WINHEX 快速入门

WINHEX快速入门
2010-05-25 18:52:39 来源：陕西同心数据恢复中心浏览：162次
这个快速入门本人已经写完很久了，准备随着新版本推出逐步更新, 加入一些最新功能介绍。

喜欢X-Ways Forensics的朋友们可以关注一下。

第一章配置软件
X-way Forensics软件可以通过setup.exe安装配置后使用，也可以通过运行xwforensics.exe直接使用。

具体使用方法可根据用户习惯来选择。

但通常来说，直接运行最为方便。

软件使用中，保存有X-way Forensics软件临时文件和案例文件的分区将作为默认的数据输出路径，即只有该分区被允许写入数据。

因此，在选择X-way Forensics软件使用分区时，需要考虑好下一步数据分析的实际情况。

建议选择容量较大，数据较少的分区。

使用软件前，请预先X-ways目录下建立如下三个文件夹，分别用于保存案例文件、镜像文件和临时文件。

文件夹名称也可自定义
一、第一次使用X-ways
运行X-ways Forensic软件后，软件首次启动，出现英文用户界面。

当进入软件后，将设置更改为中文后，再次启动即可以看到右侧的中文界面。

当数据分析使用时，一定要选择计算机法证版用户界面。

简化界面为 X-ways Investigator 用户界面。

点击确定后，将出现“General Options”对话框。

此时软件界面仍为英文。

暂时关闭该对话框，选择调用中文界面。

点击菜单中的 |Help | Setup | Chinese,Please! ，软件界面即转为中文。

如果将来需要使用英文界面，可用同样方法转换回来。

二、设置
使用X-ways Forensics进行各项操作之前，首先需要进行设置。

点击 |菜单|常规设置|，或直接按 F5 键，即可显示常规设置对话窗。

保存临时文件的目录：当前设置默认保存临时文件至C:\Documents and Settings\sprite\Local Settings\Temp。

为便于管理临时文件，我们为其新创建一个temp文件夹，本例为E:\xway\temp。

保存镜像和备份文件的目录：当前设置默认保存镜像文件和备份文件至C:\Documents and Settings\sprite\Local Settings\Temp。

为将来方便地调用和管理镜像文件，我们为其新创建一个images文件夹，路径为E:\xway\images。

保存案件和方案的目录：当前系统默认保存为X-ways Forensics 的当前目录下，本例为E:\xway目录。

由于将来创建的案件越来越多，这些案例文件保存在当前目录下非常混乱，不易查找，因此，我们为其新创建一个案例文件夹，本例为E:\xway\case。

保存脚本的目录：系统默认保存在X-ways Forensics 的当前目录下，本例为E:\xway目录。

本手册中不涉及脚本，无需改变。

保存哈希库的目录：系统默认哈希库文件位置为E:\xway\HashDB。

此目录可由X-ways Forensics 自动创建和管理，无需改变。

注：如果在固定计算机中安装使用X-ways Forensics，请确定路径设置正确，并将上述路径指向移动硬盘中的相应目录。

如果在光盘中使用X-ways Forensics，则一定要将路径指向移动硬盘中的相应目录
第二章创建案件
一、创建新案件
开始数据分析，首先要创建案例，并将需要分析的存储介质或者镜像文件加载到案例中。

