X-Ways Forensics解锁全功能版这是一款通过最为小巧精悍内容给用户们打造而来的超强大类型的取证风格类型的数据平台和分析类型的强悍软件,里面具有了极其完整的数据抓取,分析等超多实用程度满满的功能体系,让你能够非常轻松和便捷的体验到每一次数据内容上所带来的便捷服务!
X-Ways Forensics解锁全功能版亮点
磁盘克隆和镜像功能,进行完整数据获取
可分析 RAW/dd/ISO/VHD/VHDX/VDI/VMDK 格式原始数据镜像文件中的完整目录结构,支持分段保存的镜像文件
可读取磁盘、RAIDs以及超过2TB大的镜像文件(超过 232 个扇区) 扇区最大为8KB
内置解析磁盘阵列JBOD、RAID 0、RAID 5、RAID 5EE, RAID 6, Linux 软件磁盘阵列、windows动态磁盘以及LVM2逻辑卷管理器。
自动识别丢失的/已删除的分区
支持 FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3®, CDFS/ISO9660/Joliet, UDF 文件系统
支持扇区叠加分析, 例如,即使在数据损坏的情况下,也能通过更正的分区表或文件系统数据结构对文件系统进行完整解析,而不改变原始磁盘或镜像
察看并完整获取内存转储,并能获取虚拟内存中的运行进程
使用多种数据恢复技术,能快速发现需要恢复的数据,并支持碎片级数据恢复
文件头数据库支持GRPE检索
能分析20种不同类型的数据
通过模板查看并编辑二进制数据结构
数据擦除功能,可彻底清除存储介质中残留数据
可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙以及通用文本中的信息
创建证据文件中的文件和目录列表
能够非常简单地发现并分析ADS数据(NTFS备用数据流)
支持多种哈希计算方法 (CRC32, MD4, ed2k, MD5, SHA-1, SHA-256, RipeMD, ...)
强大的物理搜索和逻辑搜索功能,可同时搜索多个关键词
可以在子目录中反复查看现有文件和已删除的文件
自动用彩色显示NTFS文件结构
书签和注释
能在符合法证要求的Windows FE环境中运行,比如,有限制的分类/查看
非常便携, U盘即插即用,无需安装,支持任何一个操作系统
能与F-Response 配合使用,分析远程计算机
X-Ways Forensics解锁全功能版特色
支持 HFS, HFS+/HFSJ/HFSX, ReiserFS, Reiser4, XFS, UFS, UFS2文件系统, APFS
能快速获取磁盘镜像,还提供生成镜像压缩程度的选项
能够读写.e01 格式的证据文件,可选择对证据文件进行 256位AES加密 (注:并非仅仅采用口令保护方式)
能创建Skeleton镜像 和Cleansed镜像 (更多信息)
能够拷贝相关文件至证据文件管理器文件中,如:可将相关证据文件保存至管理器中,管理并选择性的共享给不同的需求者
完整的案例管理功能
自动创建软件操作日志 (审计日志)
数据写保护功能,确保数据真实性
可以任意添加对网盘的远程分析功能(更多信息)
能分析、过滤所有卷影副本(但不包括重复数据),找到快照属性等
点击鼠标即可查看文件列表。轻松浏览文件系统的数据结构,例如,文件记录,索引记录, $LogFile,卷影副本, FAT 目录项, Ext* inode等。
支持分区类型: 苹果格式, MBR, GPT (GUID), Windows动态卷 (MBR+GPT), LVM2 (MBR+GPT), 未分区 (软盘/大容量软盘)
能对Windows 2000 , XP , Vista,2003 server, 2008 server, Windows 7的本地内存或内存转储进行主内存分析,功能非常强大
显示文件的所有者,NTFS文件权限,对象ID/GUID 以及特殊属性
弥补 NTFS压缩时所造成的数据丢失和 文件雕复时的Ext2/Ext3区分配逻辑
前后目录和多个步骤之间可以快速切换、并可快速导航回到排序选项、过滤器激活(停止)、选择的界面
内置缩略图图片浏览
内置日历浏览
自动进行文件签名、特征比对
内置文件预览功能,支持270种以上文件类型
能够直接从程序中打印相同的文件类型,该程序首页包含所有元数据
能查看 Windows事件日志文件 (.evt, .evtx), Windows 快捷方式文件 (.lnk) , Windows 预读文件, $LogFile, $UsnJrnl, 系统还原点 change.log, Windows Task Scheduler (.job), $EFS LUS, INFO2, 系统还原点change.log.1, wtmp/utmp/btmp 登陆信息, MacOS X kcpassword, AOL-PFC, Outlook NK2 自动完成, Outlook WAB 地址簿, Internet Explorer 浏览记录 (a.k.a. RecoveryStore), Internet Explorer index.dat 历史和浏览器缓存数据库 , SQLite数据库例如Firefox 历史记录, Firefox 下载, Firefox 表单历史, Firefox 签名, Chrome cookies, Chrome历史归档, Chrome 历史, Chrome 登陆信息, Chrome 网络数据, Safari 缓存, Safari feeds, Skype 的main.db数据库(包括联系人和文件传输记录, ...
