此外,调查员可以通过点击“记录所有操作”以启用或禁用自动日志功能。
当前创建的案件目录将被默认为数据恢复、证据导出的保存目录。如果需要将不同的案件中的证据文件导出到同一个目录下,可以禁用“输出至缺省证据文件夹”选项。
调查员可以根据案件来源地为案件设定两个不同的代码页。设定的代码页用于对案件中文件名称的支持,例如保存邮件时自动命名.eml文件,解压缩Zip文件时将文件名自动转换为 Unicode。如果代码页设置错误,则文件名无法正常识别;如两个代码相同,不会对案件产 生影响。如果代码页与当前Windows的代码页一致,则无需设置。
创建案例还可以设置保护口令,但这并不是对案件数据进行加密,只是设置了一个打开权限。
(是不是有好多实用贴心的小技巧?)
▍添加存储设备
创建案件后,即可添加所需获取/分析的目标
选择“案件数据”-“文件”-“添加存储设备”。
可以将与当前计算机连接的计算机存储介质,如硬盘、闪存卡、USB存储设备、CD-ROM, DVD 等添加为所需获取/分析的目标,也可添加镜像文件或普通的文件。
如果需要获取某个磁盘,可以通过逻辑驱动器、物理驱动器两种方式获取。如果一个磁盘中含有 C、D、E 三个分区,则以物理驱动器方式进行获取最为稳妥。
本例中,我们需要对虚拟机中创立的 8GB 虚拟硬盘进行获取,首先将该硬盘加入到当前案件中,如下图所示:
▍创建磁盘镜像
创建磁盘镜像,需在扇区察看方式下,选择菜单中的“文件”、“创建磁盘镜像”。
在“创建磁盘镜像”窗口中,需要注意几个方面:
镜像文件格式:本例中使用.E01 证据文件格式
路径和文件名:选择证据文件保存位置。
设定哈希算法及校验。
创建镜像文件过程中,将显示复制进度。当前选用了最大压缩率,数据获取速度如下图:
镜像结束后,根据设置,X-Ways Forensics 将自动开始校验哈希值,哈希值计算速度显示如下:
结束后,X-Ways Forensics 将自动生成 TXT 格式的操作日志。
从“C:\16.0\image”目录下,可以看到创建成功的镜像文件。
图中标记为1的 Evidence.e01、e02 两个文件,是利用 X-Ways Forensics 创建成功的 8GB 磁盘 EnCase 镜像 文件。其中,Evidence.TXT 是 X-Ways Forensics 创建的数据获取报告。
而标记为2的8GB-FF4.DEA和001、002、003几个文件,是由FinalForensics 4.0 软件创建的镜像文件。其中,FF4-HASH.TXT 是 FinalForensics 4.0 软件创建的哈希值 报告。
标记为3的8GB-DD.001、002、003、004、005几个文件,是利用X-WaysForensics 创建成功的 8GB 磁盘 DD 格式镜像文件。
对比几个镜像文件大小,可以看到DD 格式镜像文件容量最大winhex脚本下载,总约 8.4GB;E01 格式(最大压缩)容量较小,约 2.4GB;FinalForensics 4.0 软件创建的压缩格式镜像容量同样较小,约 2.4GB。
哦,对了,关于镜像格式的知识辅助卡盟,我们以后也会讲到,先在这里挖个坑Mark起来~
要说X-Ways这一个软件,就够小编写一个月了。单看那X-Ways的教材就厚厚一本,这篇文章该怎么写可真是苦了我了。不过,看完本篇的读者都已经成功入门,以后的路还挺长,咱们得一步步地来不是?
来源:【九爱网址导航www.fuzhukm.com】 免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