X-ways Forensics软件本身不会使数据内容产生变化
在案件数据对话框中，可输入案件名称、案件描述、调查员、机构地址等辅助信息。

案件名称应使用英文或数字，否则案例日志和报告中无法出现屏幕快照图片
为保障数据分析中显示的时间正确，需在显示时区中设置正确的时区信息。

案件创建日期将由X-ways Forensics依据系统时钟自动创建。

请确保当前计算机系统时间设置准确。

二、添加数据
创建案件后，需要添加所需获取/分析的目标。

可以添加物理存储设备，如磁盘、光盘、USB移动存储设备等，也可添加E01、DD磁盘镜像，以及X-ways 自有的证据文件格式。

三、创建磁盘镜像
创建磁盘镜像，需在扇区察看方式下，选择菜单中 | 文件| 创建磁盘镜像|。

选择镜像文件格式，如E01磁盘镜像，并指定保存位置
创建镜像文件过程中，将显示复制进度。

操作结束，将生成TXT格式操作日志，包含如磁盘参数、MD5值等信息。

第三章基本操作
一、浏览所有文件
如果需要显示当前驱动器下所有文件，使用鼠标右键单击驱动器图标，选择右键菜单中的展开目录。

文件浏览器中将显示所选驱动器下所有文件列表。

取消全部文件显示模式，使用鼠标左键单击驱动器图标。

二、文件浏览器菜单说明
过滤漏斗：过滤选项，灰色时表示未启用；蓝色时，表示应用了相应的过滤设置。

本例中，由于对文件名称栏目进行了过滤操作，文件名称旁边出现了一个“蓝色漏斗”。

窗口文件数量：位于右上角，表示当前窗口显示出的文件数量及总计文件数量。

本例中，由于应用了过滤操作，窗口右上角数字含义
为：应用过滤后，有170份文件符合过滤要求，有686份文件被过滤掉。

如果没有使用过滤，此处仅显示文件总数量，即856份文件。

选择文件数量：位于右下角，表示当前窗口选择的文件数量及容量。

本例中，选择了5份文件，总计容量117KB。

文件标记：文件名称前面的小方框为标记选框。

可以手工为文件逐一添加标记，也可以通过鼠标右键中标记命令为所有选择的文件添加标记。

注：对指定文件的导出、添加注释、添加报告分类、创建哈希集，均可通过鼠标右键来实现。

磁盘快照时间：磁盘快照是X-ways Forensics的一个重要功能，用于对当前驱动器中的所有数据进行快速解析，如计算哈希值、分析丢失数据、拆解压缩文件和电子邮件、加密文件检测等。

当对当前使用的物理磁盘进行分析时，如C盘，磁盘的数据可能会随时发生改变，因此需要更新磁盘快照来保证案件中使用最新的数据。

本例
中，“20分钟前”表示当前案件数据是20分钟前制作的。

可以通过F10更新磁盘快照。

三、更改文件浏览器显示内容
文件浏览器显示内容可以根据实际需要进行调整。

通过Ctrl+F 5，或菜单中|选项|目录浏览器|，调用目录浏览器过滤设置对话框。

设置显示宽度：
数字=0，表示不显示该栏目
数字>0，表示该栏目实际显示的宽度
本例中，文件名称栏目宽度为176点，文件类型栏目为65点，路径等项目为0，表示不显示。

