這個快速入門本人已經寫完很久了,準備隨著新版本推出逐步更新, 加入一些最新功能介紹。喜歡X-Ways Forensics的朋友們可以關注一下。
第一章 配置軟件
X-way Forensics軟件可以通過setup.exe安裝配置後使用,也可以通過運行xwforensics.exe直接使用。具體使用方法可根據用戶習慣來選擇。但通常來說,直接運行最為方便。
軟 件使用中,保存有X-way Forensics軟件臨時文件和案例文件的分區將作為默認的數據輸出路徑,即只有該分區被允許寫入數據。因此,在選擇X-way Forensics軟件使用分區時,需要考慮好下一步數據分析的實際情況。建議選擇容量較大,數據較少的分區。
使用軟件前,請預先X-ways目錄下建立如下三個文件夾,分別用於保存案例文件、鏡像文件和臨時文件。文件夾名稱也可自定義。
一、第一次使用X-ways
運行X-ways Forensic軟件後,軟件首次啟動,出現英文用戶界面。當進入軟件後,將設置更改為中文後,再次啟動即可以看到右側的中文界面。
當數據分析使用時,一定要選擇計算機法證版用戶界面。簡化界面為 X-ways Investigator 用戶界面。
點擊確定後,將出現 「General Options」對話框。此時軟件界面仍為英文。暫時關閉該對話框,選擇調用中文界面。
點擊菜單中的 |Help | Setup | Chinese,Please! ,軟件界面即轉為中文。如果將來需要使用英文界面,可用同樣方法轉換回來。
二、設置
使用X-ways Forensics進行各項操作之前,首先需要進行設置。點擊 |菜單|常規設置|,或直接按 F5 鍵,即可顯示常規設置對話窗。
保存臨時文件的目錄:當前設置默認保存臨時文件至C:\Documents and Settings\sprite\Local Settings\Temp。為便於管理臨時文件,我們為其新創建一個temp文件夾,本例為E:\xway\temp。
保存鏡像和備份文件的目錄:當前設置默認保存鏡像文件和備份文件至C:\Documents and Settings\sprite\Local Settings\Temp。為將來方便地調用和管理鏡像文件,我們為其新創建一個images文件夾,路徑為E:\xway\images。
保存案件和方案的目錄:當前系統默認保存為X-ways Forensics 的當前目錄下,本例為E:\xway目錄。由於將來創建的案件越來越多,這些案例文件保存在當前目錄下非常混亂,不易查找,因此,我們為其新創建一個案例文件夾,本例為E:\xway\case。
保存腳本的目錄:系統默認保存在X-ways Forensics 的當前目錄下,本例為E:\xway目錄。本手冊中不涉及腳本,無需改變。
保存哈希庫的目錄:系統默認哈希庫文件位置為E:\xway\HashDB。此目錄可由X-ways Forensics 自動創建和管理,無需改變。
註: 如果在固定計算機中安裝使用X-ways Forensics,通過鮮鏨柚眉純墑褂謾?br> 如果在移動硬盤中使用X-ways Forensics,請確定路徑設置正確,並將上述路徑指向移動硬盤中的相應目錄。如果在光盤中使用X-ways Forensics,則一定要將路徑指向移動硬盤中的相應目錄。
第二章 創建案件
一、創建新案件
開始數據分析,首先要創建案例,並將需要分析的存儲介質或者鏡像文件加載到案例中。X-ways Forensics軟件本身不會使數據內容產生變化。
