计算机磁盘功能,X-ways Forensics磁盘快照功能介绍

2021-09-14 17:23:15 MetInfo

计算机磁盘功能,X-ways Forensics磁盘快照功能介绍



一般使用X-ways司法分析软件案件加载证据文件或磁盘以后,首先要对磁盘进行磁盘快照,经过磁盘快照以后,它会把案件中的压缩文件、电子邮件以及附件解开,删除的数据恢复出来。经过磁盘快照的数据会比未经过磁盘快照时的文件数量更多,此时进行搜索得到的结果也会更准确

a4c26d1e5885305701be709a3d33442f.png

依据文件系统搜索并恢复目录及文件:将当前磁盘中的删除、丢失文件全部恢复。

通过文件签名搜索并恢复文件:根据文件签名值搜索特定类型格式文件,如:可以仅搜索并恢复doc格式文件。

计算哈希值:自动计算所有文件的哈希值。目录、0字节文件没有哈希值。算法支持MD5、SHA-1、SHA-256。

依据哈希库对比哈希值:如果已经拥有完整的哈希库,可在计算文件哈希值过程中,将哈希值与哈希库中值比对,以确定文件哈希分类。例如,通过此选项排除已知的Windows系统文件。

依据文件签名校验文件真实类型:可判断doc、jpg格式文件是否被改名或伪装。

分析ZIP和RAR等压缩文件中的数据:将压缩文件释放,并以虚拟目录形式浏览。

导出电子邮件正文和附件:拆解电子邮件,将邮件正文与附件以虚拟形式显示。

查找嵌入在正文内的图片:可以将WORD、PPT等复合文件中的图片抽取出来。

肤色图片和黑白图片检测:用于检测包含人体肤色特征的图片和其他黑白文字图片。

加密文件检测:用于检测特定类型加密文件,如加密的DOC、XLS文件。首先,通过熵值检测,自动对大于255

字节的文件进行检测。如果熵值超过设定值,文件属性标记为"e?" ,表明应仔细检查该文件。例如:PGP Desktop,

BestCrypt 或DriveCrypt 加密文件。熵值检测不适用于ZIP, RAR, CAB, JPG, MPG 和SWF

等文件。其次、可检测特定类型加密文件,如doc (MS Word 4至2003版),xls (MS Excel

2至2003版),ppt和pps (MS PowerPoint 97-2003),mpp (MS Project

98-2003),pdf (Adobe Acrobat)。如果为加密文件,文件属性显示 "e!" 。

更新快照:将当前案件中磁盘数据保持最新状态。更新快照后,上述所有操作及搜索记录等将全部被清空。



首页
产品
鉴定
联系