在可用空间或虚拟文件中的闲置空间中收集Internet Explorer历史记录和浏览器缓存 index.dat
能从各种类型的文件中提取元数据和内部生成的时间戳,例如: MS Office, OpenOffice, StarOffice, HTML, MDI, PDF, RTF, WRI, AOL PFC, ASF, WMV, WMA, MOV, AVI, WAV, MP4, 3GP, M4V, M4A, JPEG, BMP, THM, TIFF, GIF, PNG, GZ, ZIP, PF, IE cookies, DMP memory dumps, hiberfil.sys, PNF, SHD & SPL printer spool, tracking.log, .mdb MS Access database, manifest.mbdx/.mbdb iPhone 备份, ...
记录并追踪已浏览的文件
把源文件链接到外部文件,例如,原文件的翻译版、解密版或更改后的版本
能够分析检查抽取出的电子邮件数据,支持Outlook (PST/OST)注, Exchange EDB, Outlook Express (DBX), AOL PFC, Mozilla (包括 Thunderbird), generic mailbox (mbox, Unix), MSG, EML
生成一个功能强大的事件列表,生成该列表的时间戳来自:所有支持的文件系统,操作系统(包括事件日志,注册表,回收站等),文件内容(例如,邮件头,exif时间戳,GPS时间戳,最后打印时间;浏览器数据库,skype 聊天记录,通话记录,文件传输记录,创建的账户信息……)
在分析中引入时间的纬度,按照时间顺序展示事件发展延伸的整个过程。在时间线中,事件以图形显示,可方便地查看某活动在哪个时间段活跃,哪个时间段不活跃。只需点击鼠标即可快速过滤某个时间段的事件
拥有基于签名和专门算法的文件类型自动验证功能
可标记文件,并将所标记的文件添加至自定义案件报告中
自动生成HTML格式案件报告,可以用Word查看并编辑
案件报告中可关联文件注释或过滤信息
软件窗口左侧显示目录数结构,能够浏览并标记相关目录及子目录
在扇区视图模式下,可同步显示对应扇区的文件和目录
强大的动态过滤功能,能以文件类型、哈希库、时间、文件大小、注释、报告表等方式组合进行文件过滤
通过递归浏览功能,同时显示所有目录下的文件和删除数据
能从硬盘或者硬盘镜像中复制文件,内容可包含相应文件的完整路径,还可包含或排除文件闲置区域的数据,或将文件闲置区域的数据单独导出或全部导出。
自动识别加密的MS Office 和PDF文件
能从其他任何类型的文件中提取几乎任何一种嵌入式的文件(包括图片), 从 JPEGs和thumbcaches中提取缩略图,从跳转列表中提取 .lnk 快捷方式 , 从Windows.edb中提取各种数据,从SQLite中提取浏览器缓存、 PLists和表单记录, 从 OLE2 和 PDF 文档中提取各种数据, ...
