搜索
WINHEX快速入门这个快速入门本人已经写完很久了,准备随着新版本推出逐步更新,加入一些最新功能介绍。喜欢X-WaysForensics的朋友们可以关注一下。第一章配置软件X-wayForensics软件可以通过setup.exe安装配置后使用,也可以通过运行xwforensics.exe直接使用。具体使用方法可根据用户习惯来选择。但通常来说,直接运行最为方便。软件使用中,保存有X-wayForensics软件临时文件和案例文件的分区将作为默认的数据输出路径,即只有该分区被允许写入数据。因此,在选择X-wayForensics软件使用分区时,需要考虑好下一步数据分析的实际情况。建议选择容量较大,数据较少的分区。使用软件前,请预先X-ways目录下建立如下三个文件夹,分别用于保存案例文件、镜像文件和临时文件。文件夹名称也可自定义一、第一次使用X-ways运行X-waysForensic软件后,软件首次启动,出现英文用户界面。当进入软件后,将设置更改为中文后,再次启动即可以看到右侧的中文界面。当数据分析使用时,一定要选择计算机法证版用户界面。简化界面为X-waysInvestigator用户界面。点击确定后,将出现“GeneralOptions”对话框。此时软件界面仍为英文。暂时关闭该对话框,选择调用中文界面。点击菜单中的|Help|Setup|Chinese,Please!,软件界面即转为中文。如果将来需要使用英文界面,可用同样方法转换回来。二、设置使用X-waysForensics进行各项操作之前,首先需要进行设置。点击|菜单|常规设置|,或直接按F5键,即可显示常规设置对话窗。保存临时文件的目录:当前设置默认保存临时文件至C:\DocumentsandSettings\sprite\LocalSettings\Temp。为便于管理临时文件,我们为其新创建一个temp文件夹,本例为E:\xway\temp。保存镜像和备份文件的目录:当前设置默认保存镜像文件和备份文件至C:\DocumentsandSettings\sprite\LocalSettings\Temp。为将来方便地调用和管理镜像文件,我们为其新创建一个images文件夹,路径为E:\xway\images。保存案件和方案的目录:当前系统默认保存为X-waysForensics的当前目录下,本例为E:\xway目录。由于将来创建的案件越来越多,这些案例文件保存在当前目录下非常混乱,不易查找,因此,我们为其新创建一个案例文件夹,本例为E:\xway\case。保存脚本的目录:系统默认保存在X-waysForensics的当前目录下,本例为E:\xway目录。本手册中不涉及脚本,无需改变。保存哈希库的目录:系统默认哈希库文件位置为E:\xway\HashDB。此目录可由X-waysForensics自动创建和管理,无需改变。注:如果在固定计算机中安装使用X-waysForensics,请确定路径设置正确,并将上述路径指向移动硬盘中的相应目录。如果在光盘中使用X-waysForensics,则一定要将路径指向移动硬盘中的相应目录第二章创建案件一、创建新案件开始数据分析,首先要创建案例,并将需要分析的存储介质或者镜像文件加载到案例中。X-waysForensics软件本身不会使数据内容产生变化在案件数据对话框中,可输入案件名称、案件描述、调查员、机构地址等辅助信息。案件名称应使用英文或数字,否则案例日志和报告中无法出现屏幕快照图片为保障数据分析中显示的时间正确,需在显示时区中设置正确的时区信息。案件创建日期将由X-waysForensics依据系统时钟自动创建。请确保当前计算机系统时间设置准确。二、添加数据创建案件后,需要添加所需获取/分析的目标。可以添加物理存储设备,如磁盘、光盘、USB移动存储设备等,也可添加E01、DD磁盘镜像,以及X-ways自有的证据文件格式。三、创建磁盘镜像创建磁盘镜像,需在扇区察看方式下,选择菜单中|文件|创建磁盘镜像|。