¡¡¡¡x-ways forensicsÊÇÒ»¿îΪ¼ÆËã»úÈ¡Ö¤ÆÊÎö¹¤×÷ÈËÔ±³öʾµÄÒ»¸ö×ÛºÏÐԵĵ÷²éÈ¡Ö¤·ÖÎöϵͳ,Ó¦ÓÃÕâ¿îx-ways forensicsÄܹ»Ê¹ÄãÔÚ¿ªÕ¹µ÷²éÈ¡Ö¤ÆÊÎöµÄÈ«¹ý³ÌÖÐÒѲ»±»±ðµÄÒªËØΣº¦,Á¢¿ÌÃâ·ÑÏÂÔØÓ¦Óðɡ£
¡¡¡¡X-Ways Forensics ÊÇΪ¼ÆËã»úÈ¡Ö¤ÆÊÎö¹¤×÷ÈËÔ±³öʾµÄÒ»¸ö¹¦ÄÜÇ¿¾¢µÄ¡¢×ÛºÏÐԵĵ÷²éÈ¡Ö¤¡¢·ÖÎöϵͳ£¬¿ÉÔÚ Windows XP/2003/Vista/2008/7/8/8.1/2012/10µçÄÔ²Ù×÷ϵͳÏÂÔË×÷£¬Ö§³Ö32 /64 λ, Standard/PE/FEµÈ°æ±¾ºÅ¡£(Windows FE is described here, here and here.) Óë±ðµÄÊг¡¾ºÕùÉÌÆ·¶Ô±È£¬ÒòΪËüÔÚÔË×÷ʱռÓеÄÙYÔ´¸üÉÙ£¬Òò¶øËüÔÚ¹¤×÷ÖÐʱ¸ü¸ßЧÂÊ£¬ÔË×÷¸üѸËÙ£¬¶øÇÒÄָܻ´ÒÑɾ³ýµÄÎļþ£¬»¹ÄܼìË÷µ½±ðµÄÈí¼þËÑË÷²»ÉϵĽY¹û£¬»¹°üÀ¨ºÜ¶à¶ÀÓеŦÄÜ£¬×îÖØÒªµÄÊdzɱ¾·Ñ¸ü±ãÒË¡£X-Ways Forensics ¿ÉËæÉí´ø£¬¿ÉÒÔ¸ù¾ÝUÅÌÔÚËæÒâWindowsµçÄÔ²Ù×÷ϵͳÏÂÓ¦Ó㬲»Óð²Ñb¡£²»Ïó±ðµÄһЩµ÷²éÈ¡Ö¤·ÖÎö¹¤¾ßÄǰ㣬X-ways Forensics²»ÓÃʹÓÃÈËÉ趨Êý¾Ý¿âµÈ·±ÔÓµÄʵ¼Ê²Ù×÷£¬¶øÇÒÌØС»¯µÄ°²×°ÎļþÄܹ»ÔÚ¼¸ÃëÄÚ°²×°ÏÂÔØ¡£ËüÄܹ»ÓëWinHex hexºÍ disk editor ½ôÃÜÁªÏµ£¬³öʾЧÂʸߵŤ×÷Á÷ÒýÇæʵÌåÄ£ÐÍ£¬ ÄÇÑù¼ÆËã»úÈ¡Ö¤¼à²ìÔ±¾Í¿ÉÒÔÓëÓ¦ÓÃX-Ways Investigator µÄ¼à²ìÔ±¹²Ïí×ÊÔ´Êý¾Ý£¬Ðµ÷¹¤×÷¡£