肤色图片检测功能,(根据肤色比例,以图片集方式排序,加速对儿童色情图片、黑白图片的搜索)
检测黑白或灰度的图片,这可能是扫描到的文件或数字化存储的传真
能检测到可以用OCR识别的 PDF 文档
能通过MPlayer或Forensic Framer,根据用户自定义的时间间隔,从视频文件中提取静态图像,这样就能在必须查看不恰当或非法内容时大大减少要查看的数据
内置 Windows 注册表查看器(支持所有 Windows 版本),并自动生成注册表报告
能够以目录方式逐级浏览压缩文件中内容
易用的逻辑搜索功能,可在所有文件、选中文件和压缩文件、PDF, HTML, EML, ..., 等类型文件中进行搜索, 可选项有: GREP, 用户自定义的“全字匹配”。
强大的搜索及搜索结果预览功能,支持关键字临近的上下文预览。如:可搜索Documents and Settings目录下,最后访问时间为2004年,包含关键词A, B, D 的doc和ppt文件
在Unicode 和各种代码页中进行搜索和索引
高度灵活的索引算法,并可在索引结果中搜索固定复合词
AND ,fuzzy AND,NEAR +和 – 逻辑运算符组合使用,搜索结果
能将搜索结果导出为HTML,并高亮显示文件内容以及文件元数据
可检测并排除硬盘HPA区域和ATA加密硬盘保护区域,并连续标注
依据内部哈希库,可以快速定位特定类型文件
能够导入 NSRL RDS 2.x, HashKeeper 和ILook格式的哈希库
可创立用户专用哈希集
能够解压缩整个hiberfil.sys文件和单独的xpress 块
X-Tensions API (编程接口) ,添加您自己的功能或者现有的功能
无需设置并链接复杂的数据库,避免了竞争产品无法再次打开你的案件的风险
X-Ways Forensics解锁全功能版介绍
by Neviens
* 采用Dll劫持内存,解除BYOD加密狗授权保护,解锁完整功能
* 预置winhex.cfg,更改默认启动简体中文,清空选项临时路径
X-Ways Forensics 20.1 SR-8 + Full 完整版额外集成以下插件:
﹂Outside In Viewer 8.5.5.12
﹂Mplayer 2018 v0.0.9
﹂AFF4 plugin 2.0.7.1
X-Ways Forensics(法证授权版)
xwforensics.exe重命名winhex.exe,软件启动就是WinHex
Forensics提供了专家许可后WinHex之外许多其它高级功能
新版特性
X-Ways Forensics 20.3的预览版现已发布。可以通过一如既往地查询一个人的许可证状态来检索所有最新版本的下载目录的URL 。
v20.3 Preview 1中有什么新功能?
*现在可以从X-Ways Forensics和X-Ways Investigator中利用Tesseract软件包的OCR功能。可以从我们的Web服务器上下载该软件包。可以在同一地点从任何地方获得更新的下载说明。如果在首次运行v20.3时在安装目录的子目录\ Tesseract中通过v20.3找到了Tesseract,则Tesseract将被自动激活。否则,请转到“选项”。查看器程序指示路径。
* OCR可以作为逻辑搜索或索引的一部分应用于适当的文件,例如TIFF格式的文档扫描或数字存储的传真或仅包含图形内容的PDF文档。默认文件掩码甚至包括* .jpg,但是,要决定是将OCR应用于每个JPEG文件是否有点多余还是有必要,由您决定,并且无论如何您都可以使用各种方式完全控制搜索范围。请注意,高分辨率照片会花费大量时间检查文本。JPEG和HEIC格式的数码照片将根据Exif元数据中的说明进行旋转,以恢复正确的方向,从而有望对原始拍摄的文本进行大致水平的OCR。如果对于两个文件掩码(* .pdf)中包含的给定文件类型,普通文本解码已经成功完成,则不会额外应用OCR。选项“存储解码后的文本以进行上下文预览和将来的搜索”选项还将保留从OCR派生的文本存储在卷快照中。
*在Descr中,由OCR派生的文本中的逻辑搜索返回的搜索命中也是如此。列,并以不同的颜色突出显示。Descr。筛选器可让您仅列出此类OCR搜索命中或不列出OCR命中。较旧版本的X-Ways Forensics可以在打开同一案例时从v20.3中看到OCR搜索结果,但不会知道它们是OCR搜索结果。
