X-Ways Forensics中文版_计算机综合分析软件 V20.0 SR-6 下载

X-Ways Forensics是一款来自德国的计算机综合分析软件，具备计算机数据分析，数据恢复，十六进制编辑和磁盘编辑等功能，广泛用于计算机分析、数据恢复、文件分析和编辑、底层数据处理等领域。

界面预览图：

X-Ways Forensics 是一个功能强大的电脑综合分析软件，可在Windows XP/2003/Vista/2008/7/8/8.1/2012/10/2016系统下运行，支持32位系统、64位系统, Standard/PE/FE等版本。

X-Ways Forensics 与其他竞争产品相比，由于它在运行时占用的资源更少，所以它在工作时更有效，运行更快速，并且能恢复已删除的文件，还可以搜索到其他软件搜索不到的结果，还包含很多特有的功能，最重要的是成本更低廉。

X-Ways Forensics 可随身携带，可以通过U盘在任何Windows系统下使用，不需要安装。不像其他一些取证分析工具那样，X-ways Forensics不需要用户设置数据库等繁琐的操作，并且超小化的安装包可以在数秒内下载并安装。它可以与WinHex hex与 disk editor 紧密结合，提供有效率的工作流模型， 这样电脑取证调查员就可以与使用X-Ways Investigator 的调查员共享数据，协同工作。

X-Ways Forensics 软件功能：

1、磁盘克隆，磁盘映像

可产生磁盘/驱动器的精确副本，例如，为同一类型的多台电脑/磁盘节省完整安装系统与其他软件的时间，或者可以在其中还原运行的安装Windows丢失数据或损坏(恢复备份)的情况。也适用于电脑取证专家，因为他们在对象磁盘上搜索证据时需要处理副本。您可以直接克隆，也可以从映像文件克隆。菜单：工具| 磁盘工具| 克隆磁盘

2、RAM编辑器

例如用于调试(编程)，检测/操纵任何正在运行的程序，尤其是电脑游戏(作弊)的RAM编辑器。工具| RAM编辑器

3、分析文件

例如确定通过磁盘扫描程序或chkdsk作为丢失的群集链恢复的数据的类型。 例子。工具| 分析文件

4、擦除机密文件或磁盘

...所以，任何人(甚至不是电脑取证专家)都无法检索它们。要安全删除文件，请使用文件管理器| 不可删除地删除。对于磁盘擦除，请使用磁盘编辑器打开磁盘，随后使用编辑 |磁盘。填充磁盘扇区。例如，填充零字节(十六进制值00)或随机字节。WinHex符合DoD 5220.22-M中概述的标准(有关仔细信息，请参阅本白皮书)。

5、清除未使用的空间与闲置空间

...或者关闭安全漏洞，安全地破坏以前仅以传统方式删除的现有机密文件，或者最小化磁盘备份的大小(例如WinHex备份或Norton Ghost备份) ，因为初始化空间可以压缩99%。在NTFS驱动器上，WinHex甚至可以擦除所有当前未使用的$ Mft(主文件表)文件记录，因为它们可能仍包含以前存储在其中的文件的名称与片段。可以在分配给文件的最后一个集群的未使用端找到文件松弛，该集群平常包含以前存在的文件的痕迹。像其他所有东西一样，松弛空间由WinHex快速处理。

6、ASCII-EBCDIC转换

允许在大型电脑与PC中间双向交换文本。您甚至可以根据自己的需要在WinHex(ebcdic.dat)中定制字符转换表。

7、二进制，十六进制ASCII，Intel十六进制与Motorola S转换

z。B.(E)PROM程序员。

8、为(E)PROM程序员统一与划分奇数与偶数字节/字。

使用自定义模板方便地编辑数据结构。

9、拆分合并磁盘上不适合的文件

文件分割/合并

10、WinHex作为侦察与学习工具

您确定Microsoft Word确实丢弃了文档的先前状态吗?您可能会惊讶地发现.doc文件中早已删除的文本。也许您确实不希望将.doc文件传递给的人看到的文本?探索多种软件程序在文件中保存的内容。研究未知的文件格式，并了解它们怎么工作。研究例如可执行文件的结构与怎么将它们加载到RAM中。可能性几乎是无限的。

使用组合搜索或使用文件比较实用程序在已保存的游戏文件中查找有趣的值(例如生命数，弹药数等)，以便之后进行操作

根据Internet上作弊网站上的现有说明或开发自己的作弊文件来处理任何电脑游戏的已保存游戏文件。

10、升级具有较大硬盘驱动器的MP3光盘机与Microsoft Xbox

要升级，必须第一步准备新的硬盘。这是您需要WinHex的地方。Creative的Nomad MP3自动点唱机，DAP自动点唱机与Microsoft Xbox的说明。您还可以更改Xbox的名称。

