案件取證操作X-Ways

案件取證操作X-WaysForensics使用軟件介紹X-WaysForensics是WinHex軟件法政版，也是一款應(yīng)用較為廣泛的，運(yùn)行與Windows環(huán)境的取證分析軟件。以下以本課案例說(shuō)明Tom利用該軟件進(jìn)行取證分析的常用操作。環(huán)境設(shè)置X-wayForensics軟件可以通過(guò)setup.exe安裝配置后使用，也可以通過(guò)運(yùn)行xwforensics.exe直接使用。具體使用方法可根據(jù)用戶(hù)習(xí)慣來(lái)選擇。但通常來(lái)說(shuō)，直接運(yùn)行最為方便。通常，取證調(diào)查人員在使用X-WaysForensics時(shí)需要對(duì)工作環(huán)境按照自己的工作習(xí)慣和要求進(jìn)行一些設(shè)置。環(huán)境設(shè)置軟件使用中，保存有X-wayForensics軟件臨時(shí)文件和案例文件的分區(qū)將作為默認(rèn)的數(shù)據(jù)輸出路徑，即只有該分區(qū)被允許寫(xiě)入數(shù)據(jù)。因此，在選擇X-wayForensics軟件使用分區(qū)時(shí)，需要考慮好下一步數(shù)據(jù)分析的實(shí)際情況。建議選擇容量較大，數(shù)據(jù)較少的分區(qū)。環(huán)境設(shè)置使用軟件前，調(diào)查人員Tom通常需要預(yù)先建立“cases”、“temp”、“images”和“scripts”四個(gè)文件夾，分別用于保存案例文件、臨時(shí)文件、鏡像文件和腳本文件，并在軟件設(shè)置中對(duì)該四個(gè)文件夾的路徑進(jìn)行指定。環(huán)境設(shè)置使用X-waysForensics進(jìn)行各項(xiàng)操作之前，首先需要進(jìn)行設(shè)置。點(diǎn)擊菜單中的“Options->General…”鍵，即可顯示常規(guī)設(shè)置對(duì)話窗。環(huán)境設(shè)置在該對(duì)話框中有5個(gè)重要的軟件工作目錄需要設(shè)置：保存臨時(shí)文件的目錄：默認(rèn)保存臨時(shí)文件至C:\DocumentsandSettings\sprite\LocalSettings\Temp。為便于管理臨時(shí)文件，通常為其新創(chuàng)建一個(gè)temp文件夾，本例中Tom將其指定為E:\X-Ways\temp；環(huán)境設(shè)置在該對(duì)話框中有5個(gè)重要的軟件工作目錄需要設(shè)置：保存鏡像和備份文件的目錄：設(shè)置默認(rèn)保存鏡像文件和備份文件至C:\DocumentsandSettings\sprite\LocalSettings\Temp。為將來(lái)方便地調(diào)用和管理鏡像文件，通常需要為其新創(chuàng)建一個(gè)images文件夾，本例中Tom將其指定為E:\X-Ways\images；環(huán)境設(shè)置在該對(duì)話框中有5個(gè)重要的軟件工作目錄需要設(shè)置：保存案件和方案的目錄：默認(rèn)保存為X-waysForensics的當(dāng)前目錄下，由于調(diào)查人員創(chuàng)建的案件越多，這些案例文件保存在當(dāng)前目錄下就會(huì)越混亂，不易查找，因此，Tom為其新創(chuàng)建一個(gè)案例文件夾，并指定為E:\X-Ways\cases；環(huán)境設(shè)置在該對(duì)話框中有5個(gè)重要的軟件工作目錄需要設(shè)置：保存腳本的目錄：默認(rèn)保存在X-waysForensics的當(dāng)前目錄下，基于便于管理的原因，Tom將其指定為E:\X-Ways\scripts；保存哈希庫(kù)的目錄：默認(rèn)哈希庫(kù)文件位置為E:\xway\HashDB。