winhex脚本下载 【X-Ways取证快速入门】

winhex脚本下载 【X-Ways取证快速入门】

关闭 Winhex 帮助文件后，会看到 “General Options”(常规设置)窗口，此时软件界面仍为英文。

要将软件设置成为中文界面，点击菜单中的 “Help”(帮助)。

然后选择“Setup”(设置)，接着选择“Chinese, Please!” (中文)。

此后软件界面可显示为中文，如果某些时候需要参考英文界面词汇，可用同样步骤将菜单界面转换至英文。

常规设置

常规设置的目的是为 X-way Forensics 和 Winhex设置一个良好的运行环境，将个人操作习惯保存为固定设置。其中，最主要就是设置临时目录和案件保存目录，以便用户能够从固定的、习惯的位置找到案件中产生的数据。

点击“选项”调用“常规设置”，或者直接按 F5 键，即可进入“常规设置”对话窗。

下图中显示的常规设置窗口中，方框标记的区域是主要设置内容。

保存临时文件的目录:

用于保存分析过程中临时生成的数据。

软件最初设置中默认将临时文件保存至“C:Documents and Settings用户名Local SettingsTemp”。为便于管理临时文件，我们为其创建一个 temp 文件夹，本例为 C:16.0temp，见图例1。

保存镜像和备份文件的目录:

软件默认设置中镜像文件和备份文件会被保存至“C:Documentsand Settings用户名Local SettingsTemp”。为将来方便地调用和管理镜像文件，我们为其新创建一个 image 文件夹，本例中路径为 C:16.0image，见图例1。

保存案件和方案的目录:

当前系统默认保存至 X-ways Forensics 当前目录下，本例 为 E:xway 目录。由于将来创建的案件越来越多，将这些案例文件保存在当前目录下会造成 混乱、不利于查找，因此，我们为其新创建一个案例文件夹，本例为 C:16.0case，见图例1。

保存脚本的目录:

当前系统默认保存在至 X-ways Forensics 当前目录下，本例为 C:16.0script 目录。如果不涉及脚本，则无需改变。如果用户将来需要自行编制脚本， 可以建立 script 目录，用于专门保存于脚本相关的文件。

保存哈希库的目录:

系统默认哈希库保存位置为 C:16.0HashDB。此目录可由 X-ways Forensics 自动创建和管理，无需改变。

图例1

OK！好不容易配置好了软件，接下来我们试着用用吧。

三、案件管理与操作

▍创建新案件

利用 X-Ways Forensics 数据获取，或者进行数据分析，首先要创建一个新的案件。创建案件是为了将案件信息和需要分析的存储介质或者镜像文件加载到案例中。

X-ways Forensics 软件本身不会使数据内容产生变化，但操作系统和应用程序则可能对新加入的设备造成数据修改。因此数据获取过程中，应注意使用硬件写保护设备。

创建案件，选择“案件数据”，然后点击“文件”，选择“创建新案件”。

在属性对话框中，可输入案件名称、案件描述、调查员、机构地址等辅助信息。案件名 称可以根据需要设定一个便于记忆和区分的名字。

案件属性设置框

注意：案件名称需使用英文或数字winhex脚本下载，否则将来的案例日志和案件报告中无法出现屏幕快照图片。

X-ways Forensics 依据系统时钟自动生成案件创建日期。为保障X-Ways Forensics在证据固定过程中记录的时间准确，且在日后数据分析过程中显示的时间正确，请确保当前计算机系统时间设置无误，并在显示时区中设置正确的时区信息。

此外，调查员可以通过点击“记录所有操作”以启用或禁用自动日志功能。

当前创建的案件目录将被默认为数据恢复、证据导出的保存目录。如果需要将不同的案件中的证据文件导出到同一个目录下，可以禁用“输出至缺省证据文件夹”选项。

调查员可以根据案件来源地为案件设定两个不同的代码页。设定的代码页用于对案件中文件名称的支持，例如保存邮件时自动命名.eml文件，解压缩Zip文件时将文件名自动转换为 Unicode。如果代码页设置错误，则文件名无法正常识别；如两个代码相同，不会对案件产 生影响。如果代码页与当前Windows的代码页一致，则无需设置。

创建案例还可以设置保护口令，但这并不是对案件数据进行加密，只是设置了一个打开权限。

（是不是有好多实用贴心的小技巧？）

▍添加存储设备

创建案件后，即可添加所需获取/分析的目标

选择“案件数据”-“文件”-“添加存储设备”。

可以将与当前计算机连接的计算机存储介质，如硬盘、闪存卡、USB存储设备、CD-ROM, DVD 等添加为所需获取/分析的目标，也可添加镜像文件或普通的文件。

如果需要获取某个磁盘，可以通过逻辑驱动器、物理驱动器两种方式获取。如果一个磁盘中含有 C、D、E 三个分区，则以物理驱动器方式进行获取最为稳妥。

本例中，我们需要对虚拟机中创立的 8GB 虚拟硬盘进行获取，首先将该硬盘加入到当前案件中，如下图所示：

▍创建磁盘镜像

创建磁盘镜像，需在扇区察看方式下，选择菜单中的“文件”、“创建磁盘镜像”。

在“创建磁盘镜像”窗口中，需要注意几个方面:

镜像文件格式:本例中使用.E01 证据文件格式

路径和文件名:选择证据文件保存位置。

设定哈希算法及校验。

创建镜像文件过程中，将显示复制进度。当前选用了最大压缩率，数据获取速度如下图：

镜像结束后，根据设置，X-Ways Forensics 将自动开始校验哈希值，哈希值计算速度显示如下：

结束后，X-Ways Forensics 将自动生成 TXT 格式的操作日志。

从“C:16.0image”目录下，可以看到创建成功的镜像文件。

图中标记为1的 Evidence.e01、e02 两个文件，是利用 X-Ways Forensics 创建成功的 8GB 磁盘 EnCase 镜像 文件。其中，Evidence.TXT 是 X-Ways Forensics 创建的数据获取报告。

而标记为2的8GB-FF4.DEA和001、002、003几个文件，是由FinalForensics 4.0 软件创建的镜像文件。其中，FF4-HASH.TXT 是 FinalForensics 4.0 软件创建的哈希值 报告。

标记为3的8GB-DD.001、002、003、004、005几个文件，是利用X-WaysForensics 创建成功的 8GB 磁盘 DD 格式镜像文件。

对比几个镜像文件大小，可以看到DD 格式镜像文件容量最大winhex脚本下载，总约 8.4GB;E01 格式(最大压缩)容量较小，约 2.4GB；FinalForensics 4.0 软件创建的压缩格式镜像容量同样较小，约 2.4GB。

哦，对了，关于镜像格式的知识辅助卡盟，我们以后也会讲到，先在这里挖个坑Mark起来～

要说X-Ways这一个软件，就够小编写一个月了。单看那X-Ways的教材就厚厚一本，这篇文章该怎么写可真是苦了我了。不过，看完本篇的读者都已经成功入门，以后的路还挺长，咱们得一步步地来不是？

来源：【九爱网址导航www.fuzhukm.com】 免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！