11、操纵文本

不应编辑的文本，例如在二进制文件中。这不方便，但是有可能通过编辑可执行文件中的文本来将几乎任何软件翻译成另一种语言，例如，如果源代码不可用(例如丢失)。或者，您想编辑本机应用程序不允许您修改的某种二进制类型文件中的文本。例如，程序员可能会发现其编译器会为其项目自动创建配置文件，该项目的文件名(应用程序名称+ .cfg)与他们自己的软件使用的文件冲突。如果您当地的法律与许可允许这样做，请编辑编译器的可执行文件，使其可以正常工作(例如，文件扩展名为 .cnf)。

12、使用磁盘编辑器查看与操作平常无法编辑的文件，因为它们受Windows保护(例如，交换文件，Internet Explorer的临时文件)。

13、查看，编辑与修复系统区域

例如主引导记录及其分区表与引导扇区。工具| 磁盘编辑器| 存取按钮

14、隐藏数据或发现隐藏数据

例如在.jpg文件(隐写术)的预期结尾之后，或在逻辑驱动器或物理磁盘的未使用部分中。WinHex特别支持访问系统未使用的剩余扇区，因为它们不会添加到整个群集或柱面中。

15、复制与粘贴

对文件，磁盘与RAM使用复制与粘贴或复制与写入(=覆盖)。您可以自由地从磁盘复制并将剪贴板内容写入磁盘，而不需要考虑扇区边界！

16、无限撤消

编辑时，撤消任何步骤。仅受可用磁盘空间限制。编辑 撤消

17、向前与向后跳转

WinHex保留偏移跳转的历史记录，并像Internet浏览器一样在链中向后与向前跳转。职位| 后退前进

18、脚本

使用脚本进行自动文件编辑，以加快重复执行的例行任务或在无人值守的远程电脑上执行某些任务。除提供的示例脚本外，其他脚本的执行能力仅限于专业许可证的所有者。可以从启动中心或命令行运行脚本。在执行脚本时，您可以按Esc放弃。凭借其广泛的应用范围，脚本取代了以前WinHex版本中已知的Routine功能。在程序帮助中找到有关脚本的更多信息。

19、API(应用程序编程接口)

专业用户还可以在以Delphi，C / C ++或Visual Basic编写的自己的程序中充分使用WinHex的高级功能。WinHex API提供了一个方便的接口，用于随机访问文件与磁盘(在扇区级别)。提供的功能类似于脚本命令。细节

对于错误删除的文件或平常在经历数据丢失后的数据恢复。可以手动完成(请参阅取消删除文件)或自动完成。FAT12，FAT16，FAT32与NTFS驱动器有一种自动恢复模式，称为按名称恢复文件，仅需要指定一个或多个文件掩码(例如* .gif，John * .doc等)。WinHex将完成其余的工作。通过访问按钮菜单，可为FAT驱动器提供一种恢复机制，该机制可重新创建整个嵌套目录结构(这里有仔细信息)。另一种机制(按类型恢复文件，以前称为文件检索)可以在任何文件系统上使用，并一次恢复某种类型的所有文件。支持的文件类型：jpg，png，gif，tif，bmp，dwg，psd，rtf，xml，html，eml，dbx，xls / doc，mdb，wpd，eps / ps，pdf，qdf，pwl，zip，rar， wav，avi，ram，rm，mpg，mpg，mov，asf，mid。特别是数码相机的所有者经常会遇到媒体问题。WinHex可能会使用此自动功能提供帮助，该功能可以充分使用文件头(文件开头的特征签名)的存在。工具| 磁盘工具| 文件检索

20、电脑检测/取证

WinHex是私人企业与执法部门中电脑调查专家的宝贵工具。

21、受信任的下载(安全性问题)

当将未分类的资料从已分类的硬盘驱动器传输到未分类的媒体时，您需要确定复制的文件在任何群集或扇区中都不会包含与实际文件一起虚假复制的多余信息。 ，因为从分配给其他文件开始，该松弛空间仍可能包含分类数据。命令工具| 专家工具| 复制完全按当前大小复制文件，不复制整个扇区或群集。文件末尾没有一个字节将被覆盖到目标磁盘。最小化您的IT风险。需要专业许可证。

22、128位加密

使他人无法读取文件。编辑 兑换

23、校验与/摘要计算

以确保文件未损坏且未被操纵，或标识常见的已知文件。

出于多种目的(例如科学模拟)生成伪随机数据。

X-Ways Forensics 软件特点：

1、磁盘克隆与镜像功能，进行完整数据获取

2、可分析 RAW/dd/ISO/VHD/VHDX/VDI/VMDK 格式原始数据镜像文件中的完整目录结构，支持分段保存的镜像文件

3、可读取磁盘、RAIDs与超过2TB大的镜像文件(超过 232 个扇区) 扇区最大为8KB

4、内置解析磁盘阵列JBOD、RAID 0、RAID 5、RAID 5EE, RAID 6, Linux 软件磁盘阵列、windows动态磁盘与LVM2逻辑卷管理器。

