winhex脚本下载 【X-Ways取证快速入门】

03/15 01:36:35 来源网站:辅助卡盟网

此外,调查员可以通过点击“记录所有操作”以启用或禁用自动日志功能。

当前创建的案件目录将被默认为数据恢复、证据导出的保存目录。如果需要将不同的案件中的证据文件导出到同一个目录下,可以禁用“输出至缺省证据文件夹”选项。

调查员可以根据案件来源地为案件设定两个不同的代码页。设定的代码页用于对案件中文件名称的支持,例如保存邮件时自动命名.eml文件,解压缩Zip文件时将文件名自动转换为 Unicode。如果代码页设置错误,则文件名无法正常识别;如两个代码相同,不会对案件产 生影响。如果代码页与当前Windows的代码页一致,则无需设置。

创建案例还可以设置保护口令,但这并不是对案件数据进行加密,只是设置了一个打开权限。

(是不是有好多实用贴心的小技巧?)

▍添加存储设备

创建案件后,即可添加所需获取/分析的目标

选择“案件数据”-“文件”-“添加存储设备”。

winhex下载破解版_winhex脚本教程_winhex脚本下载

可以将与当前计算机连接的计算机存储介质,如硬盘、闪存卡、USB存储设备、CD-ROM, DVD 等添加为所需获取/分析的目标,也可添加镜像文件或普通的文件。

如果需要获取某个磁盘,可以通过逻辑驱动器、物理驱动器两种方式获取。如果一个磁盘中含有 C、D、E 三个分区,则以物理驱动器方式进行获取最为稳妥。

本例中,我们需要对虚拟机中创立的 8GB 虚拟硬盘进行获取,首先将该硬盘加入到当前案件中,如下图所示:

winhex下载破解版_winhex脚本下载_winhex脚本教程

▍创建磁盘镜像

创建磁盘镜像,需在扇区察看方式下,选择菜单中的“文件”、“创建磁盘镜像”。

winhex脚本下载_winhex下载破解版_winhex脚本教程

winhex脚本教程_winhex下载破解版_winhex脚本下载

在“创建磁盘镜像”窗口中,需要注意几个方面:

镜像文件格式:本例中使用.E01 证据文件格式

路径和文件名:选择证据文件保存位置。

设定哈希算法及校验。

winhex脚本教程_winhex脚本下载_winhex下载破解版

winhex脚本教程_winhex脚本下载_winhex下载破解版

创建镜像文件过程中,将显示复制进度。当前选用了最大压缩率,数据获取速度如下图:

winhex脚本教程_winhex脚本下载_winhex下载破解版

镜像结束后,根据设置,X-Ways Forensics 将自动开始校验哈希值,哈希值计算速度显示如下:

winhex脚本教程_winhex脚本下载_winhex下载破解版

结束后,X-Ways Forensics 将自动生成 TXT 格式的操作日志。

从“C:\16.0\image”目录下,可以看到创建成功的镜像文件。

winhex下载破解版_winhex脚本下载_winhex脚本教程

图中标记为1的 Evidence.e01、e02 两个文件,是利用 X-Ways Forensics 创建成功的 8GB 磁盘 EnCase 镜像 文件。其中,Evidence.TXT 是 X-Ways Forensics 创建的数据获取报告。

而标记为2的8GB-FF4.DEA和001、002、003几个文件,是由FinalForensics 4.0 软件创建的镜像文件。其中,FF4-HASH.TXT 是 FinalForensics 4.0 软件创建的哈希值 报告。

标记为3的8GB-DD.001、002、003、004、005几个文件,是利用X-WaysForensics 创建成功的 8GB 磁盘 DD 格式镜像文件。

对比几个镜像文件大小,可以看到DD 格式镜像文件容量最大winhex脚本下载,总约 8.4GB;E01 格式(最大压缩)容量较小,约 2.4GB;FinalForensics 4.0 软件创建的压缩格式镜像容量同样较小,约 2.4GB。

哦,对了,关于镜像格式的知识辅助卡盟,我们以后也会讲到,先在这里挖个坑Mark起来~

要说X-Ways这一个软件,就够小编写一个月了。单看那X-Ways的教材就厚厚一本,这篇文章该怎么写可真是苦了我了。不过,看完本篇的读者都已经成功入门,以后的路还挺长,咱们得一步步地来不是?

来源:【九爱网址导航www.fuzhukm.com】 免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

    暂无相关资讯
winhex脚本下载 【X-Ways取证快速入门】