在案件數據對話框中,可輸入案件名稱、案件描述、調查員、機構地址等輔助信息。案件名稱應使用英文或數字,否則案例日誌和報告中無法出現屏幕快照圖片。
為保障數據分析中顯示的時間正確,需在顯示時區中設置正確的時區信息。
案件創建日期將由X-ways Forensics依據系統時鐘自動創建。請確保當前計算機系統時間設置準確。
二、添加數據
創建案件後,需要添加所需獲取/分析的目標。可以添加物理存儲設備,如磁盤、光盤、USB移動存儲設備等,也可添加E01、DD磁盤鏡像,以及X-ways 自有的證據文件格式。
三、創建磁盤鏡像
創建磁盤鏡像,需在扇區察看方式下,選擇菜單中 | 文件| 創建磁盤鏡像|。
創建鏡像文件過程中,將顯示複製進度。
操作結束,將生成TXT格式操作日誌,包含如磁盤參數、MD5值等信息。
第三章 基本操作
一、瀏覽所有文件
如果需要顯示當前驅動器下所有文件,使用鼠標右鍵單擊驅動器圖標,選擇右鍵菜單中的展開目錄。文件瀏覽器中將顯示所選驅動器下所有文件列表。
取消全部文件顯示模式,使用鼠標左鍵單擊驅動器圖標。
二、文件瀏覽器菜單說明
過濾漏斗:過濾選項,灰色時表示未啟用;藍色時,表示應用了相應的過濾設置。本例中,由於對文件名稱欄目進行了過濾操作,文件名稱旁邊出現了一個「藍色漏斗」。
窗口文件數量:位於右上角,表示當前窗口顯示出的文件數量及總計文件數量。本例中,由於應用了過濾操作,窗口右上角數字含義為:應用過濾後,有170份文件符合過濾要求,有686份文件被過濾掉。如果沒有使用過濾,此處僅顯示文件總數量,即856份文件。
選擇文件數量:位於右下角,表示當前窗口選擇的文件數量及容量。本例中,選擇了5份文件,總計容量117KB。
文件標記:文件名稱前面的小方框為標記選框。可以手工為文件逐一添加標記,也可以通過鼠標右鍵中標記命令為所有選擇的文件添加標記。
註:對指定文件的導出、添加註釋、添加報告分類、創建哈希集,均可通過鼠標右鍵來實現。
磁盤快照時間:磁盤快照是X-ways Forensics的一個重要功能,用於對當前驅動器中的所有數據進行快速解析,如計算哈希值、分析丟失數據、拆解壓縮文件和電子郵件、加密文件檢測等。 當對當前使用的物理磁盤進行分析時,如C盤,磁盤的數據可能會隨時發生改變,因此需要更新磁盤快照來保證案件中使用最新的數據。本例中,「20分鐘前」表 示當前案件數據是20分鐘前製作的。可以通過F10更新磁盤快照。
三、更改文件瀏覽器顯示內容
文件瀏覽器顯示內容可以根據實際需要進行調整。通過Ctrl+F5,或菜單中|選項|目錄瀏覽器|,調用目錄瀏覽器過濾設置對話框。
設置顯示寬度:
數字=0,表示不顯示該欄目
數字>0,表示該欄目實際顯示的寬度
本例中,文件名稱欄目寬度為176點,文件類型欄目為65點,路徑等項目為0,表示不顯示。
當需要顯示更多未列出的欄目,如路徑、哈希值等,可將該欄目數值從0更改為50。數值可暫時設定,之後可利用鼠標將欄目調整至滿意寬度。如需隱藏某欄目,將該數值更改回0即可。
四、過濾
當使用某過濾條件時,例如:對文件名進行過濾,查找所有DOC文檔,只需點擊文件名稱右側的漏斗,輸入過濾條件*.DOC,點擊激活即可顯示過濾結果。文件名過濾支持多語種字符。如需取消某過濾條件,點擊禁用即可。
五、圖例說明
在文件瀏覽器中,會有一些不同的文件及圖標顯示方式,具體含義可以對照圖例說明察看相應說明。
本例中,password-123456.doc顯示為綠色,文件屬性為e!A,對照圖例說明,可知該文件為加密文件。當對該文件添加註釋後,文件名後顯示出一個紅色三角。15.DOC文件類型顯示為藍色JPG,表示該文件為簽名不匹配文件。
