WINHEXx-guide快速入门.doc

WINHEX 快速入门这个快速入门本人已经写完很久了，准备随着新版本推出逐步更新, 加入一些最新功能介绍喜欢 X-Ways Forensics 的朋友们可以关注一下第一章 配置软件X-way Forensics 软件可以通过 setup.exe 安装配置后使用，也可以通过运行 xwforensics.exe 直接使用具体使用方法可根据用户习惯来选择但通常来说，直接运行最为方便软件使用中，保存有 X-way Forensics 软件临时文件和案例文件的分区将作为默认的数据输出路径，即只有该分区被允许写入数据因此，在选择 X-way Forensics 软件使用分区时，需要考虑好下一步数据分析的实际情况建议选择容量较大，数据较少的分区使用软件前，请预先 X-ways 目录下建立如下三个文件夹，分别用于保存案例文件、镜像文件和临时文件文件夹名称也可自定义一、第一次使用 X-ways运行 X-ways Forensic 软件后，软件首次启动，出现英文用户界面当进入软件后，将设置更改为中文后，再次启动即可以看到右侧的中文界面当数据分析使用时，一定要选择计算机法证版用户界面简化界面为 X-ways Investigator 用户界面。

点击确定后，将出现 “General Options”对话框此时软件界面仍为英文暂时关闭该对话框，选择调用中文界面点击菜单中的 |Help | Setup | Chinese,Please! ，软件界面即转为中文如果将来需要使用英文界面，可用同样方法转换回来二、设置使用 X-ways Forensics 进行各项操作之前，首先需要进行设置点击 |菜单|常规设置|，或直接按 F5 键，即可显示常规设置对话窗保存临时文件的目录：当前设置默认保存临时文件至 C:\Documents and Settings\sprite\Local Settings\Temp为便于管理临时文件，我们为其新创建一个 temp 文件夹，本例为E:\xway\temp保存镜像和备份文件的目录：当前设置默认保存镜像文件和备份文件至 C:\Documents and Settings\sprite\Local Settings\Temp为将来方便地调用和管理镜像文件，我们为其新创建一个 images 文件夹，路径为 E:\xway\images保存案件和方案的目录：当前系统默认保存为 X-ways Forensics 的当前目录下，本例为 E:\xway 目录。

由于将来创建的案件越来越多，这些案例文件保存在当前目录下非常混乱，不易查找，因此，我们为其新创建一个案例文件夹，本例为 E:\xway\case保存脚本的目录：系统默认保存在 X-ways Forensics 的当前目录下，本例为 E:\xway 目录本手册中不涉及脚本，无需改变保存哈希库的目录：系统默认哈希库文件位置为 E:\xway\HashDB此目录可由 X-ways Forensics 自动创建和管理，无需改变注：如果在固定计算机中安装使用 X-ways Forensics，请确定路径设置正确，并将上述路径指向移动硬盘中的相应目录如果在光盘中使用 X-ways Forensics，则一定要将路径指向移动硬盘中的相应目录第二章 创建案件一、创建新案件开始数据分析，首先要创建案例，并将需要分析的存储介质或者镜像文件加载到案例中X-ways Forensics 软件本身不会使数据内容产生变化在案件数据对话框中，可输入案件名称、案件描述、调查员、机构地址等辅助信息案件名称应使用英文或数字，否则案例日志和报告中无法出现屏幕快照图片为保障数据分析中显示的时间正确，需在显示时区中设置正确的时区信息。

