Invisible Man: X-Ways Forensics 快速入門

這個快速入門本人已經寫完很久了，準備隨著新版本推出逐步更新, 加入一些最新功能介紹。喜歡X-Ways Forensics的朋友們可以關注一下。

第一章配置軟件

X-way Forensics軟件可以通過setup.exe安裝配置後使用，也可以通過運行xwforensics.exe直接使用。具體使用方法可根據用戶習慣來選擇。但通常來說，直接運行最為方便。

軟件使用中，保存有X-way Forensics軟件臨時文件和案例文件的分區將作為默認的數據輸出路徑，即只有該分區被允許寫入數據。因此，在選擇X-way Forensics軟件使用分區時，需要考慮好下一步數據分析的實際情況。建議選擇容量較大，數據較少的分區。

使用軟件前，請預先X-ways目錄下建立如下三個文件夾，分別用於保存案例文件、鏡像文件和臨時文件。文件夾名稱也可自定義。

一、第一次使用X-ways

運行X-ways Forensic軟件後，軟件首次啟動，出現英文用戶界面。當進入軟件後，將設置更改為中文後，再次啟動即可以看到右側的中文界面。

當數據分析使用時，一定要選擇計算機法證版用戶界面。簡化界面為 X-ways Investigator 用戶界面。

點擊確定後，將出現「General Options」對話框。此時軟件界面仍為英文。暫時關閉該對話框，選擇調用中文界面。

點擊菜單中的 |Help | Setup | Chinese,Please! ，軟件界面即轉為中文。如果將來需要使用英文界面，可用同樣方法轉換回來。

二、設置

使用X-ways Forensics進行各項操作之前，首先需要進行設置。點擊 |菜單|常規設置|，或直接按 F5 鍵，即可顯示常規設置對話窗。

保存臨時文件的目錄：當前設置默認保存臨時文件至C:\Documents and Settings\sprite\Local Settings\Temp。為便於管理臨時文件，我們為其新創建一個temp文件夾，本例為E:\xway\temp。

保存鏡像和備份文件的目錄：當前設置默認保存鏡像文件和備份文件至C:\Documents and Settings\sprite\Local Settings\Temp。為將來方便地調用和管理鏡像文件，我們為其新創建一個images文件夾，路徑為E:\xway\images。

保存案件和方案的目錄：當前系統默認保存為X-ways Forensics 的當前目錄下，本例為E:\xway目錄。由於將來創建的案件越來越多，這些案例文件保存在當前目錄下非常混亂，不易查找，因此，我們為其新創建一個案例文件夾，本例為E:\xway\case。

保存腳本的目錄：系統默認保存在X-ways Forensics 的當前目錄下，本例為E:\xway目錄。本手冊中不涉及腳本，無需改變。

保存哈希庫的目錄：系統默認哈希庫文件位置為E:\xway\HashDB。此目錄可由X-ways Forensics 自動創建和管理，無需改變。

註：如果在固定計算機中安裝使用X-ways Forensics，通過鮮鏨柚眉純墑褂謾?br> 如果在移動硬盤中使用X-ways Forensics，請確定路徑設置正確，並將上述路徑指向移動硬盤中的相應目錄。如果在光盤中使用X-ways Forensics，則一定要將路徑指向移動硬盤中的相應目錄。

第二章創建案件

一、創建新案件

開始數據分析，首先要創建案例，並將需要分析的存儲介質或者鏡像文件加載到案例中。X-ways Forensics軟件本身不會使數據內容產生變化。

在案件數據對話框中，可輸入案件名稱、案件描述、調查員、機構地址等輔助信息。案件名稱應使用英文或數字，否則案例日誌和報告中無法出現屏幕快照圖片。

為保障數據分析中顯示的時間正確，需在顯示時區中設置正確的時區信息。

案件創建日期將由X-ways Forensics依據系統時鐘自動創建。請確保當前計算機系統時間設置準確。

二、添加數據

創建案件後，需要添加所需獲取/分析的目標。可以添加物理存儲設備，如磁盤、光盤、USB移動存儲設備等，也可添加E01、DD磁盤鏡像，以及X-ways 自有的證據文件格式。

三、創建磁盤鏡像

創建磁盤鏡像，需在扇區察看方式下，選擇菜單中 | 文件| 創建磁盤鏡像|。

選擇鏡像文件格式，如E01磁盤鏡像，並指定保存位置。

創建鏡像文件過程中，將顯示複製進度。

操作結束，將生成TXT格式操作日誌，包含如磁盤參數、MD5值等信息。

第三章基本操作

一、瀏覽所有文件

如果需要顯示當前驅動器下所有文件，使用鼠標右鍵單擊驅動器圖標，選擇右鍵菜單中的展開目錄。文件瀏覽器中將顯示所選驅動器下所有文件列表。

取消全部文件顯示模式，使用鼠標左鍵單擊驅動器圖標。

二、文件瀏覽器菜單說明

過濾漏斗：過濾選項，灰色時表示未啟用；藍色時，表示應用了相應的過濾設置。本例中，由於對文件名稱欄目進行了過濾操作，文件名稱旁邊出現了一個「藍色漏斗」。

窗口文件數量：位於右上角，表示當前窗口顯示出的文件數量及總計文件數量。本例中，由於應用了過濾操作，窗口右上角數字含義為：應用過濾後，有170份文件符合過濾要求，有686份文件被過濾掉。如果沒有使用過濾，此處僅顯示文件總數量，即856份文件。