当需要显示更多未列出的栏目，如路径、哈希值等，可将该栏目数值从0更改为50。

数值可暂时设定，之后可利用鼠标将栏目调整至满意宽度。

如需隐藏某栏目，将该数值更改回0即可。

四、过滤
当使用某过滤条件时，例如：对文件名进行过滤，查找所有DOC文档，只需点击文件名称右侧的漏斗，输入过滤条件*.DOC，点击激活即可显示过滤结果。

文件名过滤支持多语种字符。

如需取消某过滤条件，点击禁用即可。

五、图例说明
在文件浏览器中，会有一些不同的文件及图标显示方式，具体含义可以对照图例说明察看相应说明。

本例中，password-123456.doc显示为绿色，文件属性为e!A，对照图例说明，可知该文件为加密文件。

当对该文件添加注释后，文件名后显示出一个红色三角。

15.DOC文件类型显示为蓝色JPG，表示该文件为签名不匹配文件。

通过“磁盘快照”功能，可将当前案件中所有这些类别的文件判断出来。

六、文件预览
X-ways内置了强大的文件察看器，可以支持400种以上文件格式的查看。

点击预览，即可逐一察看文件内容。

如果还没有对案件数据进行磁盘快照，当浏览文件时，X-ways将自动对文件签名、加密等状态进行检测。

第三章磁盘快照
创建案件，载入E01证据文件后，一般应首先进行磁盘快照。

由于磁盘快照过程将会把案件中的所支持的压缩文件、电子邮件及附件、删除的数据解开及恢复出来，古经快照处理后得到的数据要比未进行磁盘快照的文件数量多。

此时进行过滤和搜索，会得到更准确的结果。

每个任务前面的方框，经选取后显示绿色对勾。

每个任务后面的方框，表示完成状态。

绿色对勾表示全部完成；实心绿框表示已完成了部分，但尚未全部完成。

开始进行磁盘快照，选中相应的选项，点击确定即可。

任务说明：
依据文件系统搜索并恢复目录及文件：将当前磁盘中的删除、丢失文件全部恢复。

通过文件签名搜索并恢复文件：根据文件签名值搜索特定类型格式文件，如：可以仅搜索并恢复doc格式文件。

计算哈希值：自动计算所有文件的哈希值。

目录、0字节文件没有哈希值。

算法支持MD5、SHA-1、SHA-256。

依据哈希库对比哈希值：如果已经拥有完整的哈希库，可在计算文件哈希值过程中，将哈希值与哈希库中值比对，以确定文件哈希分类。

例如，通过此选项排除已知的Windows系统文件。

依据文件签名校验文件真实类型：可判断doc、jpg格式文件是否被改名或伪装。

分析ZIP和RAR等压缩文件中的数据：将压缩文件释放，并以虚拟目录形式浏览。

导出电子邮件正文和附件：拆解电子邮件，将邮件正文与附件以虚拟形式显示。

查找嵌入在正文内的图片：可以将WORD、PPT等复合文件中的图片抽取出来。

肤色图片和黑白图片检测：用于检测包含人体肤色特征的图片和其他黑白文字图片。

加密文件检测：用于检测特定类型加密文件，如加密的DOC、X LS文件。

首先，通过熵值检测，自动对大于255 字节的文件进行检测。

如果熵值超过设定值，文件属性标记为"e?" ，表明应仔细检查该文件。

例如：PGP Desktop, BestCrypt 或DriveCrypt 加密文件。

熵值检测不适用于ZIP, RAR, CAB, JPG, MPG 和SWF 等文件。

其次、
可检测特定类型加密文件，如doc (MS Word 4至2003版)，xls (M S Excel 2至2003版)，ppt和pps (MS PowerPoint 97-2003)，mp p (MS Project 98-2003)，pdf (Adobe Acrobat)。

如果为加密文件，文件属性显示 "e!" 。

更新快照：将当前案件中磁盘数据保持最新状态。

更新快照后，上述所有操作及搜索记录等将全部被清空。

完成磁盘快照之后，如右图显示案件中数据增多，这时才能继续进行过滤、搜索等操作。

第五章过滤
本说明中所有图片均出自X-ways Forensics 13.8 版。

在X-ways Forensics 中，可方便地对各种类型的数据文件进行过滤操作。

一、按文件名称过滤
可以使用通配符，针对特定文件名称进行过滤。

如搜索“*.DOC，*. HTM，收件箱*”等。

使用通配符时，不能出现2个*。

此种过滤方式，适用于对文件名，及单一文件类型过滤。

速度快，准确率高。

例：如果需要查找文件内容包含“陈立康”的Word文件，可首先过滤出*.DOC文档，然后全选、标记，并在标记文件中搜索关键词“陈立康”即可。

二、按文件类型过滤
可按照设定的文件分类，对不同类型的文件进行过滤。

通过此过滤方式，可以容易地将办公文档、图形图像、压缩文件，以及各种重要数据，如注册表文件、互联网历史记录、回收站文件、打印池、W indows交换文件、日志等，快速过滤出来。

文件过滤类型可以自定义扩充与修改。

文件名为：File Type Categ ories.txt。

使用方法：选择相应文件类型，点击激活。

过滤前，应在磁盘快照中选择依据文件签名校验文件真实类型，才能够判断出文件的真实类型。

三、按签名状态过滤
进行完整磁盘快照后，X-ways可依据文件签名检测每一个文件的签名信息是否匹配。

如果文件扩展名被改变，签名状态将显示为签名不匹配。

通过选择过滤选项中的文件签名显示状态，可发现签名匹配、不匹配的文件。

缺省状态下，文件显示为“签名未校验”。

通过文件签名校验文件类型后：如果文件非常小，状态被显示为“无关的”；如果文件扩展名和文件签名都未知，状态被显示为“不在列表中”；如果文件签名和文件扩展名一致，状态被显示为“签名匹配”；如果文件扩展名正确，但文件签名未知，状态显示为“签名未确认”；如果文件签名和文件扩展名不匹配，或没有文件扩展名，状态显示为“签名不匹配”
三、按文件大小过滤
根据文件的实际大小过滤，不包含残留区数据。

第一选项，用于设定小于一定容量文件，如可查找小于1.2MB的文件；
第二选项，用于设定大于一定容量的文件，如可查找大于3.4KB 的文件。

两个选项同时使用，用于设定一定容量大小之间的文件。

四、按文件时间过滤
创建时间：当前磁盘中的文件和目录的创建时间。

修改时间：当前磁盘中文件和目录最后修改后的时间。

访问时间：但前磁盘中文件和目录的最后读取或访问的时间。

记录更新时间：NTFS或Linux文件系统中，文件和目录的最后修改时间。

这是包含于文件元数据中的文件系统数据结构。

删除时间:Linux系统下文件和目录的删除时间。

四、按文件属性过滤
A = 文档 R = 只读
H = 隐含 S = 系统
P = 连接点
C = 文件系统级压缩
c = ZIP, RAR等文件中压缩
E = 文件系统级加密
e = ZIP, RAR中加密文件
e? = 可能是压缩或加密的
第六章搜索
同步搜索，允许用户指定一个搜索关键词列表文件，每行设定一个搜索关键词。

