二、文件浏览器菜单说明
过滤漏斗:过滤选项,灰色时表示未启用;蓝色时,表示应用了相应的过滤设置。本例中,由于对文件名称栏目进行了过滤操作,文件名称旁边出现了一个“蓝色漏斗”。
窗口文件数量:位于右上角,表示当前窗口显示出的文件数量及总计文件数量。本例中,由于应用了过滤操作,窗口右上角数字含义为:应用过滤后,有170份文件符合过滤要求,有686份文件被过滤掉。如果没有使用过滤,此处仅显示文件总数量,即856份文件。
选择文件数量:位于右下角,表示当前窗口选择的文件数量及容量。本例中,选择了5份文件,总计容量117KB。
文件标记:文件名称前面的小方框为标记选框。可以手工为文件逐一添加标记,也可以通过鼠标右键中标记命令为所有选择的文件添加标记。
注:对指定文件的导出、添加注释、添加报告分类、创建哈希集,均可通过鼠标右键来实现。 磁盘快照时间:磁盘快照是X-ways Forensics的一个重要功能,用于对当前驱动器中的所有数据进行快速解析,如计算哈希值、分析丢失数据、拆解压缩文件和电子邮件、加密文件检测等。当对当前使用的物理磁盘进行分析时,如C盘,磁盘的数据可能会随时发生改变,因此需要更新磁盘快照来保证案件中使用最新的数据。本例中,“20分钟前”表示当前案件数据是20分钟前制作的。可以通过F10更新磁盘快照。 三、更改文件浏览器显示内容
文件浏览器显示内容可以根据实际需要进行调整。通过Ctrl+F5,或菜单中|选项|目录浏览器|,调用目录浏览器过滤设置对话框。
设置显示宽度: 数字=0,表示不显示该栏目 数字>0,表示该栏目实际显示的宽度
本例中,文件名称栏目宽度为176点,文件类型栏目为65点,路径等项目为0,表示不显示。
当需要显示更多未列出的栏目,如路径、哈希值等,可将该栏目数值从0更改为50。数值可暂时设定,之后可利用鼠标将栏目调整至满意宽度。如需隐藏某栏目,将该数值更改回0即可。 四、过滤
当使用某过滤条件时,例如:对文件名进行过滤,查找所有DOC文档,只需点击文件名称右侧的漏斗,输入过滤条件*.DOC,点击激活即可显示过滤结果。文件名过滤支持多语种字符。如需取消某过滤条件,点击禁用即可。
五、图例说明
在文件浏览器中,会有一些不同的文件及图标显示方式,具体含义可以对照图例说明察看相应说明。
本例中,password-123456.doc显示为绿色,文件属性为e!A,对照图例说明,可知该文件为加密文件。当对该文件添加注释后,文件名后显示出一个红色三角。15.DOC文件类型显示为蓝色JPG,表示该文件为签名不匹配文件。
通过“磁盘快照”功能,可将当前案件中所有这些类别的文件判断出来。 六、文件预览
X-ways内置了强大的文件察看器,可以支持400种以上文件格式的查看。点击预览,即可逐一察看文件内容。