¡¡¡¡¡¤Ó²Å̸´Öƺ;µÏñϵͳ¹¦ÄÜ£¬¿ªÕ¹ÏêϸÊý¾Ý»ñµÃ
¡¡¡¡¡¤¿ÉÆÊÎö RAW/dd/ISO/VHD/VMDK Îļþ¸ñʽ³õʼÊý¾Ý¾µÏñϵͳÎļþÖеÄÏêϸÎļþĿ¼¹¹Ô죬֧³Ö°´¶Î´¢´æµÄ¾µÏñϵͳÎļþ
¡¡¡¡¡¤Ö§³ÖÓ²ÅÌ£¬RAID,´ÅµÀ³ß´çΪ8KB½Ï´ó 2TBµÄ¾µÏñϵͳµÄ³¹µ×ä¯ÀÀ
¡¡¡¡¡¤Ö§³Ö¶ÔJBOD¡¢RAID0¡¢RAID 5¡¢RAID 5EE, RAID 6, LinuxÈíRAID, Windows¶¯Ì¬´ÅÅ̺ÍLVM2µÈ´ÅÅÌÕóÁÐ
¡¡¡¡¡¤×Ô¶¯¼ìË÷ÒÅʧ/ɾµôµÄϵͳ·ÖÇø
¡¡¡¡¡¤Ö§³ÖFAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDFÎļþϵͳÈí¼þ
¡¡¡¡¡¤²»ÓøĶ¯³õʼµçÄÔÓ²ÅÌ»ò¾µÏñϵͳ¸ÄÕý·ÖÇø±í»òÎļþϵͳÈí¼þÊý¾Ý¹¹ÔìÀ´·ÖÎöÎļþϵͳÈí¼þ
¡¡¡¡¡¤²é¿´²¢»ñµÃ RAMºÍÐéÄâÄÚ´æÉèÖÃÖеÄÔË×÷¹ý³Ì
¡¡¡¡¡¤¶àÖÖ¶àÑùÊý¾ÝÐÞ¸´¹¦ÄÜ£¬¿É¶ÔÌØÊâÎļþÖÖÀàÐÞ¸´
¡¡¡¡¡¤¸ù¾ÝGREP±ê¼Çά»¤±£ÑøÎļþÍ·Ç©×ÖÊý¾Ý¿â
¡¡¡¡¡¤Ö§³Ö20ÖÖÊý¾ÝÖÖÀà±íÊö
¡¡¡¡¡¤Ó¦ÓÃÄ£°æ²éѯºÍ±àд¶þ½øÖÆÊý¾Ý¹¹Ôì
¡¡¡¡¡¤Êý¾Ý²Áµô¹¦ÄÜ£¬¿É³¹µ×Ïû³ýÒƶ¯´æ´¢É豸ÖвÐÓàÊý¾Ý
¡¡¡¡¡¤¿É´ÓÓ²ÅÌ»ò¾µÏñϵͳÎļþÖÐËѼ¯²ÐÓàÊÒÄڿռ䡢¿ÕÏÐÊÒÄڿռ䡢ϵͳ·ÖÇø¼ä϶ÖÐÐÅÏ¢ÄÚÈÝ
¡¡¡¡¡¤½¨Á¢Ö±½ÓÖ¤¾ÝÎļþÖеÄÎļþºÍÎļþĿ¼Ŀ¼
¡¡¡¡¡¤¿ÉÒԱȽϼòµ¥µØ·¢¾õ²¢ÆÊÎöADSÊý¾Ý£¨NTFS»¥»»Êý¾ÝÁ÷)
¡¡¡¡¡¤Ö§³Ö¶àÖÖ¶àÑùhach¼ÆË㷽ʽ (CRC32, MD4, ed2k, MD5,SHA-1, SHA-256, RipeMD...)