所发现的搜索关键词被保存在搜索列表中，或位置管理器中。

同步搜索能够以“物理搜索”和“逻辑搜索”两种方式进行。

物理搜索，通过扇区方式进行；逻辑搜索，通过文件方式进行。

相比而言，逻辑搜索功能更强大，更彻底。

数据搜索时，可以同时使用Unicode (UCS-2LE)和代码页方式对相同的词汇全面搜索。

当前Windows系统默认代码页，被标记有星号，且被缺省采用。

如美国和西欧的计算机，通常默认代码页为1252 A NSI Latin I。

Microsoft Windows使用ANSI代码页。

苹果Macinto
sh使用MAC代码页。

OEM表示DOS和Windows命令行中使用的代码页。

如果搜索词汇无法转换为当前使用的代码页，搜索时将会出现提示信息。

一、选定搜索文件
将所有文件展开，或通过过滤选择所需搜索的文件。

1、在特定文件中搜索，须首先选择文件，并添加标记。

之后，可以使用在标记数据中搜索。

如在所有文件中搜索，无需选择文件。

直接选择在所有数据中搜索。

2、点击同步搜索
3、输入关键词。

每行一个关键词，支持空格。

4、输入关键字，选择字符编码
如果需要搜索Unicode字符，则需将Unicode (UCS-2LE)选中。

如果对PDF等文件中的数据进行搜索，还需选择“解码文件中的文本”。

对非Unicode文本进行搜索，需使用代码页。

对不同语种字符进行搜索，需将代码页设置为相应语种。

繁体中文代码页为950，日文为932，韩文为949。

5、设定其他选项
如果只需要发现包含有关键词的文件，则可将“每个文件显示1个搜索结果”选中，以提高搜索速度。

通过选定证据项中搜索，可以在当前案例中多个磁盘或镜像文件中进行搜索。

二、查看搜索结果
搜索结束后，显示所有包含关键词的搜索结果。

本例中共有5个关键词，173个搜索命中结果。

双击每一个关键词，可以查看该关键词的搜索结果。

搜索结果保存在案例文件中。

再次打开案例文件，搜索结果依然保存。

通过DEL键，可以删除该关键词及结搜索果。

可以通过搜索结果栏，预览所搜索的关键词上下文内容。

描述栏，可以查看搜索方式及编码方式。

有Unicode、代码页和Decoded三种。

点击相关文件，可以通过预览方式察看文件内容。

对于文件的操作，与文件浏览器操作方式类似。

通过鼠标右键菜单，可以进行标记、复制、注释等操作。

如果需要在案件报告里
包含文件内容中的重要信息，可以复制这些信息，全部粘贴到注释中即可。

第七章报告
一、添加至报告表
创建报告前，须选择所关注的文件，然后点击鼠标右键，添加至报告表。

根据文件内容或类别，可新建报告表，命名为“关注的文档”、“xxx地址”、“xxx电子邮件”等。

只有将文件添加至报告表后，这些文件才能被包含在报告当中。

二、创建报告
选择 |案件数据|—|创建案件报告|。

三、设置选项
输入报告头，封面信息，选用的徽章图像，所需包含的报告表，报告中包含的项目名称及内容。

如果选择了包含操作记录日志，分析过程中的所有屏幕画面图片，所执行的命令及运行结果，都可包含于报告中。

四、报告样例：
第八章数据恢复
本说明中所有图片均出自X-ways Forensics 13.8 版。

对于删除和格式化的磁盘，可以利用X-ways Forensics 的强大数据恢复功能，将磁盘中的数据尽可能地恢复回来。

例一：恢复标准方式格式化后的SD卡：
1、创建案例，添加存储设备-SD卡；
2、进行磁盘快照，只需选择依据文件系统搜索并恢复目录及文件即可。

3、磁盘快照完毕，显示发现470个数据
4、展开目录，可看到所有数据均已恢复。

5、可进行关键词搜索、恢复\复制等操作
例二：重组Raid阵列或动态磁盘。

1、加载Raid 镜像文件jia
2、选择菜单中 |专业工具| — |重组Raid|
3、设置参数及Raid排列顺序。

如阵列顺序排列错误，则提示出错信息。

4、阵列顺序排列正确，可顺利显示分区，打开文件。

第九章安全擦除
本说明中所有图片均出自X-ways Forensics 13.8 版。

一、文件擦除
可以彻底清除文件数据内容，不留任何痕迹。

选用菜单中 |工具|—|文件工具|—|安全擦除|，选定需要擦除的文件名，设置填充值。

注意：文件名或上级目录名不能包含中文。

对于中文名称，可先将目录或文件名改为数字、英文，即可成功擦除。

二、磁盘擦除
可以彻底清除指定磁盘中的所有数据。

例如对于前面数据恢复成功的SD卡，经过磁盘擦除之后，数据将永远无法恢复。

1、调用 |工具|——|打开磁盘| 或通过F9键。

2、选择菜单中 |编辑| — |填充磁盘扇区|
3、设置设置填充值和填充方式。

4、磁盘被填充数据后，经重新格式化，可重新使用。