此目錄可由X-waysForensics自動(dòng)創(chuàng)建和管理，也可通過(guò)調(diào)查人員指定，本例中Tom將其指定為E:\X-Ways\HashDB。環(huán)境設(shè)置環(huán)境設(shè)置注：如果在固定計(jì)算機(jī)中安裝使用X-waysForensics，通過(guò)上述設(shè)置即可使用。如果在移動(dòng)硬盤(pán)中使用X-waysForensics，請(qǐng)確定路徑設(shè)置正確，并將上述路徑指向移動(dòng)硬盤(pán)中的相應(yīng)目錄。如果在光盤(pán)中使用X-waysForensics，則一定要將路徑指向移動(dòng)硬盤(pán)中的相應(yīng)目錄。。創(chuàng)建案件Tom啟動(dòng)X-WaysForensics，并在CaseData欄的菜單中選擇“File->CreateNewCase”。創(chuàng)建案件Tom在隨后出現(xiàn)的案件數(shù)據(jù)對(duì)話框中，輸入案件編號(hào)、案件描述、調(diào)查員、機(jī)構(gòu)地址等輔助信息（案件名稱(chēng)應(yīng)使用英文或數(shù)字，以避免案例日志和報(bào)告中無(wú)法出現(xiàn)屏幕快照?qǐng)D片的情況）。創(chuàng)建案件為保障數(shù)據(jù)分析中顯示的時(shí)間正確，Tom點(diǎn)擊“Displaytimezone…”按鈕，并在隨后出現(xiàn)的時(shí)區(qū)選擇對(duì)話框中選擇正確的時(shí)區(qū)。（案件創(chuàng)建日期將由X-waysForensics依據(jù)系統(tǒng)時(shí)鐘自動(dòng)創(chuàng)建，因此創(chuàng)建案例前應(yīng)確保當(dāng)前取證工作計(jì)算機(jī)系統(tǒng)時(shí)間設(shè)置的準(zhǔn)確）。創(chuàng)建案件新案例創(chuàng)建完成后，在CaseData欄出現(xiàn)了剛剛創(chuàng)建的案例。利用X-Ways進(jìn)行取證復(fù)制Tom在CaseData欄中選擇“File->AddMedium”，添加所需獲取Adam辦公計(jì)算機(jī)硬盤(pán)。利用X-Ways進(jìn)行取證復(fù)制在隨后出現(xiàn)的磁盤(pán)介質(zhì)選擇對(duì)話框中選擇需要復(fù)制的源物理磁盤(pán)。利用X-Ways進(jìn)行取證復(fù)制磁盤(pán)加載后，出現(xiàn)該磁盤(pán)的結(jié)構(gòu)分析。利用X-Ways進(jìn)行取證復(fù)制Tom在加載了源物理磁盤(pán)后，在X-WaysForesics的菜單中選擇“File->CreateDiskImage…”，進(jìn)行制作該源磁盤(pán)的取證復(fù)制鏡像。利用X-Ways進(jìn)行取證復(fù)制隨后Tom在磁盤(pán)鏡像創(chuàng)建對(duì)話框中選擇鏡像文件格式為“E01”、確定鏡像文件名和存放路徑、鏡像描述、計(jì)算Hash碼的格式“SHA-1”以及鏡像文件長(zhǎng)度等信息。利用X-Ways進(jìn)行取證復(fù)制在點(diǎn)擊“Ok”后，X-WaysForensics開(kāi)始為Adam的辦公計(jì)算機(jī)磁盤(pán)制作取證備份鏡像。利用X-Ways進(jìn)行取證復(fù)制鏡像制作完成后出現(xiàn)提醒對(duì)話框。并且出現(xiàn)該鏡像Hash碼的計(jì)算結(jié)果利用X-Ways進(jìn)行取證復(fù)制在該鏡像的目的文件夾中，存儲(chǔ)了分卷的Adam辦公計(jì)算機(jī)磁盤(pán)的取證鏡像。添加原始證據(jù)取證分析的原始證據(jù)可能是一個(gè)物理的計(jì)算機(jī)磁盤(pán)、U盤(pán)、各種存儲(chǔ)卡以及它們的取證鏡像等等。