5、自动识别丢失的/已删除的分区

6、支持 FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDF 文件系统

7、支持扇区叠加分析, 例如，就算在数据损坏的情况下，也能通过更正的分区表或文件系统数据结构对文件系统进行完整解析，而不改变原始磁盘或镜像

8、察看并完整获取内存转储，并能获取虚拟内存中的运行进程

9、使用多种数据恢复技术，能快速发现需要恢复的数据，并支持碎片级数据恢复

10、文件头数据库支持GRPE检索

11、能分析20种不同类型的数据

12、通过模板查看并编辑二进制数据结构

13、数据擦除功能，可彻底清除存储介质中残留数据

14、可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙与通用文本中的信息

15、创建证据文件中的文件与目录列表

16、可以非常简单地发现并分析ADS数据(NTFS备用数据流)

17、支持多种哈希计算方法 (CRC32, MD4, ed2k, MD5, SHA-1, SHA-256, RipeMD, ...)

18、强大的物理搜索与逻辑搜索功能，可同时搜索多个关键词

19、可以在子目录中反复查看现有文件与已删除的文件

20、自动用彩色显示NTFS文件结构

21、书签与注释

22、能在符合法证要求的Windows FE环境中运行，例如，有限制的分类/查看

23、非常便携，U盘即插即用，不需要安装，支持任何一个系统

24、能与F-Response 配合使用，分析远程电脑

X-Ways Forensics 软件优势：

1、支持 HFS, HFS+/HFSJ/HFSX, ReiserFS, Reiser4, XFS, UFS, UFS2文件系统, APFS

2、能快速获取磁盘镜像，还提供生成镜像压缩程度的选项

3、可以读写.e01 格式的证据文件，可选择对证据文件进行 256位AES加密 (注：并非仅仅应用口令保护方式)

4、能创建Skeleton镜像 与Cleansed镜像

5、可以拷贝相关文件至证据文件管理器文件中，如：可将相关证据文件保存至管理器中，管理并选择性的共享给不同的需要者

6、完整的案例管理功能

7、自动创建软件操作日志 (审计日志)

8、数据写保护功能，确保数据真实性

9、可以任何添加对网盘的远程分析功能(更多信息)

10、能分析、过滤所有卷影副本(但不包含重复数据)，找到快照属性等

11、点击鼠标即可查看文件列表。容易浏览文件系统的数据结构，例如，文件记录，索引记录， $LogFile,卷影副本, FAT 目录项, Ext* inode等。

12、支持分区类型: 苹果格式， MBR, GPT (GUID), Windows动态卷 (MBR+GPT), LVM2 (MBR+GPT), 未分区 (软盘/大容量软盘)

13、能对Windows 2000 ， XP ， Vista，2003 server， 2008 server， Windows 7的本地内存或内存转储进行主内存分析，功能非常强大

14、显示文件的所有者，NTFS文件权限，对象ID/GUID 与特殊属性

15、弥补 NTFS压缩时所造成的数据丢失与 文件雕复时的Ext2/Ext3区分配逻辑

16、前后目录与多个步骤中间可以快速切换、并可快速导航回到排序选项、过滤器激活(停止)、选择的界面

17、内置缩略图图片浏览

18、内置日历浏览

19、自动进行文件签名、特征比对

20、内置文件预览功能，支持270种以上文件类型

21、可以直接从程序中打印相同的文件类型，该程序首页包含所有元数据

22、能查看 Windows事件日志文件 (.evt, .evtx), Windows 快捷方式文件 (.lnk) , Windows 预读文件, $LogFile, $UsnJrnl, 系统还原点 change.log, Windows Task Scheduler (.job), $EFS LUS, INFO2, 系统还原点change.log.1, wtmp/utmp/btmp 登陆信息, MacOS X kcpassword, AOL-PFC, Outlook NK2 自动完成， Outlook WAB 地址簿, Internet Explorer 浏览记录 (a.k.a. RecoveryStore), Internet Explorer index.dat 历史与浏览器缓存数据库 , SQLite数据库例如Firefox 历史记录, Firefox 下载, Firefox 表单历史, Firefox 签名, Chrome cookies, Chrome历史归档, Chrome 历史, Chrome 登陆信息, Chrome 网络数据, Safari 缓存, Safari feeds, Skype 的main.db数据库(包含联系人与文件传输记录, ...

