X-Ways Forensics32位/64位解锁绿色版

X-Ways Forensics32位/64位解锁绿色版是一个全球知名的为用于计算机取证解析人员机提供综合取证、解析工具app，德国数据解析app，数据恢复app，十六进制编辑器和磁盘编辑器。用于取证搜集、数据恢复、文件解析和编辑、底层数据处理和安全领域收集文件报告。

基本简介

X-Ways Forensics 是为计算机取证解析人员提供的一款功能强大的、综合的取证、解析app，可在 Windows XP/2003/Vista/2008/7/8/8.1/2012/10操作系统下运行，支持32 /64 位, Standard/PE/FE等版本。(Windows FE is described here, here and here.) 与其他竞争产品相比，由于它在运行时占用的资源更少，因此它在工作时更有用，运行更快速，并且能恢复已删除的文件，还能查找到其他app查找不到的结果，还包含很多特有的功能，最重要的是成本更低廉。X-Ways Forensics 可随身携带，可以根据U盘在随意Windows操作系统下使用，不用安装。不像其他一些取证解析工具那样，X-ways Forensics不需要使用者设定数据库等繁琐的操作，并且超小化的安装包能够在数秒内下载并安装。它能够与WinHex hex和 disk editor 紧密结合，提供有用率的工作流模型， 这样计算机取证调查员即可与使用X-Ways Investigator 的调查员共享数据，协同工作。

功能介绍

·磁盘克隆和镜像功能，进行完整数据获得

·可解析 RAW/dd/ISO/VHD/VMDK 格式原始数据镜像文件中的完整目录结构，支持分段保存的镜像文件

·支持磁盘，RAID,扇区大小为8KB最大2TB的镜像的完全访问

·支持对JBOD、RAID0、RAID 5、RAID 5EE, RAID 6, Linux软RAID, Windows动态磁盘和LVM2等磁盘阵列

·自动识别丢失/删除的分区

·支持FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDF文件系统

·不用修改原始硬盘或镜像纠正分区表或文件系统数据结构来分析文件系统

·察看并获得 RAM和虚拟内存中的运行进程

·多种数据恢复功能，可对特定文件类型恢复

·基于GREP符号维护文件头签名数据库

·支持20种数据类型解释

·使用模板浏览和编辑二进制数据结构

·数据擦除功能，可彻底清除存储介质中残留数据

·可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙中信息

·创建证据文件中的文件和目录列表

·可以十分简单地发现并解析ADS数据（NTFS交换数据流)

·支持多种哈希计算方法 (CRC32, MD4, ed2k, MD5,SHA-1, SHA-256, RipeMD...)

·强大的物理查找和逻辑查找功能，可与此同时查找多个关键词

·在NTFS卷中为文件记录数据结构自动加色

·书签和注释

·能够运行在Windows FE中等Windows环境

·配合F-Response可进行远程计算机解析

app特色

1.浏览Windows事件日志文件（.EVT，.EVTX），Windows快捷方式（.LNK）文件，Windows预读取文件，$LogFile, $UsnJrnl,还原点change.log，Windows任务计划程序（.job），$EFS LUS， INFO2，还原点change.log.1，wtmp/utmp/btmp log-in records登录记录，MacOS X系统kcpassword，AOL-PFC，OutlookNK2自动完成文件，Outlook的WAB地址簿，IE查看器travellog（又名RecoveryStore），IE查看器index.dat历史记录和查看器缓存数据库，SQLite数据库，如Firefox查看历史，Firefox下载，Firefox表单历史，Firefox插件，Chrome的cookie，Chrome历史归档，Chrome历史记录，Chrome登录数据，Chrome网页数据，Safari查看器缓存，Safarifeeds，Skype联系人和文件传输的main.db数据库等等

2.提取元数据，并从各类文件类型的内部创建时间戳，并允许根据他们过滤，如MS Office，OpenOffice，StarOffice，HTML，MDI，PDF，RTF，WRI，AOL，PFC，ASF，WMV，WMA，MOV，AVI，WAV， MP4，3GP，M4V，M4A，JPEG，BMP，THM，TIFF，GIF，PNG，GZ，ZIP，PF，IEcookies，DMP内存转储，hiberfil.sys，PNF，SHD和SPL打印机后台的Tracking.log， MDB，MS Access数据库，manifest.mbdx/.mbdb iPhone备份

3.能够从任何其他类型的文件中提取几乎任何一种嵌入式文件（包括图片），从JPEG和缩略图缓存中提取缩略图，从跳转列表中提取.lnl快捷方式，从Windows.edb、查看器缓存中提取各类数据，，从SQLite数据库表中提取PLists，从OLE2和PDF文档中的提取杂项元素等等