返回
X-Ways Forensics 入门教程

X-Ways Forensics 入门教程

ID:41388971

大小:2.60 MB

页数:69页

时间:2019-08-23

X-Ways Forensics 入门教程_第1页
X-Ways Forensics 入门教程_第2页
X-Ways Forensics 入门教程_第3页
X-Ways Forensics 入门教程_第4页
X-Ways Forensics 入门教程_第5页
资源描述:

《X-Ways Forensics 入门教程》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、X-WaysForensics快速入门第一章  配置软件X-wayForensics软件可以通过setup.exe安装配置后使用,也可以通过运行xwforensics.exe直接使用。具体使用方法可根据用户习惯来选择。但通常来说,直接运行最为方便。软件使用中,保存有X-wayForensics软件临时文件和案例文件的分区将作为默认的数据输出路径,即只有该分区被允许写入数据。因此,在选择X-wayForensics软件使用分区时,需要考虑好下一步数据分析的实际情况。建议选择容量较大,数据较少的分区。使用软件前,请预先X-ways目录下建立如下三个文件夹

2、,分别用于保存案例文件、镜像文件和临时文件。文件夹名称也可自定义。一、第一次使用X-ways运行X-waysForensic软件后,软件首次启动,出现英文用户界面。当进入软件后,将设置更改为中文后,再次启动即可以看到右侧的中文界面。             当数据分析使用时,一定要选择计算机法证版用户界面。简化界面为X-waysInvestigator用户界面。点击确定后,将出现“GeneralOptions”对话框。此时软件界面仍为英文。暂时关闭该对话框,选择调用中文界面。点击菜单中的

3、Help

4、Setup

5、Chinese,Please!,软件界面

6、即转为中文。如果将来需要使用英文界面,可用同样方法转换回来。二、设置使用X-waysForensics进行各项操作之前,首先需要进行设置。点击

7、菜单

8、常规设置

9、,或直接按F5键,即可显示常规设置对话窗。保存临时文件的目录:当前设置默认保存临时文件至C:DocumentsandSettingsspriteLocalSettingsTemp。为便于管理临时文件,我们为其新创建一个temp文件夹,本例为E:xwaytemp。保存镜像和备份文件的目录:当前设置默认保存镜像文件和备份文件至C:DocumentsandSettingssprite

10、LocalSettingsTemp。为将来方便地调用和管理镜像文件,我们为其新创建一个images文件夹,路径为E:xwayimages。保存案件和方案的目录:当前系统默认保存为X-waysForensics的当前目录下,本例为E:xway目录。由于将来创建的案件越来越多,这些案例文件保存在当前目录下非常混乱,不易查找,因此,我们为其新创建一个案例文件夹,本例为E:xwaycase。保存脚本的目录:系统默认保存在X-waysForensics的当前目录下,本例为E:xway目录。本手册中不涉及脚本,无需改变。保存哈希库的目录:系统默认

11、哈希库文件位置为E:xwayHashDB。此目录可由X-waysForensics自动创建和管理,无需改变。注:如果在固定计算机中安装使用X-waysForensics,通过鲜錾柚眉纯墒褂谩?br>如果在移动硬盘中使用X-waysForensics,请确定路径设置正确,并将上述路径指向移动硬盘中的相应目录。如果在光盘中使用X-waysForensics,则一定要将路径指向移动硬盘中的相应目录。第二章  创建案件一、创建新案件开始数据分析,首先要创建案例,并将需要分析的存储介质或者镜像文件加载到案例中。X-waysForensics软件本身不会使数

12、据内容产生变化。在案件数据对话框中,可输入案件名称、案件描述、调查员、机构地址等辅助信息。案件名称应使用英文或数字,否则案例日志和报告中无法出现屏幕快照图片。为保障数据分析中显示的时间正确,需在显示时区中设置正确的时区信息。案件创建日期将由X-waysForensics依据系统时钟自动创建。请确保当前计算机系统时间设置准确。二、添加数据创建案件后,需要添加所需获取/分析的目标。可以添加物理存储设备,如磁盘、光盘、USB移动存储设备等,也可添加E01、DD磁盘镜像,以及X-ways自有的证据文件格式。三、创建磁盘镜像创建磁盘镜像,需在扇区察看方式下,选

13、择菜单中

14、文件

15、创建磁盘镜像

16、。        选择镜像文件格式,如E01磁盘镜像,并指定保存位置。创建镜像文件过程中,将显示复制进度。操作结束,将生成TXT格式操作日志,包含如磁盘参数、MD5值等信息。第三章  基本操作一、浏览所有文件如果需要显示当前驱动器下所有文件,使用鼠标右键单击驱动器图标,选择右键菜单中的展开目录。文件浏览器中将显示所选驱动器下所有文件列表。取消全部文件显示模式,使用鼠标左键单击驱动器图标。二、文件浏览器菜单说明过滤漏斗:过滤选项,灰色时表示未启用;蓝色时,表示应用了相应的过滤设置。本例中,由于对文件名称栏目进行了过滤操作,

17、文件名称旁边出现了一个“蓝色漏斗”。窗口文件数量:位于右上角,表示当前窗口显示出的文件数量及总计文件数量。本

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。