選擇文件數量：位於右下角，表示當前窗口選擇的文件數量及容量。本例中，選擇了5份文件，總計容量117KB。

文件標記：文件名稱前面的小方框為標記選框。可以手工為文件逐一添加標記，也可以通過鼠標右鍵中標記命令為所有選擇的文件添加標記。

註：對指定文件的導出、添加註釋、添加報告分類、創建哈希集，均可通過鼠標右鍵來實現。

磁盤快照時間：磁盤快照是X-ways Forensics的一個重要功能，用於對當前驅動器中的所有數據進行快速解析，如計算哈希值、分析丟失數據、拆解壓縮文件和電子郵件、加密文件檢測等。當對當前使用的物理磁盤進行分析時，如C盤，磁盤的數據可能會隨時發生改變，因此需要更新磁盤快照來保證案件中使用最新的數據。本例中，「20分鐘前」表示當前案件數據是20分鐘前製作的。可以通過F10更新磁盤快照。

三、更改文件瀏覽器顯示內容

文件瀏覽器顯示內容可以根據實際需要進行調整。通過Ctrl+F5，或菜單中|選項|目錄瀏覽器|，調用目錄瀏覽器過濾設置對話框。

設置顯示寬度：

數字=0，表示不顯示該欄目

數字>0，表示該欄目實際顯示的寬度

本例中，文件名稱欄目寬度為176點，文件類型欄目為65點，路徑等項目為0，表示不顯示。

當需要顯示更多未列出的欄目，如路徑、哈希值等，可將該欄目數值從0更改為50。數值可暫時設定，之後可利用鼠標將欄目調整至滿意寬度。如需隱藏某欄目，將該數值更改回0即可。

四、過濾

當使用某過濾條件時，例如：對文件名進行過濾，查找所有DOC文檔，只需點擊文件名稱右側的漏斗，輸入過濾條件*.DOC，點擊激活即可顯示過濾結果。文件名過濾支持多語種字符。如需取消某過濾條件，點擊禁用即可。

五、圖例說明

在文件瀏覽器中，會有一些不同的文件及圖標顯示方式，具體含義可以對照圖例說明察看相應說明。

本例中，password-123456.doc顯示為綠色，文件屬性為e!A，對照圖例說明，可知該文件為加密文件。當對該文件添加註釋後，文件名後顯示出一個紅色三角。15.DOC文件類型顯示為藍色JPG，表示該文件為簽名不匹配文件。

通過「磁盤快照」功能，可將當前案件中所有這些類別的文件判斷出來。

六、文件預覽

X-ways內置了強大的文件察看器，可以支持400種以上文件格式的查看。點擊預覽，即可逐一察看文件內容。

如果還沒有對案件數據進行磁盤快照，當瀏覽文件時，X-ways將自動對文件簽名、加密等狀態進行檢測。

第四章磁盤快照

創建案件，載入E01證據文件後，一般應首先進行磁盤快照。由於磁盤快照過程將會把案件中的所支持的壓縮文件、電子郵件及附件、刪除的數據解開及恢復出來，古經快照處理後得到的數據要比未進行磁盤快照的文件數量多。此時進行過濾和搜索，會得到更準確的結果。

每個任務前面的方框，經選取後顯示綠色對勾。

每個任務後面的方框，表示完成狀態。綠色對勾表示全部完成；實心綠框表示已完成了部分，但尚未全部完成。

開始進行磁盤快照，選中相應的選項，點擊確定即可。

任務說明：

依據文件系統搜索並恢複目錄及文件：將當前磁盤中的刪除、丟失文件全部恢復。

通過文件簽名搜索並恢覆文件：根據文件簽名值搜索特定類型格式文件，如：可以僅搜索並恢復doc格式文件。

計算哈希值：自動計算所有文件的哈希值。目錄、0字節文件沒有哈希值。算法支持MD5、SHA-1、SHA-256。

依據哈希庫對比哈希值：如果已經擁有完整的哈希庫，可在計算文件哈希值過程中，將哈希值與哈希庫中值比對，以確定文件哈希分類。例如，通過此選項排除已知的Windows系統文件。

依據文件簽名校驗文件真實類型：可判斷doc、jpg格式文件是否被改名或偽裝。

分析ZIP和RAR等壓縮文件中的數據：將壓縮文件釋放，並以虛擬目錄形式瀏覽。

導出電子郵件正文和附件：拆解電子郵件，將郵件正文與附件以虛擬形式顯示。

查找嵌入在正文內的圖片：可以將WORD、PPT等復合文件中的圖片抽取出來。

膚色圖片和黑白圖片檢測：用於檢測包含人體膚色特徵的圖片和其他黑白文字圖片。

加密文件檢測：用於檢測特定類型加密文件，如加密的DOC、XLS文件。首先，通過熵值檢測，自動對大於255 字節的文件進行檢測。如果熵值超過設定值，文件屬性標記為"e?" ，表明應仔細檢查該文件。例如：PGP Desktop, BestCrypt 或DriveCrypt 加密文件。熵值檢測不適用於ZIP, RAR, CAB, JPG, MPG 和SWF 等文件。其次、可檢測特定類型加密文件，如doc (MS Word 4至2003版)，xls (MS Excel 2至2003版)，ppt和pps (MS PowerPoint 97-2003)，mpp (MS Project 98-2003)，pdf (Adobe Acrobat)。如果為加密文件，文件屬性顯示 "e!" 。

更新快照：將當前案件中磁盤數據保持最新狀態。更新快照後，上述所有操作及搜索記錄等將全部被清空。

完成磁盤快照之後，如右圖顯示案件中數據增多，這時才能繼續進行過濾、搜索等操作。

第五章過濾

本說明中所有圖片均出自X-ways Forensics 13.8 版。

在X-ways Forensics 中，可方便地對各種類型的數據文件進行過濾操作。

一、按文件名稱過濾

可以使用通配符，針對特定文件名稱進行過濾。如搜索「*.DOC，*.HTM，收件箱*」等。使用通配符時，不能出現2個*。此種過濾方式，適用於對文件名，及單一文件類型過濾。速度快，準確率高。

例：如果需要查找文件內容包含「陳立康」的Word文件，可首先過濾出*.DOC文檔，然後全選、標記，並在標記文件中搜索關鍵詞「陳立康」即可。

二、按文件類型過濾

可按照設定的文件分類，對不同類型的文件進行過濾。通過此過濾方式，可以容易地將辦公文檔、圖形圖像、壓縮文件，以及各種重要數據，如註冊表文件、互聯網歷史記錄、回收站文件、打印池、Windows交換文件、日誌等，快速過濾出來。

文件過濾類型可以自定義擴充與修改。文件名為：File Type Categories.txt。最新文件類型過濾文件www.china-forensic.com/xways/downloads/FileType.rar。

使用方法：選擇相應文件類型，點擊激活。過濾前，應在磁盤快照中選擇依據文件簽名校驗文件真實類型，才能夠判斷出文件的真實類型。

三、按簽名狀態過濾

進行完整磁盤快照後，X-ways可依據文件簽名檢測每一個文件的簽名信息是否匹配。如果文件擴展名被改變，簽名狀態將顯示為簽名不匹配。通過選擇過濾選項中的文件簽名顯示狀態，可發現簽名匹配、不匹配的文件。

缺省狀態下，文件顯示為「簽名未校驗」。通過文件簽名校驗文件類型後：如果文件非常小，狀態被顯示為「無關的」；如果文件擴展名和文件簽名都未知，狀態被顯示為「不在列表中」；如果文件簽名和文件擴展名一致，狀態被顯示為「簽名匹配」；如果文件擴展名正確，但文件簽名未知，狀態顯示為「簽名未確認」；如果文件簽名和文件擴展名不匹配，或沒有文件擴展名，狀態顯示為「簽名不匹配」。

三、按文件大小過濾

根據文件的實際大小過濾，不包含殘留區數據。

第一選項，用於設定小於一定容量文件，如可查找小於1.2MB的文件；

第二選項，用於設定大於一定容量的文件，如可查找大於3.4KB的文件。

兩個選項同時使用，用於設定一定容量大小之間的文件。

四、按文件時間過濾

創建時間：當前磁盤中的文件和目錄的創建時間。

修改時間：當前磁盤中文件和目錄最後修改後的時間。

訪問時間：但前磁盤中文件和目錄的最後讀取或訪問的時間。

記錄更新時間：NTFS或Linux文件系統中，文件和目錄的最後修改時間。這是包含於文件元數據中的文件系統數據結構。

刪除時間：Linux系統下文件和目錄的刪除時間。

四、按文件屬性過濾

A = 文檔 R = 只讀
H = 隱含 S = 系統
P = 連接點
C = 文件系統級壓縮
c = ZIP, RAR等文件中壓縮
E = 文件系統級加密
e = ZIP, RAR中加密文件
e? = 可能是壓縮或加密的

第六章搜索

同步搜索，允許用戶指定一個搜索關鍵詞列表文件，每行設定一個搜索關鍵詞。所發現的搜索關鍵詞被保存在搜索列表中，或位置管理器中。同步搜索能夠以「物理搜索」和「邏輯搜索」兩種方式進行。物理搜索，通過扇區方式進行；邏輯搜索，通過文件方式進行。相比而言，邏輯搜索功能更強大，更徹底。

數據搜索時，可以同時使用Unicode (UCS-2LE)和代碼頁方式對相同的詞彙全面搜索。當前Windows系統默認代碼頁，被標記有星號，且被缺省採用。如美國和西歐的計算機，通常默認代碼頁為1252 ANSI Latin I。Microsoft Windows使用ANSI代碼頁。蘋果Macintosh使用MAC代碼頁。OEM表示DOS和Windows命令行中使用的代碼頁。如果搜索詞彙無法轉換為當前使用的代碼頁，搜索時將會出現提示信息。