通過「磁盤快照」功能,可將當前案件中所有這些類別的文件判斷出來。
六、文件預覽
X-ways內置了強大的文件察看器,可以支持400種以上文件格式的查看。點擊預覽,即可逐一察看文件內容。
如果還沒有對案件數據進行磁盤快照,當瀏覽文件時,X-ways將自動對文件簽名、加密等狀態進行檢測。
第四章 磁盤快照
創建案件,載入E01證據文件後,一般應首先進行磁盤快照。由於磁盤快照過程將會把案件中的所支持的壓縮文件、電子郵件及附件、刪除的數據解開及恢復出來,古經快照處理後得到的數據要比未進行磁盤快照的文件數量多。此時進行過濾和搜索,會得到更準確的結果。
每個任務前面的方框,經選取後顯示綠色對勾。
每個任務後面的方框,表示完成狀態。綠色對勾表示全部完成;實心綠框表示已完成了部分,但尚未全部完成。
開始進行磁盤快照,選中相應的選項,點擊確定即可。
任務說明:
依據文件系統搜索並恢複目錄及文件:將當前磁盤中的刪除、丟失文件全部恢復。
通過文件簽名搜索並恢覆文件:根據文件簽名值搜索特定類型格式文件,如:可以僅搜索並恢復doc格式文件。
計算哈希值:自動計算所有文件的哈希值。目錄、0字節文件沒有哈希值。算法支持MD5、SHA-1、SHA-256。
依據哈希庫對比哈希值:如果已經擁有完整的哈希庫,可在計算文件哈希值過程中,將哈希值與哈希庫中值比對,以確定文件哈希分類。例如,通過此選項排除已知的Windows系統文件。
依據文件簽名校驗文件真實類型:可判斷doc、jpg格式文件是否被改名或偽裝。
分析ZIP和RAR等壓縮文件中的數據:將壓縮文件釋放,並以虛擬目錄形式瀏覽。
導出電子郵件正文和附件:拆解電子郵件,將郵件正文與附件以虛擬形式顯示。
查找嵌入在正文內的圖片:可以將WORD、PPT等復合文件中的圖片抽取出來。
膚色圖片和黑白圖片檢測:用於檢測包含人體膚色特徵的圖片和其他黑白文字圖片。
加密文件檢測:用於檢測特定類型加密文件,如加 密的DOC、XLS文件。首先,通過熵值檢測,自動對大於255 字節的文件進行檢測。如果熵值超過設定值,文件屬性標記為"e?" ,表明應仔細檢查該文件。例如:PGP Desktop, BestCrypt 或DriveCrypt 加密文件。熵值檢測不適用於ZIP, RAR, CAB, JPG, MPG 和SWF 等文件。其次、可檢測特定類型加密文件,如doc (MS Word 4至2003版),xls (MS Excel 2至2003版),ppt和pps (MS PowerPoint 97-2003),mpp (MS Project 98-2003),pdf (Adobe Acrobat)。如果為加密文件,文件屬性顯示 "e!" 。
更新快照:將當前案件中磁盤數據保持最新狀態。更新快照後,上述所有操作及搜索記錄等將全部被清空。
完成磁盤快照之後,如右圖顯示案件中數據增多,這時才能繼續進行過濾、搜索等操作。
第五章 過濾
本說明中所有圖片均出自X-ways Forensics 13.8 版。
在X-ways Forensics 中,可方便地對各種類型的數據文件進行過濾操作。
一、按文件名稱過濾
可以使用通配符,針對特定文件名稱進行過濾。如搜索「*.DOC,*.HTM,收件箱*」等。使用通配符時,不能出現2個*。此種過濾方式,適用於對文件名,及單一文件類型過濾。速度快,準確率高。
例:如果需要查找文件內容包含「陳立康」的Word文件,可首先過濾出*.DOC文檔,然後全選、標記,並在標記文件中搜索關鍵詞「陳立康」即可。
