¡¡¡¡x-ways forensicsÊÇÒ»¿îΪ¼ÆËã»úÈ¡Ö¤ÆÊÎö¹¤×÷ÈËÔ±³öʾµÄÒ»¸ö×ÛºÏÐԵĵ÷²éÈ¡Ö¤·ÖÎöϵͳ,Ó¦ÓÃÕâ¿îx-ways forensicsÄܹ»Ê¹ÄãÔÚ¿ªÕ¹µ÷²éÈ¡Ö¤ÆÊÎöµÄÈ«¹ý³ÌÖÐÒѲ»±»±ðµÄÒªËØΣº¦,Á¢¿ÌÃâ·ÑÏÂÔØÓ¦Óðɡ£

Èí¼þ¼ò½é

¡¡¡¡X-Ways Forensics ÊÇΪ¼ÆËã»úÈ¡Ö¤ÆÊÎö¹¤×÷ÈËÔ±³öʾµÄÒ»¸ö¹¦ÄÜÇ¿¾¢µÄ¡¢×ÛºÏÐԵĵ÷²éÈ¡Ö¤¡¢·ÖÎöϵͳ£¬¿ÉÔÚ Windows XP/2003/Vista/2008/7/8/8.1/2012/10µçÄÔ²Ù×÷ϵͳÏÂÔË×÷£¬Ö§³Ö32 /64 λ, Standard/PE/FEµÈ°æ±¾ºÅ¡£(Windows FE is described here, here and here.) Óë±ðµÄÊг¡¾ºÕùÉÌÆ·¶Ô±È£¬ÒòΪËüÔÚÔË×÷ʱռÓеÄÙYÔ´¸üÉÙ£¬Òò¶øËüÔÚ¹¤×÷ÖÐʱ¸ü¸ßЧÂÊ£¬ÔË×÷¸üѸËÙ£¬¶øÇÒÄָܻ´ÒÑɾ³ýµÄÎļþ£¬»¹ÄܼìË÷µ½±ðµÄÈí¼þËÑË÷²»ÉϵĽY¹û£¬»¹°üÀ¨ºÜ¶à¶ÀÓеŦÄÜ£¬×îÖØÒªµÄÊdzɱ¾·Ñ¸ü±ãÒË¡£X-Ways Forensics ¿ÉËæÉí´ø£¬¿ÉÒÔ¸ù¾ÝUÅÌÔÚËæÒâWindowsµçÄÔ²Ù×÷ϵͳÏÂÓ¦Ó㬲»Óð²Ñb¡£²»Ïó±ðµÄһЩµ÷²éÈ¡Ö¤·ÖÎö¹¤¾ßÄǰ㣬X-ways Forensics²»ÓÃʹÓÃÈËÉ趨Êý¾Ý¿âµÈ·±ÔÓµÄʵ¼Ê²Ù×÷£¬¶øÇÒÌØС»¯µÄ°²×°ÎļþÄܹ»ÔÚ¼¸ÃëÄÚ°²×°ÏÂÔØ¡£ËüÄܹ»ÓëWinHex hexºÍ disk editor ½ôÃÜÁªÏµ£¬³öʾЧÂʸߵŤ×÷Á÷ÒýÇæʵÌåÄ£ÐÍ£¬ ÄÇÑù¼ÆËã»úÈ¡Ö¤¼à²ìÔ±¾Í¿ÉÒÔÓëÓ¦ÓÃX-Ways Investigator µÄ¼à²ìÔ±¹²Ïí×ÊÔ´Êý¾Ý£¬Ð­µ÷¹¤×÷¡£

Èí¼þ¼ò½é

¡¡¡¡¡¤Ó²Å̸´Öƺ;µÏñϵͳ¹¦ÄÜ£¬¿ªÕ¹ÏêϸÊý¾Ý»ñµÃ

¡¡¡¡¡¤¿ÉÆÊÎö RAW/dd/ISO/VHD/VMDK Îļþ¸ñʽ³õʼÊý¾Ý¾µÏñϵͳÎļþÖеÄÏêϸÎļþĿ¼¹¹Ô죬֧³Ö°´¶Î´¢´æµÄ¾µÏñϵͳÎļþ

¡¡¡¡¡¤Ö§³ÖÓ²ÅÌ£¬RAID,´ÅµÀ³ß´çΪ8KB½Ï´ó 2TBµÄ¾µÏñϵͳµÄ³¹µ×ä¯ÀÀ

¡¡¡¡¡¤Ö§³Ö¶ÔJBOD¡¢RAID0¡¢RAID 5¡¢RAID 5EE, RAID 6, LinuxÈíRAID, Windows¶¯Ì¬´ÅÅ̺ÍLVM2µÈ´ÅÅÌÕóÁÐ