选择镜像文件格式,如E01磁盘镜像,并指定保存位置创建镜像文件过程中,将显示复制进度。操作结束,将生成TXT格式操作日志,包含如磁盘参数、MD5值等信息。第三章基本操作一、浏览所有文件如果需要显示当前驱动器下所有文件,使用鼠标右键单击驱动器图标,选择右键菜单中的展开目录。文件浏览器中将显示所选驱动器下所有文件列表。取消全部文件显示模式,使用鼠标左键单击驱动器图标。二、文件浏览器菜单说明过滤漏斗:过滤选项,灰色时表示未启用;蓝色时,表示应用了相应的过滤设置。本例中,由于对文件名称栏目进行了过滤操作,文件名称旁边出现了一个“蓝色漏斗”。窗口文件数量:位于右上角,表示当前窗口显示出的文件数量及总计文件数量。本例中,由于应用了过滤操作,窗口右上角数字含义为:应用过滤后,有170份文件符合过滤要求,有686份文件被过滤掉。如果没有使用过滤,此处仅显示文件总数量,即856份文件。选择文件数量:位于右下角,表示当前窗口选择的文件数量及容量。本例中,选择了5份文件,总计容量117KB。文件标记:文件名称前面的小方框为标记选框。可以手工为文件逐一添加标记,也可以通过鼠标右键中标记命令为所有选择的文件添加标记。注:对指定文件的导出、添加注释、添加报告分类、创建哈希集,均可通过鼠标右键来实现。磁盘快照时间:磁盘快照是X-waysForensics的一个重要功能,用于对当前驱动器中的所有数据进行快速解析,如计算哈希值、分析丢失数据、拆解压缩文件和电子邮件、加密文件检测等。当对当前使用的物理磁盘进行分析时,如C盘,磁盘的数据可能会随时发生改变,因此需要更新磁盘快照来保证案件中使用最新的数据。本例中,“20分钟前”表示当前案件数据是20分钟前制作的。可以通过F10更新磁盘快照。三、更改文件浏览器显示内容文件浏览器显示内容可以根据实际需要进行调整。通过Ctrl+F5,或菜单中|选项|目录浏览器|,调用目录浏览器过滤设置对话框。设置显示宽度:数字=0,表示不显示该栏目数字0,表示该栏目实际显示的宽度本例中,文件名称栏目宽度为176点,文件类型栏目为65点,路径等项目为0,表示不显示。当需要显示更多未列出的栏目,如路径、哈希值等,可将该栏目数值从0更改为50。数值可暂时设定,之后可利用鼠标将栏目调整至满意宽度。如需隐藏某栏目,将该数值更改回0即可。四、过滤当使用某过滤条件时,例如:对文件名进行过滤,查找所有DOC文档,只需点击文件名称右侧的漏斗,输入过滤条件*.DOC,点击激活即可显示过滤结果。文件名过滤支持多语种字符。如需取消某过滤条件,点击禁用即可。五、图例说明在文件浏览器中,会有一些不同的文件及图标显示方式,具体含义可以对照图例说明察看相应说明。本例中,password-123456.doc显示为绿色,文件属性为e!A,对照图例说明,可知该文件为加密文件。当对该文件添加注释后,文件名后显示出一个红色三角。15.DOC文件类型显示为蓝色JPG,表示该文件为签名不匹配文件。通过“磁盘快照”功能,可将当前案件中所有这些类别的文件判断出来。六、文件预览X-ways内置了强大的文件察看器,可以支持400种以上文件格式的查看。点击预览,即可逐一察看文件内容。如果还没有对案件数据进行磁盘快照,当浏览文件时,X-ways将自动对文件签名、加密等状态进行检测。第三章磁盘快照创建案件,载入E01证据文件后,一般应首先进行磁盘快照。由于磁盘快照过程将会把案件中的所支持的压缩文件、电子邮件及附件、删除的数据解开及恢复出来,古经快照处理后得到的数据要比未进行磁盘快照的文件数量多。此时进行过滤和搜索,会得到更准确的结果。每个任务前面的方框,经选取后显示绿色对勾。每个任务后面的方框,表示完成状态。绿色对勾表示全部完成;实心绿框表示已完成了部分,但尚未全部完成。开始进行磁盘快照,选中相应的选项,点击确定即可。任务说明:依据文件系统搜索并恢复目录及文件:将当前磁盘中的删除、丢失文件全部恢复。