在本例中Tom需要將業(yè)已獲取的Adam辦公計(jì)算機(jī)磁盤(pán)的取證鏡像添加進(jìn)案例中。添加原始證據(jù)需要添加原始證據(jù)時(shí)，可選擇CaseDate欄菜單中的“File”按鈕“AddMedium…”：通常用以向案例中添加物理磁盤(pán)驅(qū)動(dòng)器；“AddImage…”：向案例中添加磁盤(pán)鏡像文件；“AddFile…”：向案例中添加單個(gè)文件。由于Tom已經(jīng)制作了Adam辦公計(jì)算機(jī)磁盤(pán)的取證鏡像，因此選擇“AddImage…”，并選擇好鏡像文件，添加到案例中。驗(yàn)證原始證據(jù)添加原始證據(jù)后，首先需要確保證據(jù)沒(méi)有被改變，即需要驗(yàn)證證據(jù)。雙擊添加的鏡像，驗(yàn)證鏡像中的指紋是否正確?；窘缑婧筒僮鲃偧尤氚讣拇疟P(pán)鏡像，沒(méi)有磁盤(pán)文件目錄樹(shù)，如果需要顯示驅(qū)動(dòng)器下所有文件，應(yīng)在右邊視圖欄的上方，使用鼠標(biāo)右擊磁盤(pán)鏡像圖標(biāo)，選擇右鍵菜單中的“AddAllPartitionsToCase”展開(kāi)目錄基本界面和操作若調(diào)查時(shí)僅需要顯示出某個(gè)目錄下的所有文件，則選中需要瀏覽的目錄或驅(qū)動(dòng)器，然后點(diǎn)擊文件瀏覽工作區(qū)下方的顯示所有文件的按鈕?；窘缑婧筒僮鬟^(guò)濾漏斗：當(dāng)工作區(qū)左上角出現(xiàn)藍(lán)色的漏斗時(shí)，表示目前應(yīng)用了過(guò)濾文件的設(shè)置，點(diǎn)擊該漏斗可以調(diào)出文件過(guò)濾對(duì)話框?qū)^(guò)濾條件進(jìn)行修改?；窘缑婧筒僮鞔翱谖募?shù)量：位于右上角，表示當(dāng)前窗口顯示出的文件數(shù)量及總計(jì)文件數(shù)量。本例中，由于應(yīng)用了過(guò)濾操作，窗口右上角數(shù)字含義為：應(yīng)用過(guò)濾后，有16份文件符合過(guò)濾要求，有46份文件被過(guò)濾掉。如果沒(méi)有使用過(guò)濾，此處僅顯示文件總數(shù)量，即62份文件。基本界面和操作選擇文件數(shù)量：位于右下角，表示當(dāng)前窗口選擇的文件數(shù)量及容量。本例中，選擇了3份文件，總計(jì)容量31.3MB。基本界面和操作文件標(biāo)記：文件名稱(chēng)前面的小方框?yàn)闃?biāo)記選框?？梢允止槲募鹨惶砑訕?biāo)記，也可以通過(guò)右鍵菜單中的“Tag”命令為所選文件添加標(biāo)記。過(guò)濾文件根據(jù)案件性質(zhì)，通過(guò)設(shè)置適合的過(guò)濾器對(duì)文件進(jìn)行過(guò)濾，從而提高調(diào)查效率，是調(diào)查分析人員的基本技能。在X-waysForensics中，通過(guò)點(diǎn)擊過(guò)濾漏斗（如果未出現(xiàn)藍(lán)色漏斗圖標(biāo)可以點(diǎn)擊文件瀏覽工作區(qū)左上角的“/”圖標(biāo)）可以打開(kāi)過(guò)濾器設(shè)置對(duì)話框。過(guò)濾文件在過(guò)濾器設(shè)置對(duì)話框的右邊列出了一系列常用的過(guò)濾和顯示項(xiàng)，對(duì)于每一項(xiàng)均設(shè)置有一個(gè)輸入欄，如果其中的數(shù)字為0，就表示不顯示該欄目，而如果其中的數(shù)字>0，則表示顯示該欄目，并且按照該欄中的數(shù)字來(lái)設(shè)置實(shí)際顯示的寬度。通常，如果需顯示未列出的欄目，可將該欄目數(shù)值從0更改為50進(jìn)行暫時(shí)的設(shè)定，之后可利用鼠標(biāo)將相應(yīng)的欄目調(diào)整至滿(mǎn)意寬度。