据），找到快照属性等

点击鼠标即可查看文件列表。轻松浏览文件系统的数据结构，例如，文件记录，索引记录， $LogFile,卷影副本, FAT 目录项, Ext* inode等。

支持分区类型: 苹果格式， MBR, GPT (GUID), Windows动态卷 (MBR+GPT), LVM2 (MBR+GPT), 未分区 (软盘/大容量软盘)

能对Windows 2000 ， XP ， Vista，2003 server， 2008 server， Windows 7的本地内存或内存转储进行主内存分析，功能非常强大

显示文件的所有者，NTFS文件权限，对象ID/GUID 以及特殊属性

弥补 NTFS压缩时所造成的数据丢失和 文件雕复时的Ext2/Ext3区分配逻辑

前后目录和多个步骤之间可以快速切换、并可快速导航回到排序选项、过滤器激活（停止）、选择的界面

内置缩略图图片浏览

内置日历浏览

自动进行文件签名、特征比对

内置文件预览功能，支持270种以上文件类型

能够直接从程序中打印相同的文件类型，该程序首页包含所有元数据

能查看 Windows事件日志文件 (.evt, .evtx), Windows 快捷方式文件 (.lnk) , Windows 预读文件, $LogFile, $UsnJrnl, 系统还原点 change.log, Windows Task Scheduler (.job), $EFS LUS, INFO2, 系统还原点change.log.1, wtmp/utmp/btmp 登陆信息, MacOS X kcpassword, AOL-PFC, outlook NK2 自动完成， Outlook WAB 地址簿, Internet Explorer 浏览记录 (a.k.a. RecoveryStore), Internet Explorer index.dat 历史和浏览器缓存数据库 , SQLite数据库例如Firefox 历史记录, Firefox 下载, Firefox 表单历史, Firefox 签名, Chrome cookies, Chrome历史归档, Chrome 历史, Chrome 登陆信息, Chrome 网络数据, Safari 缓存, Safari feeds, Skype 的main.db数据库（包括联系人和文件传输记录, ...

在可用空间或虚拟文件中的闲置空间中收集Internet Explorer历史记录和浏览器缓存 index.dat

能从各种类型的文件中提取元数据和内部生成的时间戳，例如： MS office, OpenOffice, StarOffice, HTML, MDI, PDF, RTF, WRI, AOL PFC, ASF, WMV, WMA, MOV, AVI, WAV, MP4, 3GP, M4V, M4A, JPEG, BMP, THM, TIFF, GIF, PNG, GZ, ZIP, PF, IE cookies, DMP memory dumps, hiberfil.sys, PNF, SHD & SPL printer spool, tracking.log, .mdb MS access database, manifest.mbdx/.mbdb iPhone 备份, ...

记录并追踪已浏览的文件

把源文件链接到外部文件，例如，原文件的翻译版、解密版或更改后的版本

能够分析检查抽取出的电子邮件数据，支持Outlook (PST/OST)注, Exchange EDB, Outlook Express (DBX), AOL PFC, Mozilla (包括 Thunderbird), generic mailbox (mbox, Unix), MSG, EML

生成一个功能强大的事件列表，生成该列表的时间戳来自：所有支持的文件系统，操作系统（包括事件日志，注册表，回收站等），文件内容（例如，邮件头，exif时间戳，GPS时间戳，最后打印时间；浏览器数据库，skype 聊天记录，通话记录，文件传输记录，创建的账户信息……）

在分析中引入时间的纬度，按照时间顺序展示事件发展延伸的整个过程。在时间线中，事件以图形显示，可方便地查看某活动在哪个时间段活跃，哪个时间段不活跃。只需点击鼠标即可快速过滤某个时间段的事件

拥有基于签名和专门算法的文件类型自动验证功能

可标记文件，并将所标记的文件添加至自定义案件报告中

自动生成HTML格式案件报告，可以用Word查看并编辑

案件报告中可关联文件注释或过滤信息

软件窗口左侧显示目录数结构，能够浏览并标记相关目录及子目录

在扇区视图模式下，可同步显示对应扇区的文件和目录

强大的动态过滤功能，能以文件类型、哈希库、时间、文件大小、注释、报告表等方式组合进行文件过滤

通过递归浏览功能，同时显示所有目录下的文件和删除数据

能从硬盘或者硬盘镜像中复制文件，内容可包含相应文件的完整路径，还可包含或排除文件闲置区域的数据，或将文件闲置区域的数据单独导出或全部导出。

自动识别加密的MS Office 和PDF文件

能从其他任何类型的文件中提取几乎任何一种嵌入式的文件（包括图片）， 从 JPEGs和thumbcaches中提取缩略图,从跳转列表中提取 .lnk 快捷方式 , 从Windows.edb中提取各种数据,从SQLite中提取浏览器缓存、 PLists和表单记录, 从 OLE2 和 PDF 文档中提取各种数据, ...

肤色图片检测功能，(根据肤色比例，以图片集方式排序，加速对儿童色情图片、黑白图片的搜索)

检测黑白或灰度的图片，这可能是扫描到的文件或数字化存储的传真

能检测到可以用OCR识别的 PDF 文档

能通过MPlayer或Forensic Framer，根据用户自定义的时间间隔，从视频文件中提取静态图像，这样就能在必须查看不恰当或非法内容时大大减少要查看的数据

内置 Windows 注册表查看器(支持所有 Windows 版本)，并自动生成注册表报告

能够以目录方式逐级浏览压缩文件中内容

易用的逻辑搜索功能，可在所有文件、选中文件和压缩文件、PDF, HTML, EML, ..., 等类型文件中进行搜索, 可选项有： GREP, 用户自定义的“全字匹配”。

强大的搜索及搜索结果预览功能，支持关键字临近的上下文预览。如：可搜索Documents and Settings目录下，最后访问时间为2004年，包含关键词A, B, D 的doc和ppt文件

在Unicode 和各种代码页中进行搜索和索引

高度灵活的索引算法，并可在索引结果中搜索固定复合词

AND ，fuzzy AND，NEAR +和 – 逻辑运算符组合使用，搜索结果

能将搜索结果导出为HTML，并高亮显示文件内容以及文件元数据

可检测并排除硬盘HPA区域和ATA加密硬盘保护区域，并连续标注

依据内部哈希库，可以快速定位特定类型文件

能够导入 NSRL RDS 2.x, HashKeeper 和ILook格式的哈希库

可创立用户专用哈希集

能够解压缩整个hiberfil.sys文件和单独的xpress 块

X-Tensions API (编程接口) ，添加您自己的功能或者现有的功能

无需设置并链接复杂的数据库，避免了竞争产品无法再次打开你的案件的风险

分析外部程序的界面,例如 PhotoDNA (for law enforcement only), 能识别已知的图片(即使图片以不同格式保存或已经改动)并把图片的类别(“CP”, “relevant”, “irrelevant”)报告给 X-Ways Forensics