二、按文件類型過濾
可按照設定的文件分類,對不同類型的文件進行過濾。通過此過濾方式,可以容易地將辦公文檔、圖形圖像、壓縮文件,以及各種重要數據,如註冊表文件、互聯網歷史記錄、回收站文件、打印池、Windows交換文件、日誌等,快速過濾出來。
文件過濾類型可以自定義擴充與修改。文件名為:File Type Categories.txt。最新文件類型過濾文件www.china-forensic.com/xways/downloads/FileType.rar。
使用方法:選擇相應文件類型,點擊激活。過濾前,應在磁盤快照中選擇依據文件簽名校驗文件真實類型,才能夠判斷出文件的真實類型。
三、按簽名狀態過濾
進行完整磁盤快照後,X-ways可依據文件簽名檢測每一個文件的簽名信息是否匹配。如果文件擴展名被改變,簽名狀態將顯示為簽名不匹配。通過選擇過濾選項中的文件簽名顯示狀態,可發現簽名匹配、不匹配的文件。
缺省狀態下,文件顯示為「簽名未校驗」。通過文件簽名校驗文件類型後:如果文件非常小,狀態被 顯示為「無關的」;如果文件擴展名和文件簽名都未知,狀態被顯示為「不在列表中」;如果文件簽名和文件擴展名一致,狀態被顯示為「簽名匹配」;如果文件擴 展名正確,但文件簽名未知,狀態顯示為「簽名未確認」;如果文件簽名和文件擴展名不匹配,或沒有文件擴展名,狀態顯示為「簽名不匹配」。
三、按文件大小過濾
根據文件的實際大小過濾,不包含殘留區數據。
第一選項,用於設定小於一定容量文件,如可查找小於1.2MB的文件;
第二選項,用於設定大於一定容量的文件,如可查找大於3.4KB的文件。
兩個選項同時使用,用於設定一定容量大小之間的文件。
四、按文件時間過濾
創建時間:當前磁盤中的文件和目錄的創建時間。
修改時間:當前磁盤中文件和目錄最後修改後的時間。
訪問時間:但前磁盤中文件和目錄的最後讀取或訪問的時間。
記錄更新時間:NTFS或Linux文件系統中,文件和目錄的最後修改時間。這是包含於文件元數據中的文件系統數據結構。
刪除時間:Linux系統下文件和目錄的刪除時間。
四、按文件屬性過濾
A = 文檔 R = 只讀
H = 隱含 S = 系統
P = 連接點
C = 文件系統級壓縮
c = ZIP, RAR等文件中壓縮
E = 文件系統級加密
e = ZIP, RAR中加密文件
e? = 可能是壓縮或加密的
第六章 搜索
同步搜索,允許用戶指定一個搜索關鍵詞列表文件,每行設定一個搜索關鍵詞。所發現的搜索關鍵詞被保存在搜索列表中,或位置管理器中。同步搜索能夠以「物理 搜索」和「邏輯搜索」兩種方式進行。物理搜索,通過扇區方式進行;邏輯搜索,通過文件方式進行。相比而言,邏輯搜索功能更強大,更徹底。
數據搜索時,可以同時使用Unicode (UCS-2LE)和代碼頁方式對相同的詞彙全面搜索。當前Windows系統默認代碼頁,被標記有星號,且被缺省採用。如美國和西歐的計算機,通常默認 代碼頁為1252 ANSI Latin I。Microsoft Windows使用ANSI代碼頁。蘋果Macintosh使用MAC代碼頁。OEM表示DOS和Windows命令行中使用的代碼頁。如果搜索詞彙無法 轉換為當前使用的代碼頁,搜索時將會出現提示信息。
一、選定搜索文件
將所有文件展開,或通過過濾選擇所需搜索的文件。
1、在特定文件中搜索,須首先選擇文件,並添加標記。之後,可以使用在標記數據中搜索。如在所有文件中搜索,無需選擇文件。直接選擇在所有數據中搜索。
2、點擊同步搜索
3、輸入關鍵詞。每行一個關鍵詞,支持空格。