過(guò)濾文件在對(duì)話框右邊的系列項(xiàng)目中，有部分項(xiàng)目的最右邊具有漏斗按鈕，當(dāng)某個(gè)或某些漏斗按鈕處于按下?tīng)顟B(tài)并變?yōu)樗{(lán)色時(shí)，表明對(duì)應(yīng)的項(xiàng)已經(jīng)設(shè)置了過(guò)濾條件。調(diào)查者可以點(diǎn)擊漏斗按鈕來(lái)設(shè)置和組織單項(xiàng)或復(fù)合的過(guò)濾條件。過(guò)濾文件例如Tom點(diǎn)擊“Filename”欄對(duì)應(yīng)的漏斗按鈕，就調(diào)出文件名過(guò)濾對(duì)話框。Tom可以在該對(duì)話框中設(shè)置文件名過(guò)濾條件，并點(diǎn)擊“Activate”按鈕激活該過(guò)濾條件。圖例說(shuō)明在文件瀏覽工作區(qū)中，會(huì)有一些不同的文件及圖標(biāo)顯示方式，具體含義可點(diǎn)擊工作區(qū)下方的“Legend”按鈕，調(diào)出圖例說(shuō)明隨時(shí)進(jìn)行察看。圖例說(shuō)明其中較為常見(jiàn)和重要的圖例和符號(hào)如下：文件/文件夾圖標(biāo)：：現(xiàn)有目錄；：為分析需要虛擬出的目錄；：已刪除的目錄，通?？沙晒謴?fù)；：已刪除的目錄，未發(fā)現(xiàn)首簇；：根目錄；圖例說(shuō)明其中較為常見(jiàn)和重要的圖例和符號(hào)如下：文件/文件夾圖標(biāo)：：現(xiàn)存在的文件；：為分析需要虛擬出的文件；：已刪除的文件，通?？沙晒謴?fù)；：已刪除的文件，未發(fā)現(xiàn)首簇；圖例說(shuō)明其中較為常見(jiàn)和重要的圖例和符號(hào)如下：文件屬性符號(hào)：A：文檔R：只讀H：隱含S：系統(tǒng)C：文件系統(tǒng)級(jí)壓縮c：壓縮文件圖例說(shuō)明其中較為常見(jiàn)和重要的圖例和符號(hào)如下：文件屬性符號(hào)：E：文件系統(tǒng)級(jí)加密e：壓縮文件中的加密e!：特定文件類(lèi)型加密e？：加密的可能性較大預(yù)覽文件X-Ways內(nèi)置了較強(qiáng)的文件察看器，初始可支持幾百種文件格式的查看。點(diǎn)擊文件瀏覽工作區(qū)下方的“Preview”按鈕，當(dāng)在文件瀏覽工作區(qū)選擇某個(gè)文件時(shí)，即可在界面右下部分察看文件的內(nèi)容。如果預(yù)覽文件時(shí)，還未對(duì)案件數(shù)據(jù)進(jìn)行磁盤(pán)快照，那么X-Ways將自動(dòng)對(duì)文件簽名、加密等狀態(tài)進(jìn)行檢測(cè)。進(jìn)行磁盤(pán)快照調(diào)查人員創(chuàng)建案件，并載入磁盤(pán)鏡像后，通常首先進(jìn)行磁盤(pán)快照。由于磁盤(pán)快照過(guò)程將會(huì)把案件中的所支持的壓縮文件、電子郵件及附件、刪除的數(shù)據(jù)解開(kāi)及恢復(fù)出來(lái)，因此快照處理后得到的數(shù)據(jù)要比未進(jìn)行磁盤(pán)快照的文件數(shù)量多。此時(shí)進(jìn)行過(guò)濾和搜索，會(huì)得到更為準(zhǔn)確的結(jié)果。進(jìn)行磁盤(pán)快照Tom在將Adam的辦公計(jì)算機(jī)磁盤(pán)鏡像加載到案件中后，在X-WaysForensics的菜單中選擇“Specialist->RefineVolumeSnapshot…”，彈出磁盤(pán)快照對(duì)話框。進(jìn)行磁盤(pán)快照每個(gè)任務(wù)前面的方框表示是否選取該項(xiàng)，后面的方框表示完成的狀態(tài)。綠色對(duì)勾表示全部完成；實(shí)心綠框表示已完成了部分，但尚未全部完成。進(jìn)行磁盤(pán)快照Particularlythoroughfilesystemstructuresearch：依據(jù)文件系統(tǒng)搜索并恢復(fù)目錄及文件，將當(dāng)前磁盤(pán)中的刪除、丟失文件全部恢復(fù)。