⑴X-ways forensics是一款电子。这款软件能恢复已删除的文件,还能搜索到其他软件搜索不到的结果。软件具有自动识别丢失、删除的分区、多种恢复功能,可以对特定的文件类型恢复。而且可以装在U盘里随身携带。
⑵磁盘克隆和镜像功能,进行完整数据获取。
⑶可分析 RAW/dd/ISO/VHD/VMDK 格式原始数据镜像文件中的完整目录结构,x-ways forensics支持分段保存的镜像文件。
⑷支持磁盘,RAID,扇区大小为KB最大TB的镜像的完全访问。
⑸支持对JBOD、RAID、RAID 、RAID EE, RAID , Linux软RAID, Windows动态磁盘和LVM等磁盘阵列。
⑹自动识别丢失/删除的分区。
⑺支持FAT,FAT,FAT,exFAT,TFAT,NTFS,Ext,Ext,Ext,Next,CDFS/ISO/Joliet,UDF文件系统。
⑻无需修改原始硬盘或镜像纠正分区表或文件系统数据结构来解析文件系统。
⑼察看并获取 RAM和中的运行进程。
⑽多种数据恢复功能,可对特定文件类型恢复。
⑾基于GREP符号维护文件头签名数据库。
⑿支持种数据类型解释。
⒀使用模板查看和编辑二进制数据结构。
⒁数据擦除功能,可彻底清除存储介质中残留数据。
⒂可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙中信息。
⒃创建证据文件中的文件和目录列表。
⒄能够非常简单地发现并分析ADS数据(NTFS交换数据流)。
⒅支持多种哈希计算方法 (CRC,MD,edk,MD,SHA-,SHA-,RipeMD)。
⒆强大的物理搜索和逻辑搜索功能,可同时搜索多个关键词。
⒇在NTFS卷中为文件记录数据结构自动加色。
⒈可以运行在Windows FE中等Windows环境。
⒉配合F-Response可进行远程计算机分析。
⒊、查看Windows事件日志文件(.EVT,.EVTX),Windows快捷方式(.LNK)文件,Windows预读取文件,$LogFile,$UsnJrnl,还原点change.log,Windows任务计划程序(.job),$EFS LUS, INFO,还原点change.log.,wtmp/utmp/btmp log-in records登录记录,MacOS X系统kcpassword,AOL-PFC,OutlookNK自动完成文件,Outlook的WAB地址簿,IEtravellog(又名RecoveryStore),IE浏览器index.dat历史记录和浏览器缓存数据库,SQLite数据库,如Firefox浏览历史,Firefox下载,Firefox表单历史,Firefox插件,Chrome的cookie,Chrome历史归档,Chrome历史记录,Chrome登录数据,Chrome网页数据,Safari浏览器缓存,Safarifeeds,Skype联系人和文件传输的main.db数据库等等;
⒋、提取元数据,并从各种文件类型的内部创建时间戳,x-ways forensics官方版允许通过他们过滤,如MS Office,OpenOffice,StarOffice,HTML,MDI,PDF,RTF,WRI,AOL,PFC,ASF,WMV,WMA,MOV,AVI,WAV, MP,GP,MV,MA,JPEG,BMP,THM,TIFF,GIF,PNG,GZ,ZIP,PF,IEcookies,DMP内存转储,hiberfil.sys,PNF,SHD和SPL打印机后台的Tracking.log, MDB,MS Aess数据库,manifest.mbdx/.mbdb iPhone备份;
⒌、可以从任何其他类型的文件中提取几乎任何一种嵌入式文件(包括图片),从JPEG和缩略图缓存中提取缩略图,从跳转列表中提取.lnl快捷方式,从Windows.edb、浏览器缓存中提取各种数据,,从SQLite数据库表中提取PLists,从OLE和PDF文档中的提取杂项元素等等。
⒍、具有智能压缩功能的高效磁盘镜像;
⒎、能够读取、创建.e 证据文件,可对证据文件进行 位AES加密;
⒏、完整的案例管理功能;
⒐、自动创建软件操作日志 (审计日志);
⒑、数据写保护功能,确保数据真实性;
⒒、在网络环境中具有远程磁盘分析能力。