¡¡¡¡¡¤×Ô¶¯¼ìË÷ÒÅʧ/ɾµôµÄϵͳ·ÖÇø

¡¡¡¡¡¤Ö§³ÖFAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDFÎļþϵͳÈí¼þ

¡¡¡¡¡¤²»ÓøĶ¯³õʼµçÄÔÓ²ÅÌ»ò¾µÏñϵͳ¸ÄÕý·ÖÇø±í»òÎļþϵͳÈí¼þÊý¾Ý¹¹ÔìÀ´·ÖÎöÎļþϵͳÈí¼þ

¡¡¡¡¡¤²é¿´²¢»ñµÃ RAMºÍÐéÄâÄÚ´æÉèÖÃÖеÄÔË×÷¹ý³Ì

¡¡¡¡¡¤¶àÖÖ¶àÑùÊý¾ÝÐÞ¸´¹¦ÄÜ£¬¿É¶ÔÌØÊâÎļþÖÖÀàÐÞ¸´

¡¡¡¡¡¤¸ù¾ÝGREP±ê¼Çά»¤±£ÑøÎļþÍ·Ç©×ÖÊý¾Ý¿â

¡¡¡¡¡¤Ö§³Ö20ÖÖÊý¾ÝÖÖÀà±íÊö

¡¡¡¡¡¤Ó¦ÓÃÄ£°æ²éѯºÍ±àд¶þ½øÖÆÊý¾Ý¹¹Ôì

¡¡¡¡¡¤Êý¾Ý²Áµô¹¦ÄÜ£¬¿É³¹µ×Ïû³ýÒƶ¯´æ´¢É豸ÖвÐÓàÊý¾Ý

¡¡¡¡¡¤¿É´ÓÓ²ÅÌ»ò¾µÏñϵͳÎļþÖÐËѼ¯²ÐÓàÊÒÄڿռ䡢¿ÕÏÐÊÒÄڿռ䡢ϵͳ·ÖÇø¼ä϶ÖÐÐÅÏ¢ÄÚÈÝ

¡¡¡¡¡¤½¨Á¢Ö±½ÓÖ¤¾ÝÎļþÖеÄÎļþºÍÎļþĿ¼Ŀ¼

¡¡¡¡¡¤¿ÉÒԱȽϼòµ¥µØ·¢¾õ²¢ÆÊÎöADSÊý¾Ý£¨NTFS»¥»»Êý¾ÝÁ÷)

¡¡¡¡¡¤Ö§³Ö¶àÖÖ¶àÑùhach¼ÆË㷽ʽ (CRC32, MD4, ed2k, MD5,SHA-1, SHA-256, RipeMD...)