進(jìn)行磁盤(pán)快照Fileheadersignaturesearch：依據(jù)文件頭特征搜索文件。進(jìn)行磁盤(pán)快照Computehash：計(jì)算哈希值，自動(dòng)計(jì)算所有文件的哈希值。目錄和0字節(jié)文件沒(méi)有哈希值。算法支持MD5、SHA-1、SHA-256。勾選此項(xiàng)后，會(huì)出現(xiàn)一個(gè)選擇框，進(jìn)行是否對(duì)Hash庫(kù)進(jìn)行匹配進(jìn)行選擇。如果調(diào)查時(shí)已經(jīng)擁有了完整的哈希庫(kù)，可在計(jì)算文件哈希值過(guò)程中，將哈希值與哈希庫(kù)中值比對(duì)，以確定文件哈希分類(lèi)。例如，通過(guò)此選項(xiàng)排除已知的Windows系統(tǒng)文件。進(jìn)行磁盤(pán)快照Verifyfiletypesbasedonsignatures：依據(jù)文件簽名校驗(yàn)文件真實(shí)類(lèi)型：可判斷doc、jpg等格式的文件是否被改名或進(jìn)行了偽裝。進(jìn)行磁盤(pán)快照ExploreandincludecontentsofZIPandRARarchivesetc.：分析ZIP和RAR等壓縮文件中的數(shù)據(jù)。如果選中該項(xiàng)，會(huì)出現(xiàn)另一個(gè)選項(xiàng)“Treatarchiveslikedirectoriesafterwards”，如果勾選該項(xiàng)，則將壓縮文件釋放，并以虛擬目錄形式瀏覽。進(jìn)行磁盤(pán)快照SearchforJPEGandPNGpicturesembeddedin…：查找嵌入在正文內(nèi)的圖片，可將WORD、PPT等復(fù)合文件中的圖片抽取出來(lái)。Skintoneandb&wdetectioninpictures：膚色圖片和黑白圖片檢測(cè)：用于檢測(cè)包含人體膚色特征的圖片和其他黑白文字圖片。進(jìn)行磁盤(pán)快照Fileformatspecificandstatisticalencryptiontests：加密文件檢測(cè)，用于檢測(cè)特定類(lèi)型加密文件，如加密的DOC、XLS文件。檢測(cè)時(shí)，首先通過(guò)熵檢測(cè)，自動(dòng)對(duì)大于255字節(jié)的文件進(jìn)行檢測(cè)。如果熵的值超過(guò)設(shè)定值，文件屬性標(biāo)記為"e?"，表明應(yīng)仔細(xì)檢查該文件（熵值檢測(cè)不適用于ZIP,RAR,CAB,JPG,MPG和SWF）等文件。其次可檢測(cè)特定類(lèi)型加密文件，如doc、xls、ppt和pps以及pdf。如果為加密文件，文件屬性顯示“e!”。進(jìn)行磁盤(pán)快照Takenewone：更新快照，將當(dāng)前案件中磁盤(pán)數(shù)據(jù)保持最新?tīng)顟B(tài)。更新快照后，上述所有操作及搜索記錄等將全部被清空。進(jìn)行磁盤(pán)快照完成磁盤(pán)快照之后，通常會(huì)顯示案件中數(shù)據(jù)增多，這時(shí)才能繼續(xù)進(jìn)行過(guò)濾、搜索等深入分析操作。過(guò)濾器的使用調(diào)查人員使用過(guò)濾器從海量的文件信息中過(guò)濾掉與案件沒(méi)有關(guān)聯(lián)的信息，從而可以大大提高取證分析的效率。過(guò)濾器設(shè)置界面調(diào)出的方法在之前已經(jīng)敘述。在過(guò)濾器界面中可以看到，凡是帶有漏斗按鈕的項(xiàng)，均可設(shè)置過(guò)濾。過(guò)濾器的使用按文件名過(guò)濾在按文件名過(guò)濾時(shí)可使用通配符“*”來(lái)代表任意長(zhǎng)度的任意字符，從而針對(duì)特定文件名進(jìn)行過(guò)濾。