通过文件签名搜索并恢复文件:根据文件签名值搜索特定类型格式文件,如:可以仅搜索并恢复doc格式文件。计算哈希值:自动计算所有文件的哈希值。目录、0字节文件没有哈希值。算法支持MD5、SHA-1、SHA-256。依据哈希库对比哈希值:如果已经拥有完整的哈希库,可在计算文件哈希值过程中,将哈希值与哈希库中值比对,以确定文件哈希分类。例如,通过此选项排除已知的Windows系统文件。依据文件签名校验文件真实类型:可判断doc、jpg格式文件是否被改名或伪装。分析ZIP和RAR等压缩文件中的数据:将压缩文件释放,并以虚拟目录形式浏览。导出电子邮件正文和附件:拆解电子邮件,将邮件正文与附件以虚拟形式显示。查找嵌入在正文内的图片:可以将WORD、PPT等复合文件中的图片抽取出来。肤色图片和黑白图片检测:用于检测包含人体肤色特征的图片和其他黑白文字图片。加密文件检测:用于检测特定类型加密文件,如加密的DOC、XLS文件。首先,通过熵值检测,自动对大于255字节的文件进行检测。如果熵值超过设定值,文件属性标记为e?,表明应仔细检查该文件。例如:PGPDesktop,BestCrypt或DriveCrypt加密文件。熵值检测不适用于ZIP,RAR,CAB,JPG,MPG和SWF等文件。其次、可检测特定类型加密文件,如doc(MSWord4至2003版),xls(MSExcel2至2003版),ppt和pps(MSPowerPoint97-2003),mpp(MSProject98-2003),pdf(AdobeAcrobat)。如果为加密文件,文件属性显示e!。更新快照:将当前案件中磁盘数据保持最新状态。更新快照后,上述所有操作及搜索记录等将全部被清空。完成磁盘快照之后,如右图显示案件中数据增多,这时才能继续进行过滤、搜索等操作。第五章过滤本说明中所有图片均出自X-waysForensics13.8版。在X-waysForensics中,可方便地对各种类型的数据文件进行过滤操作。一、按文件名称过滤可以使用通配符,针对特定文件名称进行过滤。如搜索“*.DOC,*.HTM,收件箱*”等。使用通配符时,不能出现2个*。此种过滤方式,适用于对文件名,及单一文件类型过滤。速度快,准确率高。例:如果需要查找文件内容包含“陈立康”的Word文件,可首先过滤出*.DOC文档,然后全选、标记,并在标记文件中搜索关键词“陈立康”即可。二、按文件类型过滤可按照设定的文件分类,对不同类型的文件进行过滤。通过此过滤方式,可以容易地将办公文档、图形图像、压缩文件,以及各种重要数据,如注册表文件、互联网历史记录、回收站文件、打印池、Windows交换文件、日志等,快速过滤出来。文件过滤类型可以自定义扩充与修改。文件名为:FileTypeCategories.txt。。使用方法:选择相应文件类型,点击激活。过滤前,应在磁盘快照中选择依据文件签名校验文件真实类型,才能够判断出文件的真实类型。三、按签名状态过滤进行完整磁盘快照后,X-ways可依据文件签名检测每一个文件的签名信息是否匹配。如果文件扩展名被改变,签名状态将显示为签名不匹配。通过选择过滤选项中的文件签名显示状态,可发现签名匹配、不匹配的文件。缺省状态下,文件显示为“签名未校验”。通过文件签名校验文件类型后:如果文件非常小,状态被显示为“无关的”;如果文件扩展名和文件签名都未知,状态被显示为“不在列表中”;如果文件签名和文件扩展名一致,状态被显示为“签名匹配”;如果文件扩展名正确,但文件签名未知,状态显示为“签名未确认”;如果文件签名和文件扩展名不匹配,或没有文件扩展名,状态显示为“签名不匹配”三、按文件大小过滤根据文件的实际大小过滤,不包含残留区数据。第一选项,用于设定小于一定容量文件,如可查找小于1.2MB的文件;第二选项,用于设定大于一定容量的文件,如可查找大于3.4KB的文件。两个选项同时使用,用于设定一定容量大小之间的文件。四、按文件时间过滤创建时间:当前磁盘中的