*单击选项|选项中的...按钮后,您可以同时选择最多两种语言进行文本识别。查看器程序。但是,如果您同时选择中文/日文和西文,则需要权衡取舍。这将恶化对亚洲字符的识别。您可能想要选择* only *中文/日文,以更好地识别该语言。在这种情况下,即使未明确选择英语,仍可以识别英语(实际上是拉丁)字母,但质量会降低。仅当正确识别西方语言对您来说更重要时,才能同时选择中文/日语和西方语言。
*预览模式现在除了Raw子模式之外还有一个单独的子模式,称为Text模式,该模式从非图片文件中提取纯文本,就像使用带解码选项的逻辑搜索一样。该子模式还有助于更好地了解如何从各种文档类型(尤其是电子表格)中提取文本,对于这些文档,存在不同的提取选项,这些选项的输出可能会有所不同,尤其是在格式方面。
*如果“文本”子模式下的普通文本提取/解码不返回任何结果,或者如果预览文件是图片文件,并且Tesseract可用且处于活动状态,则将应用OCR。这使您可以更好地了解OCR在搜索您要处理的文件类型时的工作情况。您还可以尝试选择不同的语言并比较结果的质量。子模式按钮在默认情况下被命名为“文本”,但是会将其标签更改为“ OCR”,以使您知道OCR已经或曾经被用来检索文本。对于多页TIFF和PDF文件,OCR可能很耗时,但如有必要,用户可以中断它。如果以前逻辑搜索或索引已将OCR应用于文件,并且结果已存储在卷快照中,
*在退出预览模式或选择其他类型的文件之前,“预览”模式下的“原始”和“文本”两个子模式均保持活动状态。如果您希望使这些子模式中的任何一个更持久,以便即使在预览不同类型的文件时它也保持活动状态,则可以在单击相应的子模式按钮的同时按住Shift键。
*可从我们的Web服务器上下载的Tesseract软件包已经支持以下字母顺序集成的语言:
ara:阿拉伯语
chi_sim:简体中文(仅水平书写)
chi_tra:繁体中文(仅水平书写)
deu:德语
eng:英语
fra:法语
heb:希伯来语
ita:意大利语
jpn:日语(仅水平写作)
kor:韩语(仅水平写作)
nld:荷兰语
pol:波兰语
rus:俄罗斯
spa:西班牙语
swe:瑞典语
tur:土耳其语
如果可以在https://github.com/tesseract找到适合他们的.traineddata文件,则可以添加其他语言-ocr / tessdata_fast。只需将此类文件放入Tesseract的\ tessdata子目录即可。或者,您可以访问https://github.com/tesseract-ocr/tessdata_best,以下载任何支持的语言的更高质量的OCR引擎。(请注意,OCR使用它们的时间要多得多。)
*支持的文件类型通常如下:PDF,PostScript(PS),TIFF,JPEG,HEIC,PNG,GIF,BMP,WEBP,AutoCAD DXF,Photoshop PSP和也许更多。
*能够使用Descr。过滤器以集中于未对齐的UTF-16文本中的搜索结果。
*能够在其他电子邮件预览中突出显示搜索结果。
*在搜索命中列表模式下,在主窗口中定义的循环制表键顺序也是如此。
*一些小的改进。
*与v20.2 SR-1的修复级别相同。
-
宝宝树孕育APP中购买商品订单在哪里看 2024-12-15
-
电脑上酷狗音乐如何进入直播看直播 2024-12-15
-
2022海龟汤题目答案全套(持续更新) 2024-12-15
-
CCTV微视如何购买会员 CCTV微视如何购买会员教程 2024-12-15
-
熊猫养成记是真的吗 熊猫养成记怎么玩 2024-12-15
-
b站直播姬直播显示黑屏怎么办 哔哩哔哩直播姬黑屏的解决方法 2024-12-15
-
网易大神怎么启动游戏 网易大神游戏福利领取教程 2024-12-15
-
VSCO怎么给照片加滤镜 Vsco滤镜免费教程 2024-12-15
-
2020支付宝5福怎么收集 今年的5福能分多少钱 2024-12-15
-
新浪体育客户端如何清理缓存 新浪体育App清理缓存教程 2024-12-15