此種過(guò)濾方式，適用于對(duì)文件名，及單一文件類(lèi)型（文件擴(kuò)展名）過(guò)濾，如設(shè)立“*.jpg、*.doc、*Adam”等。過(guò)濾器的使用按文件類(lèi)型過(guò)濾按文件類(lèi)型過(guò)濾的設(shè)置框，可按照設(shè)定的文件分類(lèi)，對(duì)不同類(lèi)型的文件進(jìn)行過(guò)濾。通過(guò)此過(guò)濾方式，可將文本文檔、圖形圖像文件、壓縮文件、音視頻文件以及各種重要數(shù)據(jù)文件（注冊(cè)表文件、互聯(lián)網(wǎng)歷史記錄、回收站文件、日志文件等），過(guò)濾并在文件瀏覽工作區(qū)顯示出來(lái)。過(guò)濾器的使用按文件類(lèi)型過(guò)濾使用按文件類(lèi)型過(guò)濾時(shí)首先應(yīng)在磁盤(pán)快照中選擇依據(jù)文件簽名校驗(yàn)文件真實(shí)類(lèi)型，并在過(guò)濾設(shè)置框中選擇相應(yīng)文件類(lèi)型，點(diǎn)擊“Activate”進(jìn)行過(guò)濾，如此才能在調(diào)查時(shí)判斷出文件的真實(shí)類(lèi)型。文件過(guò)濾類(lèi)型可以自定義擴(kuò)充與修改。過(guò)濾器的使用按簽名狀態(tài)過(guò)濾進(jìn)行完整磁盤(pán)快照后，X-WaysForensics可依據(jù)文件簽名來(lái)檢測(cè)每一個(gè)文件的簽名信息是否匹配，其設(shè)置框如圖。如果文件擴(kuò)展名被改變，簽名狀態(tài)將顯示為簽名不匹配。通過(guò)選擇過(guò)濾選項(xiàng)中的文件簽名顯示狀態(tài)，可發(fā)現(xiàn)簽名匹配和不匹配的文件。過(guò)濾器的使用按簽名狀態(tài)過(guò)濾缺省狀態(tài)下，文件顯示為“notverified”（簽名未校驗(yàn)）。在通過(guò)文件簽名校驗(yàn)文件類(lèi)型后：如果文件非常小，狀態(tài)被顯示為“don’tcare”（無(wú)關(guān)的）；如果文件擴(kuò)展名和文件簽名都未知，狀態(tài)被顯示為“notinlist”（不在列表中）；過(guò)濾器的使用按簽名狀態(tài)過(guò)濾如果文件簽名和文件擴(kuò)展名一致，狀態(tài)被顯示為“confirmed”（簽名匹配）；如果文件擴(kuò)展名正確，但文件簽名未知，狀態(tài)顯示為“notconfirmed”（簽名未確認(rèn)）；如果文件簽名和文件擴(kuò)展名不匹配，或沒(méi)有文件擴(kuò)展名，狀態(tài)顯示為“newlyidentified”（新的標(biāo)識(shí)），即簽名不匹配。過(guò)濾器的使用按文件大小過(guò)濾按文件大小過(guò)濾的設(shè)置框如圖，其功能是根據(jù)文件的實(shí)際大小進(jìn)行過(guò)濾（不包含殘留區(qū)數(shù)據(jù)）。過(guò)濾器的使用按文件大小過(guò)濾設(shè)置框中的第一選項(xiàng)，用于設(shè)定過(guò)濾小于特定容量的文件，如可查找小于1.8MB的文件；第二選項(xiàng)，用于設(shè)定大于特定容量的文件，如可查找大于1.5KB的文件。兩個(gè)選項(xiàng)同時(shí)使用，用于設(shè)定特定容量大小之間的文件。過(guò)濾器的使用按文件關(guān)鍵時(shí)間過(guò)濾按文件關(guān)鍵時(shí)間過(guò)濾的設(shè)置框如圖，其功能是根據(jù)文件的一些關(guān)鍵時(shí)間（創(chuàng)建時(shí)間、修改時(shí)間、訪問(wèn)時(shí)間等等）進(jìn)行文件過(guò)濾。