¡¡¡¡¡¤Ç¿¾¢µÄÎïÀíѧ¼ìË÷ºÍÂß¼ÐÔ¼ìË÷¹¦ÄÜ£¬¿ÉÁíÍâ¼ìË÷ºÃ¼¸¸ö¹Ø¼ü×Ö
¡¡¡¡¡¤ÔÚNTFS¾íÖÐΪÎļþ¼Í¼Êý¾Ý¹¹ÔìÈ«×Ô¶¯Ìî³äÑÕÉ«
¡¡¡¡¡¤±ãÇ©ºÍ×¢½â
¡¡¡¡¡¤Äܹ»ÔË×÷ÔÚWindows FEÖеÈˮƽWindows×ÔÈ»»·¾³
¡¡¡¡¡¤Ï໥ÅäºÏF-Response¿É¿ªÕ¹Ô¶³Ì¼ÆËã»úÆÊÎö
¡¡¡¡1.²éѯWindowsʼþÈÕÖ¾Îļþ£¨.EVT£¬.EVTX£©£¬Windows¿ì½Ý·½Ê½Í¼±ê£¨.LNK£©Îļþ£¬WindowsÔ¤ÔØÈëÎļþ£¬$LogFile, $UsnJrnl,»¹Ôµãchange.log£¬WindowsÈÎÎñ¼Æ»®³ÌÐòÁ÷³Ì£¨.job£©£¬$EFS LUS£¬ INFO2£¬»¹Ôµãchange.log.1£¬wtmp/utmp/btmp log-in recordsµÇ½¼Í¼£¬MacOS XϵͳÈí¼þkcpassword£¬AOL-PFC£¬OutlookNK2È«×Ô¶¯½øÐÐÎļþ£¬OutlookµÄWABÏêϸµØÖ·²¾£¬IEµçÄÔä¯ÀÀÆ÷travellog£¨±ðÃûRecoveryStore£©£¬IEµçÄÔä¯ÀÀÆ÷index.datÀúÊ·Êý¾ÝºÍä¯ÀÀÆ÷»º´æÊý¾Ý¿â£¬SQLiteÊý¾Ý¿â£¬ÈçFirefoxä¯ÀÀÀúÊ·£¬FirefoxÏÂÔØ£¬Firefox±í¸ñÀúʷʱ¼ä£¬FirefoxÈí¼þ£¬ChromeµÄcookie£¬ChromeÀúʷʱ¼ä´æµµ£¬ChromeÀúÊ·Êý¾Ý£¬ChromeµÇ½Êý¾Ý£¬ChromeÍøÒ³Êý¾Ý£¬Safariä¯ÀÀÆ÷»º´æ£¬Safarifeeds£¬SkypeÊÖ»úÁªÏµÈ˺ÍÎļþ´«Ë͵Ämain.dbÊý¾Ý¿âÕâЩ
¡¡¡¡2.ÌáÈ¡ÔªÊý¾Ý£¬²¢´Ó¸÷ÖÖ¸÷ÑùÎļþÖÖÀàµÄƒÈ²¿½¨Á¢Ê±¼ä¸ñʽ£¬²¢ÈÝÐí¸ù¾ÝËýÃǹýÂÇ£¬ÈçMS Office£¬OpenOffice£¬StarOffice£¬HTML£¬MDI£¬PDF£¬RTF£¬WRI£¬AOL£¬PFC£¬ASF£¬WMV£¬WMA£¬MOV£¬AVI£¬WAV£¬ MP4£¬3GP£¬M4V£¬M4A£¬JPEG£¬BMP£¬THM£¬TIFF£¬GIF£¬PNG£¬GZ£¬ZIP£¬PF£¬IEcookies£¬DMPÔËÐÐÄÚ´æת´¢£¬hiberfil.sys£¬PNF£¬SHDºÍSPL¸´Ó¡»úºǫ́¹ÜÀíµÄTracking.log£¬ MDB£¬MS AccessÊý¾Ý¿â£¬manifest.mbdx/.mbdb iPhone±¸·ÝÊý¾Ý