4、輸入關鍵字,選擇字符編碼
如果需要搜索Unicode字符,則需將Unicode (UCS-2LE)選中。如果對PDF等文件中的數據進行搜索,還需選擇「解碼文件中的文本」。對非Unicode文本進行搜索,需使用代碼頁。對不同語 種字符進行搜索,需將代碼頁設置為相應語種。繁體中文代碼頁為950,日文為932,韓文為949。
5、設定其他選項
如果只需要發現包含有關鍵詞的文件,則可將「每個文件顯示1個搜索結果」選中,以提高搜索速度。
通過選定證據項中搜索,可以在當前案例中多個磁盤或鏡像文件中進行搜索。
二、查看搜索結果
搜索結束後,顯示所有包含關鍵詞的搜索結果。本例中共有5個關鍵詞,173個搜索命中結果。雙擊每一個關鍵詞,可以查看該關鍵詞的搜索結果。搜索結果保存在案例文件中。再次打開案例文件,搜索結果依然保存。通過DEL鍵,可以刪除該關鍵詞及結搜索果。
可以通過搜索結果欄,預覽所搜索的關鍵詞上下文內容。
描述欄,可以查看搜索方式及編碼方式。有Unicode、代碼頁和Decoded三種。
點擊相關文件,可以通過預覽方式察看文件內容。
對於文件的操作,與文件瀏覽器操作方式類似。通過鼠標右鍵菜單,可以進行標記、複製、註釋等操作。如果需要在案件報告裡包含文件內容中的重要信息,可以複製這些信息,全部粘貼到註釋中即可。
第七章 報告
一、添加至報告表
創建報告前,須選擇所關注的文件,然後點擊鼠標右鍵,添加至報告表。根據文件內容或類別,可新建報告表,命名為「關注的文檔」、「xxx地址」、「xxx電子郵件」等。只有將文件添加至報告表後,這些文件才能被包含在報告當中。
二、創建報告
選擇 |案件數據|—|創建案件報告|。
三、設置選項
輸入報告頭,封面信息,選用的徽章圖像,所需包含的報告表,報告中包含的項目名稱及內容。如果選擇了包含操作記錄日誌,分析過程中的所有屏幕畫面圖片,所執行的命令及運行結果,都可包含於報告中。
四、報告樣例:
第八章 數據恢復
本說明中所有圖片均出自X-ways Forensics 13.8 版。
對於刪除和格式化的磁盤,可以利用X-ways Forensics 的強大數據恢復功能,將磁盤中的數據儘可能地恢復回來。
例一:恢復標準方式格式化後的SD卡:
1、創建案例,添加存儲設備-SD卡;
2、進行磁盤快照,只需選擇依據文件系統搜索並恢複目錄及文件即可。
3、磁盤快照完畢,顯示發現470個數據。
4、展開目錄,可看到所有數據均已恢復。
5、可進行關鍵詞搜索、恢復\複製等操作。
例二:重組Raid陣列或動態磁盤。
1、加載Raid 鏡像文件
2、選擇菜單中 |專業工具| — |重組Raid|
3、設置參數及Raid排列順序。
如陣列順序排列錯誤,則提示出錯信息。
4、陣列順序排列正確,可順利顯示分區,打開文件。
第九章 安全擦除
本說明中所有圖片均出自X-ways Forensics 13.8 版。
一、文件擦除
可以徹底清除文件數據內容,不留任何痕跡。選用菜單中 |工具|—|文件工具|—|安全擦除|,選定需要擦除的文件名,設置填充值。
注意:文件名或上級目錄名不能包含中文。對於中文名稱,可先將目錄或文件名改為數字、英文,即可成功擦除。
二、磁盤擦除
可以徹底清除指定磁盤中的所有數據。例如對於前面數據恢復成功的SD卡,經過磁盤擦除之後,數據將永遠無法恢復。
1、調用 |工具|——|打開磁盤| 或 通過F9鍵。
2、選擇菜單中 |編輯| — |填充磁盤扇區|
3、設置設置填充值和填充方式。
4、磁盤被填充數據後,經重新格式化,可重新使用。
轉自計算機取證技術
0 意見: