案件取证操作X-WaysForensics使用软件介绍X-WaysForensics是WinHex软件法政版,也是一款应用较为广泛的,运行与Windows环境的取证分析软件。以下以本课案例说明Tom利用该软件进行取证分析的常用操作。环境设置X-wayForensics软件可以通过setup.exe安装配置后使用,也可以通过运行xwforensics.exe直接使用。具体使用方法可根据用户习惯来选择。但通常来说,直接运行最为方便。通常,取证调查人员在使用X-WaysForensics时需要对工作环境按照自己的工作习惯和要求进行一些设置。环境设置软件使用中,保存有X-wayForensics软件临时文件和案例文件的分区将作为默认的数据输出路径,即只有该分区被允许写入数据。因此,在选择X-wayForensics软件使用分区时,需要考虑好下一步数据分析的实际情况。建议选择容量较大,数据较少的分区。环境设置使用软件前,调查人员Tom通常需要预先建立“cases”、“temp”、“images”和“scripts”四个文件夹,分别用于保存案例文件、临时文件、镜像文件和脚本文件,并在软件设置中对该四个文件夹的路径进行指定。环境设置使用X-waysForensics进行各项操作之前,首先需要进行设置。点击菜单中的“Options-General…”键,即可显示常规设置对话窗。环境设置在该对话框中有5个重要的软件工作目录需要设置:保存临时文件的目录:默认保存临时文件至C:\DocumentsandSettings\sprite\LocalSettings\Temp。为便于管理临时文件,通常为其新创建一个temp文件夹,本例中Tom将其指定为E:\X-Ways\temp;环境设置在该对话框中有5个重要的软件工作目录需要设置:保存镜像和备份文件的目录:设置默认保存镜像文件和备份文件至C:\DocumentsandSettings\sprite\LocalSettings\Temp。为将来方便地调用和管理镜像文件,通常需要为其新创建一个images文件夹,本例中Tom将其指定为E:\X-Ways\images;环境设置在该对话框中有5个重要的软件工作目录需要设置:保存案件和方案的目录:默认保存为X-waysForensics的当前目录下,由于调查人员创建的案件越多,这些案例文件保存在当前目录下就会越混乱,不易查找,因此,Tom为其新创建一个案例文件夹,并指定为E:\X-Ways\cases;环境设置在该对话框中有5个重要的软件工作目录需要设置:保存脚本的目录:默认保存在X-waysForensics的当前目录下,基于便于管理的原因,Tom将其指定为E:\X-Ways\scripts;保存哈希库的目录:默认哈希库文件位置为E:\xway\HashDB。此目录可由X-waysForensics自动创建和管理,也可通过调查人员指定,本例中Tom将其指定为E:\X-Ways\HashDB。环境设置环境设置注:如果在固定计算机中安装使用X-waysForensics,通过上述设置即可使用。如果在移动硬盘中使用X-waysForensics,请确定路径设置正确,并将上述路径指向移动硬盘中的相应目录。如果在光盘中使用X-waysForensics,则一定要将路径指向移动硬盘中的相应目录。。创建案件Tom启动X-WaysForensics,并在CaseData栏的菜单中选择“File-CreateNewCase”。创建案件Tom在随后出现的案件数据对话框中,输入案件编号、案件描述、调查员、机构地址等辅助信息(案件名称应使用英文或数字,以避免案例日志和报告中无法出现屏幕快照图片的情况)。创建案件为保障数据分析中显示的时间正确,Tom点击“Displaytimezone…”按钮,并在随后出现的时区选择对话框中选择正确的时区。(案件创建日期将由X-waysForensics依据系统时钟自动创建,因此创建案例前应确保当前取证工作计算机系统时间设置的准确)。创建案件新案例创建完成后,在CaseData栏出现了刚刚创建的案例。利用X-Ways进行取证复制Tom在CaseData栏中选择“File-AddMedium”,添加所需获取Adam办公计算机硬盘。利用X-Ways进行取证复制在随后出现的磁盘介质选择对话框中选择需要复制的源物理磁盘。利用X-Ways进行取证复制磁盘加载后,出现该磁盘的结构分析。利用X-Ways进行取证复制Tom在加载了源物理磁盘后,在X-WaysForesics的菜单中选择“File-CreateDiskImage…”,进行制作该源磁盘的取证复制镜像。利用X-Ways进行取证复制随后Tom在磁盘镜像创建对话框中选择镜像文件格式为“E01”、确定镜像文件名和存放路径、镜像描述、计算Hash码的格式“SHA-1”以及镜像文件长度等信息。利用X-Ways进行取证复制在点击“Ok”后,X-WaysForensics开始为Adam的办公计算机磁盘制作取证备份镜像。利用X-Ways进行取证复制镜像制作完成后出现提醒对话框。并且出现该镜像Hash码的计算结果利用X-Ways进行取证复制在该镜像的目的文件夹中,存储了分卷的Adam办公计算机磁盘的取证镜像。添加原始证据取证分析的原始证据可能是一个物理的计算机磁盘、U盘、各种存储卡以及它们的取证镜像等等。在本例中Tom需要将业已获取的Adam办公计算机磁盘的取证镜像添加进案例中。添加原始证据需要添加原始证据时,可选择CaseDate栏菜单中的“File”按钮“AddMedium…”:通常用以向案例中添加物理磁盘驱动器;“AddImage…”:向案例中添加磁盘镜像文件;“AddFile…”:向案例中添加单个文件。由于Tom已经制作了Adam办公计算机磁盘的取证镜像,因此选择“AddImage…”,并选择好镜像文件,添加到案例中。验证原始证据添加原始证据后,首先需要确保证据没有被改变,即需要验证证据。双击添加的镜像,验证镜像中的指纹是否正确。基本界面和操作刚加入案件的磁盘镜像,没有磁盘文件目录树,如果需要显示驱动器下所有文件,应在右边视图栏的上方,使用鼠标右击磁盘镜像图标,选择右键菜单中的“AddAllPartitionsToCase”展开目录基本界面和操作若调查时仅需要显示出某个目录下的所有文件,则选中需要浏览的目录或驱动器,然后点击文件浏览工作区下方的显示所有文件的按钮。基本界面和操作过滤漏斗:当工作区左上角出现蓝色的漏斗时,表示目前应用了过滤文件的设置,点击该漏斗可以调出文件过滤对话框对过滤条件进行修改。基本界面和操作窗口文件数量:位于右上角,表示当前窗口显示出的文件数量及总计文件数量。本例中,由于应用了过滤操作,窗口右上角数字含义为:应用过滤后,有16份文件符合过滤要求,有46份文件被过滤掉。如果没有使用过滤,此处仅显示文件总数量,即62份文件。基本界面和操作选择文件数量:位于右下角,表示当前窗口选择的文件数量及容量。本例中,选择了3份文件,总计容量31.3MB。基本界面和操作文件标记:文件名称前面的小方框为标记选框。可以手工为文件逐一添加标记,也可以通过右键菜单中的“Tag”命令为所选文件添加标记。过滤文件根据案件性质,通过设置适合的过滤器对文件进行过滤,从而提高调查效率,是调查分析人员的基本技能。在X-waysForensics中,通过点击过滤漏斗(如果未出现蓝色漏斗图标可以点击文件浏览工作区左上角的“/”图标)可以打开过滤器设置对话框。过滤文件在过滤器设置对话框的右边列出了一系列常用的过滤和显示项,对于每一项均设置有一个输入栏,如果其中的数字为0,就表示不显示该栏目,而如果其中的数字0,则表示显示该栏目,并且按照该栏中的数字来设置实际显示的宽度。通常,如果需显示未列出的栏目,可将该栏目数值从0更改为50进行暂时的设定,之后可利用鼠标将相应的栏目调整至满意宽度。过滤文件在对话框右边的系列项目中,有部分项目的最右边具有漏斗按钮,当某个或某些漏斗按钮处于按下状态并变为蓝色时,表明对应的项已经设置了过滤条件。调查者可以点击漏斗按钮来设置和组织单项或复合的过滤条件。过滤文件例如Tom点击“Filename”栏对应的漏斗按钮,就调出文件名过滤对话框。Tom可以在该对话框中设置文件名过滤条件,并点击“Activate”按钮激活该过滤条件。图例说明在文件浏览工作区中,会有一些不同的文件及图标显示方式,具体含义可点击工作区下方的“Legend”按钮,调出图例说明随时进行察看。图例说明其中较为常见和重要的图例和符号如下:文件/文件夹图标:•:现有目录;•:为分析需要虚拟出的目录;•:已删除的目录,通常可成功恢复;•:已删除的目录,未发现首簇;•:根目录;图例说明其中较为常见和重要的图例和符号如下:文件/文件夹图标:•:现存在的文件;•:为分析需要虚拟出的文件;•:已删除的文件,通常可成功恢复;•:已删除的文件,未发现首簇;图例说明其中较为常见和重要的图例和符号如下:文件属性符号:•A:文档•R:只读•H:隐含•S:系统•C:文件系统级压缩•c:压缩文件图例说明其中较为常见和重要的图例和符号如下:文件属性符号:•E:文件系统级加密•e:压缩文件中的加密•e!:特定文件类型加密•e?:加密的可能性较大预览文件X-Ways内置了较强的文件察看器,初始可支持几百种文件格式的查看。点击文件浏览工作区下方的“Preview”按钮,当在文件浏览工作区选择某个文件时,即可在界面右下部分察看文件的内容。如果预览文件时,还未对案件数据进行磁盘快照,那么X-Ways将自动对文件签名、加密等状态进行检测。进行磁盘快照调查人员创建案件,并载入磁盘镜像后,通常首先进行磁盘快照。由于磁盘快照过程将会把案件中的所支持的压缩文件、电子邮件及附件、删除的数据解开及恢复出来,因此快照处理后得到的数据要比未进行磁盘快照的文件数量多。此时进行过滤和搜索,会得到更为准确的结果。进行磁盘快照Tom在将Adam的办公计算机磁盘镜像加载到案件中后,在X-WaysForensics的菜单中选择“Specialist-RefineVolumeSnapshot…”,弹出磁盘快照对话框。进行磁盘快照每个任务前面的方框表示是否选取该项,后面的方框表示完成的状态。绿色对勾表示全部完成;实心绿框表示已完成了部分,但尚未全部完成。进行磁盘快照Particularlythoroughfilesystemstructuresearch:依据文件系统搜索并恢复目录及文件,将当前磁盘中的删除、丢失文件全部恢复。进行磁盘快照Fileheadersignaturesearch:依据文件头特征搜索文件。进行磁盘快照Computehash:计算哈希值,自动计算所有文件的哈希值。目录和0字节文件没有哈希值。算法支持MD5、SHA-1、SHA-256。勾选此项后,会出现一个选择框,进行是否对Hash库进行匹配进行选择。如果调查时已经拥有了完整的哈希库,可在计算文件哈希值过程中,将哈希值与哈希库中值比对,以确定文件哈希分类。例如,通过此选项排除已知的Windows系统文件。进行磁盘快照Verifyfiletypesbasedonsignatures:依据文件签名校验文件真实类型:可判断doc、jpg等格式的文件是否被改名或进行了伪装。进行磁盘快照ExploreandincludecontentsofZIPandRARarchivesetc.:分析ZIP和RAR等压缩文件中的数据。如果选中该项,会出现另一个选项“Treatarchiveslikedirectoriesafterwards”,如果勾选该项,则将压缩文件释放,并以虚拟目录形式浏览。进行磁盘快照SearchforJPEGandPNGpicturesembeddedin…:查找嵌入在正文内的图片,可将