案件创建日期将由 X-ways Forensics 依据系统时钟自动创建请确保当前计算机系统时间设置准确二、添加数据创建案件后，需要添加所需获取/分析的目标可以添加物理存储设备，如磁盘、光盘、USB 移动存储设备等，也可添加 E01、DD 磁盘镜像，以及 X-ways 自有的证据文件格式三、创建磁盘镜像创建磁盘镜像，需在扇区察看方式下，选择菜单中 | 文件| 创建磁盘镜像|选择镜像文件格式，如 E01 磁盘镜像，并指定保存位置创建镜像文件过程中，将显示复制进度操作结束，将生成 TXT 格式操作日志，包含如磁盘参数、MD5 值等信息第三章 基本操作一、浏览所有文件如果需要显示当前驱动器下所有文件，使用鼠标右键单击驱动器图标，选择右键菜单中的展开目录文件浏览器中将显示所选驱动器下所有文件列表取消全部文件显示模式，使用鼠标左键单击驱动器图标二、文件浏览器菜单说明过滤漏斗：过滤选项，灰色时表示未启用；蓝色时，表示应用了相应的过滤设置本例中，由于对文件名称栏目进行了过滤操作，文件名称旁边出现了一个“蓝色漏斗”窗口文件数量：位于右上角，表示当前窗口显示出的文件数量及总计文件数量本例中，由于应用了过滤操作，窗口右上角数字含义为：应用过滤后，有 170 份文件符合过滤要求，有 686 份文件被过滤掉。

如果没有使用过滤，此处仅显示文件总数量，即 856 份文件选择文件数量：位于右下角，表示当前窗口选择的文件数量及容量本例中，选择了 5 份文件，总计容量 117KB文件标记：文件名称前面的小方框为标记选框可以手工为文件逐一添加标记，也可以通过鼠标右键中标记命令为所有选择的文件添加标记注：对指定文件的导出、添加注释、添加报告分类、创建哈希集，均可通过鼠标右键来实现磁盘快照时间：磁盘快照是 X-ways Forensics 的一个重要功能，用于对当前驱动器中的所有数据进行快速解析，如计算哈希值、分析丢失数据、拆解压缩文件和电子邮件、加密文件检测等当对当前使用的物理磁盘进行分析时，如 C 盘，磁盘的数据可能会随时发生改变，因此需要更新磁盘快照来保证案件中使用最新的数据本例中，“20 分钟前”表示当前案件数据是 20 分钟前制作的可以通过 F10 更新磁盘快照三、更改文件浏览器显示内容 文件浏览器显示内容可以根据实际需要进行调整通过 Ctrl+F5，或菜单中|选项|目录浏览器|，调用目录浏览器过滤设置对话框设置显示宽度：数字=0，表示不显示该栏目数字>0，表示该栏目实际显示的宽度本例中，文件名称栏目宽度为 176 点，文件类型栏目为 65 点，路径等项目为 0，表示不显示。

当需要显示更多未列出的栏目，如路径、哈希值等，可将该栏目数值从 0 更改为 50数值可暂时设定，之后可利用鼠标将栏目调整至满意宽度如需隐藏某栏目，将该数值更改回 0 即可四、过滤当使用某过滤条件时，例如：对文件名进行过滤，查找所有 DOC 文档，只需点击文件名称右侧的漏斗，输入过滤条件*.DOC，点击激活即可显示过滤结果文件名过滤支持多语种字符如需取消某过滤条件，点击禁用即可五、图例说明在文件浏览器中，会有一些不同的文件及图标显示方式，具体含义可以对照图例说明察看相应说明本例中，password-123456.doc 显示为绿色，文件属性为 e!A，对照图例说明，可知该文件为加密文件当对该文件添加注释后，文件名后显示出一个红色三角15.DOC 文件类型显示为蓝色 JPG，表示该文件为签名不匹配文件通过“磁盘快照”功能，可将当前案件中所有这些类别的文件判断出来六、文件预览X-ways 内置了强大的文件察看器，可以支持 400 种以上文件格式的查看点击预览，即可逐一察看文件内容如果还没有对案件数据进行磁盘快照，当浏览文件时，X-ways 将自动对文件签名、加密等状态进行检测第三章 磁盘快照创建案件，载入 E01 证据文件后，一般应首先进行磁盘快照。

