X-Ways Forensics(取證分析軟件)

X-Ways Forensics中文版是一款取證分析軟件，軟件功能性強大，分析數(shù)據(jù)準確率高，軟件內置Windows注冊表查看器，支持各種版本的windows操作系統(tǒng)，同時還支持恢復上次窗口狀態(tài)、最大化編輯窗口、在cfg文件中保存程序設置、根據(jù)磁盤中的位置排序分區(qū)、自動檢測刪除的分區(qū)、改變磁盤訪問方式等多種功能。除此之外，X-Ways Forensics中文版可隨身攜帶，能夠通過U盤在任意Windows操作系統(tǒng)下使用，無需安裝。X-Ways Forensics中文版能通過MPlayer或Forensic Framer，根據(jù)用戶自定義的時間間隔，從視頻文件中提取靜態(tài)圖像，這樣就能在必須查看不恰當或非法內容時大大減少要查看的數(shù)據(jù)。非常的實用方便，感興趣的用戶可以下載體驗一下試試看哦！

X-Ways Forensics(取證分析軟件)特色

1、德國數(shù)據(jù)分析軟件，數(shù)據(jù)恢復軟件，十六進制編輯器和磁盤編輯器。
2、用于取證搜集、數(shù)據(jù)恢復、文件分析和編輯、底層數(shù)據(jù)處理和安全領域收集文件報告。
3、預設winhex.cfg配置，默認啟動簡體中文，
4、xwforensics.exe重命名winhex.exe，軟件啟動也就是WinHex
5、重置選項臨時路徑X-Ways Forensics（法證授權版）包括MPlayer + 查看器組件。
6、Forensics提供了專家許可后的WinHex之外許多其它高級功能。7、包含插件：MPlayer 2018 x64
8、包含插件：Outside In Viewer v8.5.4
9、含WinHex Forensic Editon x86/x64

軟件功能

1、記錄并追蹤已瀏覽的文件。
2、把源文件鏈接到外部文件，例如，原文件的翻譯版、解密版或更改后的版本。
3、能夠分析檢查抽取出的電子郵件數(shù)據(jù)，支持Outlook (PST/OST)注, Exchange EDB, Outlook Express (DBX), AOL PFC, Mozilla (包括 Thunderbird), generic mailbox (mbox, Unix), MSG, EML。
4、生成一個功能強大的事件列表，生成該列表的時間戳來自：所有支持的文件系統(tǒng)，操作系統(tǒng)（包括事件日志，注冊表，回收站等），文件內容（例如，郵件頭，exif時間戳，GPS時間戳，最后打印時間；瀏覽器數(shù)據(jù)庫，skype 聊天記錄，通話記錄，文件傳輸記錄，創(chuàng)建的賬戶信息……）。
5、在分析中引入時間的緯度，按照時間順序展示事件發(fā)展延伸的整個過程。在時間線中，事件以圖形顯示，可方便地查看某活動在哪個時間段活躍，哪個時間段不活躍。只需點擊鼠標即可快速過濾某個時間段的事件。
6、擁有基于簽名和專門算法的文件類型自動驗證功能。
7、可標記文件，并將所標記的文件添加至自定義案件報告中。
8、自動生成HTML格式案件報告，可以用Word查看并編輯。
9、案件報告中可關聯(lián)文件注釋或過濾信息。
10、軟件窗口左側顯示目錄數(shù)結構，能夠瀏覽并標記相關目錄及子目錄。
11、在扇區(qū)視圖模式下，可同步顯示對應扇區(qū)的文件和目錄。
12、強大的動態(tài)過濾功能，能以文件類型、哈希庫、時間、文件大小、注釋、報告表等方式組合進行文件過濾。
13、通過遞歸瀏覽功能，同時顯示所有目錄下的文件和刪除數(shù)據(jù)。
14、能從硬盤或者硬盤鏡像中復制文件，內容可包含相應文件的完整路徑，還可包含或排除文件閑置區(qū)域的數(shù)據(jù)，或將文件閑置區(qū)域的數(shù)據(jù)單獨導出或全部導出。

軟件優(yōu)勢

1、書簽和注釋。
2、支持20種數(shù)據(jù)類型解釋。
3、自動識別丟失/刪除的分區(qū)。
4、創(chuàng)建證據(jù)文件中的文件和目錄列表。
5、使用模板查看和編輯二進制數(shù)據(jù)結構。
6、磁盤克隆和鏡像功能，進行完整數(shù)據(jù)獲取。
7、數(shù)據(jù)擦除功能，可徹底清除存儲介質中殘留數(shù)據(jù)。
8、在NTFS卷中為文件記錄數(shù)據(jù)結構自動加色。
9、可以運行在Windows FE中等Windows環(huán)境。
10、配合F-Response可進行遠程計算機分析。
11、可從磁盤或鏡像文件中收集殘留空間、空余空間、分區(qū)空隙中信息。
12、強大的物理搜索和邏輯搜索功能，可同時搜索多個關鍵詞。
13、查看并獲取 RAM和虛擬內存中的運行進程。
14、多種數(shù)據(jù)恢復功能，可對特定文件類型恢復。
15、基于GREP符號維護文件頭簽名數(shù)據(jù)庫。
16、能夠非常簡單地發(fā)現(xiàn)并分析ADS數(shù)據(jù)（NTFS交換數(shù)據(jù)流)。
17、支持多種哈希計算方法 (CRC32, MD4, ed2k, MD5,SHA-1, SHA-256, RipeMD...)。
18、無需修改原始硬盤或鏡像糾正分區(qū)表或文件系統(tǒng)數(shù)據(jù)結構來解析文件系統(tǒng)。
19、可分析 RAW/dd/ISO/VHD/VMDK 格式原始數(shù)據(jù)鏡像文件中的完整目錄結構，支持分段保存的鏡像文件。
20、支持磁盤，RAID,扇區(qū)大小為8KB最大2TB的鏡像的完全訪問。
21、支持對JBOD、RAID0、RAID 5、RAID 5EE, RAID 6, Linux軟RAID, Windows動態(tài)磁盤和LVM2等磁盤陣列。
22、支持FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDF文件系統(tǒng)。