¡¡¡¡3.Äܹ»´ÓÒ»ÇÐÆäËûÀàÐ͵ÄÎļþÖÐÌáÈ¡»ù±¾ÉÏÒ»ÇÐÒ»ÖÖÄÚǶʽÎļþ£¨°üº¬ÕÕƬ£©£¬´ÓJPEGºÍËõÁÐͼ»º´æÎļþÖÐÌáÈ¡ËõÁÐͼ£¬´Ó×Ô¶¯ÌøתĿ¼ÖÐÌáÈ¡.lnl¿ì½Ý·½Ê½Í¼±ê£¬´ÓWindows.edb¡¢ä¯ÀÀÆ÷»º´æÖÐÌáÈ¡¸÷ÖÖ¸÷ÑùÊý¾Ý£¬£¬´ÓSQLiteÊý¾Ý¿â±í¸ñÖÐÌáÈ¡PLists£¬´ÓOLE2ºÍPDFÎĵµÖеÄÌáÈ¡ÔÓÀàÔËØÕâЩ
¡¾°æ±¾¸üС¿
¡¡¡¡1.¾ß±¸ÖÇÄÜ»¯ËõС¹¦ÄܵĸßЧÂÊ´ÅÅ̾µÏñ£»
¡¡¡¡2.¿ÉÒÔÔØÈë¡¢½¨Á¢.e01 Ö±½ÓÖ¤¾ÝÎļþ£¬¿É¶ÔÖ±½ÓÖ¤¾ÝÎļþ¿ªÕ¹ 256λAESÊý¾Ý¼ÓÃÜ£»
¡¡¡¡3.ÏêϸµÄʵÀý¹ÜÀí·½·¨¹¦ÄÜ£»
¡¡¡¡4.È«×Ô¶¯½¨Á¢ÊÖ»úÈí¼þÔËÐÐÈÕÖ¾ (²ÆÎñÉó¼ÆϵͳÈÕÖ¾)£»
¡¡¡¡5.Êý¾Ýд±£»¤¹¦ÄÜ£¬±£Ö¤ Êý¾ÝÕæʵÓÐЧ£»
¡¡¡¡6.ÔÚÍøÂç¿Õ¼äÖо߱¸Ô¶³Ì¿ØÖÆ´ÅÅÌ·ÖÎö¹¤×÷ÄÜÁ¦£»
¶àÌØÈí¼þרÌâΪÄúÌṩÊý¾Ý¿âͬ²½Èí¼þ,Ãâ·ÑÊý¾Ý¿âͬ²½Èí¼þ,Êý¾Ý¿âͬ²½Èí¼þ¼Û¸ñ£¬°²×¿Æ»¹û°æÈí¼þappÒ»Ó¦¾ãÈ«¡£
¶àÌØÈí¼þרÌâΪÄúÌṩÊý¾Ý¿â¹¤¾ß,Êý¾Ý¿â²éѯ¹¤¾ß,Êý¾Ý¿âÁ¬½Ó¹¤¾ß;°²×¿Æ»¹û°æÈí¼þappÒ»Ó¦¾ãÈ«¡£¶àÌØÈí¼þÕ¾Ö»ÌṩÂÌÉ«¡¢ÎÞ¶¾¡¢ÎÞ²å¼þ¡¢ÎÞľÂíµÄ´¿ÂÌÉ«¹¤¾ßÏÂÔØ
¶àÌØÈí¼þרÌâΪÄúÌṩÊý¾Ý¿â½¨Ä£¹¤¾ß,¿ªÔ´Êý¾Ý¿â½¨Ä£¹¤¾ß,Êý¾Ý¿â½¨Ä£Èí¼þ;°²×¿Æ»¹û°æÈí¼þappÒ»Ó¦¾ãÈ«¡£¶àÌØÈí¼þÕ¾Ö»ÌṩÂÌÉ«¡¢ÎÞ¶¾¡¢ÎÞ²å¼þ¡¢ÎÞľÂíµÄ´¿ÂÌÉ«¹¤¾ßÏÂÔØ
¶àÌØÈí¼þרÌâΪÄúÌṩÊý¾Ý¿âÈí¼þ,Ãâ·ÑÊý¾Ý¿âÈí¼þ,Êý¾Ý¿âÈí¼þÅÅÐÐ;°²×¿Æ»¹û°æÈí¼þappÒ»Ó¦¾ãÈ«¡£¶àÌØÈí¼þÕ¾Ö»ÌṩÂÌÉ«¡¢ÎÞ¶¾¡¢ÎÞ²å¼þ¡¢ÎÞľÂíµÄ´¿ÂÌÉ«¹¤¾ßÏÂÔØ
ghost¾µÏñÎļþ£¬ghost¾µÏñÎļþÒ³ÃæÌṩ¶à¿îghost¾µÏñÎļþµÄÓ¦Óã¬ÈçÖйشåzgc ghost win7 32λÃ⼤»î°²×°°æ¡¢ÓêÁÖľ·çghost win7 64Îȶ¨Æì½¢°æ¡¢ÈýÐDZʼDZ¾×¨ÓÃghost win7 64λÆì½¢¹âÅÌ°æ¡¢Éî¶È¼¼ÊõSDJS ghost win7 32λÆì½¢Æƽâ°æµÈµÈ£¬ÓÐÐèÒªµÄÓû§¿ÉÒÔ¸ù¾Ý×Ô¼ºÐèÇó½øÐÐÏÂÔØ¡£