23、在可用空间或虚拟文件中的闲置空间中收集Internet Explorer历史记录与浏览器缓存 index.dat

24、能从多种类型的文件中提取元数据与内部生成的时间戳，例如： MS Office, OpenOffice, StarOffice, HTML, MDI, PDF, RTF, WRI, AOL PFC, ASF, WMV, WMA, MOV, AVI, WAV, MP4, 3GP, M4V, M4A, JPEG, BMP, THM, TIFF, GIF, PNG, GZ, ZIP, PF, IE cookies, DMP memory dumps, hiberfil.sys, PNF, SHD + SPL printer spool, tracking.log, .mdb MS Access database, manifest.mbdx/.mbdb iPhone 备份, ...

25、记录并追踪已浏览的文件

26、把源文件链接到外部文件，例如，原文件的翻译版、解密版或更改后的版本

27、可以分析检测抽取出的电子邮件数据，支持Outlook (PST/OST)注, Exchange EDB, Outlook Express (DBX), AOL PFC, Mozilla (包含 Thunderbird), generic mailbox (mbox, Unix), MSG, EML

28、生成一个功能强大的事件列表，生成该列表的时间戳来自：所有支持的文件系统，系统(包含事件日志，注册表，回收站等)，文件内容(例如，邮件头，exif时间戳，GPS时间戳，最后打印时间;浏览器数据库，skype 聊天记录，通话记录，文件传输记录，创建的账户信息)

29、在分析中引入时间的纬度，根据时间顺序展示事件发展延伸的整个过程。在时间线中，事件以图形显示，可方便地查看某活动在哪个时间段活跃，哪个时间段不活跃。只需点击鼠标即可快速过滤某个时间段的事件

30、具有基于签名与专门算法的文件类型自动验证功能

31、可标记文件，并将所标记的文件添加至自定义案件报告中

32、自动生成HTML格式案件报告，可以用Word查看并编辑

33、案件报告中可关联文件注释或过滤信息

34、软件窗口左侧显示目录数结构，可以浏览并标记相关目录及子目录

35、在扇区视图模式下，可同步显示对应扇区的文件与目录

36、强大的动态过滤功能，能以文件类型、哈希库、时间、文件大小、注释、报告表等方式组合进行文件过滤

37、通过递归浏览功能，同时显示所有目录下的文件与删除数据

38、能从硬盘或者硬盘镜像中复制文件，内容可包含相应文件的完整路径，还可包含或排除文件闲置区域的数据，或将文件闲置区域的数据独自导出或全部导出。

39、自动识别加密的MS Office 与PDF文件

40、能从其他任何类型的文件中提取几乎任何一种内嵌式的文件(包含图片)， 从 JPEGs与thumbcaches中提取缩略图,从跳转列表中提取 .lnk 快捷方式 , 从Windows.edb中提取多种数据,从SQLite中提取浏览器缓存、 PLists与表单记录, 从 OLE2 与 PDF 文档中提取多种数据, ...

41、肤色图片检测功能，(根据肤色比例，以图片集方式排序，加速对儿童图片、黑白图片的搜索)

42、检测黑白或灰度的图片，这可能是扫描到的文件或数字化存储的传真

43、能检测到可以用OCR识别的 PDF 文档

44、能通过MPlayer或Forensic Framer，根据用户自定义的时间间隔，从视频文件中提取静态图像，这样就能在必须查看不恰当或非法内容时大大减少要查看的数据

45、内置 Windows 注册表查看器(支持所有 Windows 版本)，并自动生成注册表报告

46、可以以目录方式逐级浏览压缩文件中内容

47、易用的逻辑搜索功能，可在所有文件、选中文件与压缩文件、PDF, HTML, EML, ..., 等类型文件中进行搜索, 可选项有： GREP, 用户自定义的全字匹配。

48、强大的搜索及搜索结果预览功能，支持关键字临近的右键预览。如：可搜索Documents and Settings目录下，最后访问时间为2004年，包含关键词A, B, D 的doc与ppt文件

49、在Unicode 与多种代码页中进行搜索与索引

50、高度灵活的索引算法，并可在索引结果中搜索固定复合词

51、AND ，fuzzy AND，NEAR +与 – 逻辑运算符组合使用，搜索结果

52、能将搜索结果导出为HTML，并高亮显示文件内容与文件元数据

53、可检测并排除硬盘HPA区域与ATA加密硬盘保护区域，并不间断标注

54、依据内部哈希库，可以快速定位特定类型文件

55、可以导入 NSRL RDS 2.x, HashKeeper 与ILook格式的哈希库

56、可创立用户专用哈希集

57、可以解压缩整个hiberfil.sys文件与独自的xpress 块

58、X-Tensions API (编程接口) ，添加您自己的功能或者现有的功能

59、不需要设置并链接复杂的数据库，免除了竞争产品无法再次打开你的案件的风险

60、分析外部程序的界面,例如 PhotoDNA (for law enforcement only), 能识别已知的图片(就算图片以不同格式保存或已经改变)并把图片的类别(CP, relevant, irrelevant)报告给 X-Ways Forensics