X-Ways Forensics 快速入门
第一章 配置软件
X-way Forensics软件可以通过setup.exe安装配置后使用,也可以通过运行
xwforensics.exe直接使用。具体使用方法可根据用户习惯来选择。但通常来说,直接运行最为方便。
软件使用中,保存有X-way Forensics软件临时文件和案例文件的分区将作为默认的数据输出路径,即只有该分区被允许写入数据。因此,在选择X-way Forensics软件使用分区时,需要考虑好下一步数据分析的实际情况。建议选择容量较大,数据较少的分区。 使用软件前,请预先X-ways目录下建立如下三个文件夹,分别用于保存案例文件、镜像文件和临时文件。文件夹名称也可自定义。
一、第一次使用X-ways
运行X-ways Forensic软件后,软件首次启动,出现英文用户界面。当进入软件后,将设置更改为中文后,再次启动即可以看到右侧的中文界面。
当数据分析使用时,一定要选择计算机法证版用户界面。简化界面为 X-ways Investigator 用户界面。
点击确定后,将出现 “General Options”对话框。此时软件界面仍为英文。暂时关闭该对话框,选择调用中文界面。
点击菜单中的 |Help | Setup | Chinese,Please! ,软件界面即转为中文。如果将来需要使用英文界面,可用同样方法转换回来。
二、设置
使用X-ways Forensics进行各项操作之前,首先需要进行设置。点击 |菜单|常规设置|,或直接按 F5 键,即可显示常规设置对话窗。
保存临时文件的目录:当前设置默认保存临时文件至C:\\Documents and
Settings\\sprite\\Local Settings\\Temp。为便于管理临时文件,我们为其新创建一个temp文件夹,本例为E:\\xway\\temp。
保存镜像和备份文件的目录:当前设置默认保存镜像文件和备份文件至C:\\Documents and Settings\\sprite\\Local Settings\\Temp。为将来方便地调用和管理镜像文件,我们为其新创建一个images文件夹,路径为E:\\xway\\images。
保存案件和方案的目录:当前系统默认保存为X-ways Forensics 的当前目录下,本例为E:\\xway目录。由于将来创建的案件越来越多,这些案例文件保存在当前目录下非常混乱,不易查找,因此,我们为其新创建一个案例文件夹,本例为E:\\xway\\case。
保存脚本的目录:系统默认保存在X-ways Forensics 的当前目录下,本例为E:\\xway目录。本手册中不涉及脚本,无需改变。
保存哈希库的目录:系统默认哈希库文件位置为E:\\xway\\HashDB。此目录可由X-ways Forensics 自动创建和管理,无需改变。
注:如果在固定计算机中安装使用X-ways Forensics,通过鲜錾柚眉纯墒褂谩?br> 如果在移动硬盘中使用X-ways Forensics,请确定路径设置正确,并将上述路径指向移动硬盘中的相应目录。如果在光盘中使用X-ways Forensics,则一定要将路径指向移动硬盘中的相应目录。
第二章 创建案件
一、创建新案件
开始数据分析,首先要创建案例,并将需要分析的存储介质或者镜像文件加载到案例中。X-ways Forensics软件本身不会使数据内容产生变化。
在案件数据对话框中,可输入案件名称、案件描述、调查员、机构地址等辅助信息。案件名称应使用英文或数字,否则案例日志和报告中无法出现屏幕快照图片。
为保障数据分析中显示的时间正确,需在显示时区中设置正确的时区信息。
案件创建日期将由X-ways Forensics依据系统时钟自动创建。请确保当前计算机系统时间设置准确。 二、添加数据
创建案件后,需要添加所需获取/分析的目标。可以添加物理存储设备,如磁盘、光盘、USB移动存储设备等,也可添加E01、DD磁盘镜像,以及X-ways 自有的证据文件格式。