2024年1月20日发(作者:)

X Ways Forensics 入门教程

x-waysforensics入门教程

x-waysforensics快速入门

第一章布局软件

x-wayforensics软件可以通过安装配置后使用,也可以通过运行

轻易采用。具体内容采用方法可以根据用户习惯去挑选。但通常来说,轻易运转最为便利。

软件使用中,保存有x-wayforensics软件临时文件和案例文件的分区将作为默认的数据输出路径,即只有该分区被允许写入数据。因此,在选择x-wayforensics软件使用分区时,需要考虑好下一步数据分析的实际情况。建议选择容量较大,数据较少的分区。使用软件前,请预先x-ways目录下建立如下三个文件夹,分别用于保存案例文件、镜像文件和临时文件。文件夹名称也可自定义。

一、第一次采用x-ways

运行x-waysforensic软件后,软件首次启动,出现英文用户界面。当进入软件后,将设置更改为中文后,再次启动即可以看到右侧的中文界面。

当数据分析采用时,一定必须挑选计算机法证版用户界面。精简界面为x-waysinvestigator用户界面。

点击确定后,将出现“generaloptions”对话框。此时软件界面仍为英文。暂时关闭该对话框,选择调用中文界面。

页面菜单中的|help|setup|chinese,please!,软件界面即为变为中文。如果将来须要采用英文界面,需用同样方法切换回去。

二、设置

采用x-waysforensics展开各项操作方式之前,首先须要展开设置。页面|菜单|常规设置|,或轻易按f5键,即可表明常规设置对话窗。

保存临时文件的目录:当前设置默认保存临时文件至c:documentsand

settingsspritelocalsettingstemp。为便于管理临时文件,我们为其新创建一个temp文件夹,本例为e:xwaytemp。

保存镜像和备份文件的目录:当前设置默认保存镜像文件和备份文件至c:documentsandsettingsspritelocalsettingstemp。为将来方便地调用和管理镜像文件,我们为其新创建一个images文件夹,路径为e:xwayimages。

留存案件和方案的目录:当前系统预设留存为x-waysforensics的当前目录下,本例为e:xway目录。由于将来建立的案件越来越多,这些案例文件留存在当前目录下非常纷乱,难于搜寻,因此,我们为其新创建一个案例文件夹,本例为e:xwaycase。

保存脚本的目录:系统默认保存在x-waysforensics的当前目录下,本例为e:xway目录。本手册中不涉及脚本,无需改变。

留存哈希库的目录:系统预设哈希库文件边线为e:xwayhashdb。此目录可以由x-waysforensics自动建立和管理,无须发生改变。

注:如果在固定计算机中安装使用x-waysforensics,通过鲜錾柚眉纯墒褂谩?br>如果在移动硬盘中使用x-waysforensics,请确定路径设置正确,并将上述路径指向移动硬盘中的相应目录。如果在光盘中使用x-waysforensics,则一定要将路径指向移动硬盘中的相应目录。

第二章建立案件

一、创建新案件

已经开始数据分析,首先必须建立案例,并将须要分析的存储介质或者镜像文件读取至案例中。x-waysforensics软件本身不能并使数据内容产生变化。

在案件数据对话框中,可输入案件名称、案件描述、调查员、机构地址等辅助信息。案件名称应使用英文或数字,否则案例日志和报告中无法出现屏幕快照图片。

为确保数据分析中表明的时间恰当,可于表明时区中设置恰当的时区信息。

案件创建日期将由x-waysforensics依据系统时钟自动创建。请确保当前计算机系统时间设置准确。二、添加数据

建立案件后,须要嵌入所须要以获取/分析的目标。可以嵌入物理存储设备,例如磁盘、光盘、usb移动存储设备等,也可以嵌入e01、dd磁盘镜像,以及x-ways自建的证据文件格式。