過(guò)濾器的使用按文件關(guān)鍵時(shí)間過(guò)濾Created：創(chuàng)建時(shí)間，當(dāng)前磁盤(pán)中的文件和目錄的創(chuàng)建時(shí)間；Modified：修改時(shí)間，當(dāng)前磁盤(pán)中文件和目錄最后修改的時(shí)間；過(guò)濾器的使用按文件關(guān)鍵時(shí)間過(guò)濾Accessed：訪問(wèn)時(shí)間，當(dāng)前磁盤(pán)中文件和目錄的最后讀取或訪問(wèn)的時(shí)間；Recordupdate：記錄更新時(shí)間，NTFS或Linux文件系統(tǒng)中，文件和目錄的最后修改時(shí)間（這些信息包含于文件元數(shù)據(jù)中）；Deletion：刪除時(shí)間，Linux系統(tǒng)下文件和目錄的刪除時(shí)間。過(guò)濾器的使用按文件屬性過(guò)濾按文件屬性過(guò)濾的設(shè)置框如圖，其功能是根據(jù)文件屬性進(jìn)行文件過(guò)濾。該設(shè)置框中的過(guò)濾條件可以進(jìn)行組合設(shè)立，但是有一些過(guò)濾條件不能單獨(dú)設(shè)立過(guò)濾器的使用按文件屬性過(guò)濾e，e!，E：按照加密文件過(guò)濾，其中包含利用ZIP和RAR加密的文件、特定文件類(lèi)型的加密文件和文件系統(tǒng)級(jí)的加密文件；SUID，SGID：按照系統(tǒng)使用者（SUID）和系統(tǒng)使用組（SGID）過(guò)濾；P：按NTFS文件系統(tǒng)的連接點(diǎn)過(guò)濾；過(guò)濾器的使用按文件屬性過(guò)濾ADS：按照NTFS交替數(shù)據(jù)流過(guò)濾，NTFS文件系統(tǒng)中每條文件記錄支持多個(gè)$DATA屬性，每個(gè)屬性稱(chēng)為一個(gè)交替數(shù)據(jù)流；c，C：按照壓縮文件進(jìn)行過(guò)濾，其中包含利用ZIP和RAR等壓縮的文件以及文件系統(tǒng)級(jí)的壓縮文件。利用X-Ways搜索數(shù)據(jù)信息調(diào)查人員在對(duì)原始證據(jù)進(jìn)行深入取證分析時(shí)，常常使用同步搜索的功能來(lái)查找具體的證據(jù)信息。同步搜索，允許調(diào)查人員指定一個(gè)搜索關(guān)鍵詞列表文件，文件的每行設(shè)定一個(gè)搜索關(guān)鍵詞，所發(fā)現(xiàn)的搜索關(guān)鍵詞被保存在搜索列表或位置管理器中。同步搜索能夠以“物理搜索”和“邏輯搜索”兩種方式進(jìn)行。物理搜索是通過(guò)對(duì)物理扇區(qū)信息的掃描方式進(jìn)行，而邏輯搜索則是通過(guò)常用的文件內(nèi)容搜索方式進(jìn)行。數(shù)據(jù)搜索時(shí)，可以同時(shí)使用Unicode(UCS-2LE)和代碼頁(yè)方式對(duì)相同的詞匯全面搜索。同步搜索設(shè)置框通過(guò)X-Ways菜單欄的“Search->SimultaneousSearch…”或使用快捷鍵Alt+F10打開(kāi)，打開(kāi)的同步搜索設(shè)置框如圖利用X-Ways搜索數(shù)據(jù)信息設(shè)定搜索參數(shù)在搜索前，調(diào)查人員需要設(shè)定搜索的區(qū)域，如果是針對(duì)某個(gè)特定的目錄或驅(qū)動(dòng)器搜索，就需要將搜索的目錄或驅(qū)動(dòng)器的所有文件展開(kāi)（在界面左邊的“CaseData”欄的目錄樹(shù)中，使用鼠標(biāo)右擊需要搜索的文件夾或驅(qū)動(dòng)器）；如果是針對(duì)符合某些條件的文件進(jìn)行搜索，則需要通過(guò)過(guò)濾器選擇所需搜索的文件。在設(shè)置框的左邊空白欄輸入需要搜索的關(guān)鍵詞，關(guān)鍵詞分行，每行一個(gè)關(guān)鍵詞且支持空格。輸入關(guān)鍵字，可在設(shè)置框的右邊選擇字符編碼，可以選擇只搜索ASCII碼、只搜索Unicode編碼或者兩者同時(shí)搜索。