由于磁盘快照过程将会把案件中的所支持的压缩文件、电子邮件及附件、删除的数据解开及恢复出来，古经快照处理后得到的数据要比未进行磁盘快照的文件数量多此时进行过滤和搜索，会得到更准确的结果每个任务前面的方框，经选取后显示绿色对勾每个任务后面的方框，表示完成状态绿色对勾表示全部完成；实心绿框表示已完成了部分，但尚未全部完成开始进行磁盘快照，选中相应的选项，点击确定即可任务说明：依据文件系统搜索并恢复目录及文件：将当前磁盘中的删除、丢失文件全部恢复通过文件签名搜索并恢复文件：根据文件签名值搜索特定类型格式文件，如：可以仅搜索并恢复 doc 格式文件计算哈希值：自动计算所有文件的哈希值目录、0 字节文件没有哈希值算法支持 MD5、SHA-1、SHA-256依据哈希库对比哈希值：如果已经拥有完整的哈希库，可在计算文件哈希值过程中，将哈希值与哈希库中值比对，以确定文件哈希分类例如，通过此选项排除已知的 Windows 系统文件依据文件签名校验文件真实类型：可判断 doc、jpg 格式文件是否被改名或伪装分析 ZIP 和 RAR 等压缩文件中的数据：将压缩文件释放，并以虚拟目录形式浏览导出电子邮件正文和附件：拆解电子邮件，将邮件正文与附件以虚拟形式显示。

查找嵌入在正文内的图片：可以将 WORD、PPT 等复合文件中的图片抽取出来肤色图片和黑白图片检测：用于检测包含人体肤色特征的图片和其他黑白文字图片加密文件检测：用于检测特定类型加密文件，如加密的 DOC、XLS 文件首先，通过熵值检测，自动对大于 255 字节的文件进行检测如果熵值超过设定值，文件属性标记为"e?"，表明应仔细检查该文件例如：PGP Desktop, BestCrypt 或 DriveCrypt 加密文件熵值检测不适用于 ZIP, RAR, CAB, JPG, MPG 和 SWF 等文件其次、可检测特定类型加密文件，如 doc (MS Word 4 至 2003 版)，xls (MS Excel 2 至 2003 版)，ppt 和 pps (MS PowerPoint 97-2003)，mpp (MS Project 98-2003)，pdf (Adobe Acrobat)如果为加密文件，文件属性显示 "e!" 更新快照：将当前案件中磁盘数据保持最新状态更新快照后，上述所有操作及搜索记录等将全部被清空完成磁盘快照之后，如右图显示案件中数据增多，这时才能继续进行过滤、搜索等操作。

第五章 过滤本说明中所有图片均出自 X-ways Forensics 13.8 版在 X-ways Forensics 中，可方便地对各种类型的数据文件进行过滤操作一、按文件名称过滤可以使用通配符，针对特定文件名称进行过滤如搜索“*.DOC，*.HTM，收件箱*”等使用通配符时，不能出现 2 个*此种过滤方式，适用于对文件名，及单一文件类型过滤速度快，准确率高例：如果需要查找文件内容包含“陈立康”的 Word 文件，可首先过滤出*.DOC 文档，然后全选、标记，并在标记文件中搜索关键词“陈立康”即可二、按文件类型过滤可按照设定的文件分类，对不同类型的文件进行过滤通过此过滤方式，可以容易地将办公文档、图形图像、压缩文件，以及各种重要数据，如注册表文件、互联网历史记录、回收站文件、打印池、Windows 交换文件、日志等，快速过滤出来文件过滤类型可以自定义扩充与修改文件名为：File Type Categories.txt使用方法：选择相应文件类型，点击激活过滤前，应在磁盘快照中选择依据文件签名校验文件真实类型，才能够判断出文件的真实类型三、按签名状态过滤进行完整磁盘快照后，X-ways 可依据文件签名检测每一个文件的签名信息是否匹配。

如果文件扩展名被改变，签名状态将显示为签名不匹配通过选择过滤选项中的文件签名显示状态，可发现。