¡¡¡¡¡¤Ç¿¾¢µÄÎïÀíѧ¼ìË÷ºÍÂß¼­ÐÔ¼ìË÷¹¦ÄÜ£¬¿ÉÁíÍâ¼ìË÷ºÃ¼¸¸ö¹Ø¼ü×Ö

¡¡¡¡¡¤ÔÚNTFS¾íÖÐΪÎļþ¼Í¼Êý¾Ý¹¹ÔìÈ«×Ô¶¯Ìî³äÑÕÉ«

¡¡¡¡¡¤±ãÇ©ºÍ×¢½â

¡¡¡¡¡¤Äܹ»ÔË×÷ÔÚWindows FEÖеÈˮƽWindows×ÔÈ»»·¾³

¡¡¡¡¡¤Ï໥ÅäºÏF-Response¿É¿ªÕ¹Ô¶³Ì¼ÆËã»úÆÊÎö

Èí¼þÁÁµã

¡¡¡¡1.²éѯWindowsʼþÈÕÖ¾Îļþ£¨.EVT£¬.EVTX£©£¬Windows¿ì½Ý·½Ê½Í¼±ê£¨.LNK£©Îļþ£¬WindowsÔ¤ÔØÈëÎļþ£¬$LogFile, $UsnJrnl,»¹Ô­µãchange.log£¬WindowsÈÎÎñ¼Æ»®³ÌÐòÁ÷³Ì£¨.job£©£¬$EFS LUS£¬ INFO2£¬»¹Ô­µãchange.log.1£¬wtmp/utmp/btmp log-in recordsµÇ½¼Í¼£¬MacOS XϵͳÈí¼þkcpassword£¬AOL-PFC£¬OutlookNK2È«×Ô¶¯½øÐÐÎļþ£¬OutlookµÄWABÏêϸµØÖ·²¾£¬IEµçÄÔä¯ÀÀÆ÷travellog£¨±ðÃûRecoveryStore£©£¬IEµçÄÔä¯ÀÀÆ÷index.datÀúÊ·Êý¾ÝºÍä¯ÀÀÆ÷»º´æÊý¾Ý¿â£¬SQLiteÊý¾Ý¿â£¬ÈçFirefoxä¯ÀÀÀúÊ·£¬FirefoxÏÂÔØ£¬Firefox±í¸ñÀúʷʱ¼ä£¬FirefoxÈí¼þ£¬ChromeµÄcookie£¬ChromeÀúʷʱ¼ä´æµµ£¬ChromeÀúÊ·Êý¾Ý£¬ChromeµÇ½Êý¾Ý£¬ChromeÍøÒ³Êý¾Ý£¬Safariä¯ÀÀÆ÷»º´æ£¬Safarifeeds£¬SkypeÊÖ»úÁªÏµÈ˺ÍÎļþ´«Ë͵Ämain.dbÊý¾Ý¿âÕâЩ

¡¡¡¡2.ÌáÈ¡ÔªÊý¾Ý£¬²¢´Ó¸÷ÖÖ¸÷ÑùÎļþÖÖÀàµÄƒÈ²¿½¨Á¢Ê±¼ä¸ñʽ£¬²¢ÈÝÐí¸ù¾ÝËýÃǹýÂÇ£¬ÈçMS Office£¬OpenOffice£¬StarOffice£¬HTML£¬MDI£¬PDF£¬RTF£¬WRI£¬AOL£¬PFC£¬ASF£¬WMV£¬WMA£¬MOV£¬AVI£¬WAV£¬ MP4£¬3GP£¬M4V£¬M4A£¬JPEG£¬BMP£¬THM£¬TIFF£¬GIF£¬PNG£¬GZ£¬ZIP£¬PF£¬IEcookies£¬DMPÔËÐÐÄÚ´æת´¢£¬hiberfil.sys£¬PNF£¬SHDºÍSPL¸´Ó¡»úºǫ́¹ÜÀíµÄTracking.log£¬ MDB£¬MS AccessÊý¾Ý¿â£¬manifest.mbdx/.mbdb iPhone±¸·ÝÊý¾Ý

¡¡¡¡3.Äܹ»´ÓÒ»ÇÐÆäËûÀàÐ͵ÄÎļþÖÐÌáÈ¡»ù±¾ÉÏÒ»ÇÐÒ»ÖÖÄÚǶʽÎļþ£¨°üº¬ÕÕƬ£©£¬´ÓJPEGºÍËõÁÐͼ»º´æÎļþÖÐÌáÈ¡ËõÁÐͼ£¬´Ó×Ô¶¯ÌøתĿ¼ÖÐÌáÈ¡.lnl¿ì½Ý·½Ê½Í¼±ê£¬´ÓWindows.edb¡¢ä¯ÀÀÆ÷»º´æÖÐÌáÈ¡¸÷ÖÖ¸÷ÑùÊý¾Ý£¬£¬´ÓSQLiteÊý¾Ý¿â±í¸ñÖÐÌáÈ¡PLists£¬´ÓOLE2ºÍPDFÎĵµÖеÄÌáÈ¡ÔÓÀàÔ­ËØÕâЩ

¡¾°æ±¾¸üС¿

¡¡¡¡1.¾ß±¸ÖÇÄÜ»¯ËõС¹¦ÄܵĸßЧÂÊ´ÅÅ̾µÏñ£»

¡¡¡¡2.¿ÉÒÔÔØÈë¡¢½¨Á¢.e01 Ö±½ÓÖ¤¾ÝÎļþ£¬¿É¶ÔÖ±½ÓÖ¤¾ÝÎļþ¿ªÕ¹ 256λAESÊý¾Ý¼ÓÃÜ£»

¡¡¡¡3.ÏêϸµÄʵÀý¹ÜÀí·½·¨¹¦ÄÜ£»

¡¡¡¡4.È«×Ô¶¯½¨Á¢ÊÖ»úÈí¼þÔËÐÐÈÕÖ¾ (²ÆÎñÉó¼ÆϵͳÈÕÖ¾)£»

¡¡¡¡5.Êý¾Ýд±£»¤¹¦ÄÜ£¬±£Ö¤ Êý¾ÝÕæʵÓÐЧ£»

¡¡¡¡6.ÔÚÍøÂç¿Õ¼äÖо߱¸Ô¶³Ì¿ØÖÆ´ÅÅÌ·ÖÎö¹¤×÷ÄÜÁ¦£»