利用X-Ways搜索數(shù)據(jù)信息設(shè)定搜索參數(shù)當(dāng)設(shè)定了需要的搜索關(guān)鍵字和搜索條件，并選中“Listsearchhits”后，點(diǎn)擊“OK”進(jìn)行搜索。利用X-Ways搜索數(shù)據(jù)信息查看搜索結(jié)果搜索結(jié)束后，自動(dòng)顯示所有包含關(guān)鍵詞的搜索結(jié)果，如圖，也可在搜索完成后，隨時(shí)使用文件瀏覽工作區(qū)下方的藍(lán)色望遠(yuǎn)鏡圖標(biāo)按鈕來(lái)打開(kāi)搜索結(jié)果。利用X-Ways搜索數(shù)據(jù)信息查看搜索結(jié)果本例中Tom共設(shè)定了4個(gè)關(guān)鍵詞，搜索后從文件瀏覽工作區(qū)右上角可以看出，搜索命中了1082個(gè)結(jié)果。在X-Ways界面左下部分列出了歷次搜索的關(guān)鍵詞，雙擊每一個(gè)關(guān)鍵詞，可以查看該關(guān)鍵詞的搜索結(jié)果。搜索結(jié)果同時(shí)保存在案例文件中。再次打開(kāi)案例文件，搜索結(jié)果依然保存。如果需要?jiǎng)h除搜索結(jié)果，需要選定要?jiǎng)h除的關(guān)鍵詞，并使用“DEL”鍵，刪除該關(guān)鍵詞及搜索結(jié)果。利用X-Ways搜索數(shù)據(jù)信息查看搜索結(jié)果對(duì)于搜索命中的文件操作，與文件瀏覽工作區(qū)的操作方法類(lèi)似?？梢栽赬-Ways右下部選擇預(yù)覽選中文件，也可以通過(guò)鼠標(biāo)右鍵菜單，對(duì)特定文件進(jìn)行標(biāo)記、復(fù)制、注釋等操作。如要在案件報(bào)告里包含文件內(nèi)容中的重要信息，則需復(fù)制這些信息，粘貼到注釋中。利用X-Ways提取文件如果調(diào)查人員在取證分析時(shí)希望將感興趣的文件從原始證據(jù)磁盤(pán)鏡像中提取出來(lái)，使用第三方的軟件進(jìn)行分析（例如對(duì)文件進(jìn)行解密、解析電子郵件文件等），可以使用X-WaysForensics的文件提取功能。使用文件提取功能時(shí)，首先選中需要提取的單個(gè)或一組文件，并在右鍵菜單中選擇“Recover/Copy…”，如圖利用X-Ways提取文件在隨之彈出的文件提取對(duì)話框中選擇存放文件的路徑，如圖利用X-Ways提取文件通常默認(rèn)的提取路徑在系統(tǒng)環(huán)境設(shè)置時(shí)指定的“Cases\案件名\磁盤(pán)鏡像和分區(qū)名\”路徑下，如果調(diào)查人員在文件提取對(duì)話框中勾選了“Recreateorig.path”選擇項(xiàng)，那么最終路徑就會(huì)按照該文件在原始證據(jù)中實(shí)際存在的路徑來(lái)創(chuàng)建目錄和存放利用X-Ways提取文件提取文件后可以對(duì)該文件利用第三方軟件進(jìn)行分析。如果取證調(diào)查人員認(rèn)為有必要將這個(gè)文件單獨(dú)提取出來(lái)并加入案件中，以便此后的報(bào)告中明確顯示，或者方便后續(xù)的分析工作，可以右鍵點(diǎn)擊這個(gè)文件并在右鍵菜單中選擇“AddToActiveCase”，該文件就會(huì)單獨(dú)出現(xiàn)在界面左方的“CaseData”欄的目錄樹(shù)中利用X-Ways提取文件為了保證單獨(dú)加入的文件的客觀性，通常調(diào)查人員會(huì)對(duì)該文件立即制作Hash碼，即在“CaseData”欄目錄樹(shù)中右擊該文件，在右鍵菜單中選擇“Properties...”，且在隨之彈出的對(duì)話框中選擇“Computehash...”按鈕。隨后選擇制作Hash碼的方式，可選擇利用校驗(yàn)和（8位、16位、32位或64位）、循環(huán)冗余碼（CRC16或CRC32）、MD5、SHA-1或SHA-256等多種方式制作（通常選擇MD5或S