分类1
大小:3.5MB
语言:简体中文系统:微软Windows平台
类别:远程监控时间:2020-09-05
2、自动生成HTML格式案件报告,可以用Word等程序查看并编辑
3、完整的案件管理和日志记录功能
4、支持文件打印,且可在封面中包含文件元数据信息
5、可分析X-Ways Forensics 19制作的证据文件管理器中的文件
6、支持读取包含FAT12/16/32, TFAT, exFAT, NTFS, Ext2/3/4, Next3?, CDFS, UDF, HFS, HFS+, ReiserFS, Reiser4, UFS, UFS2文件系统的存储介质或镜像文件
·可分析 RAW/dd/ISO/VHD/VMDK 格式原始数据镜像文件中的完整目录结构,支持分段保存的镜像文件
·支持磁盘,RAID,扇区大小为8KB最大2TB的镜像的完全访问
·支持对JBOD、RAID0、RAID 5、RAID 5EE, RAID 6, Linux软RAID, Windows动态磁盘和LVM2等磁盘阵列
·自动识别丢失/删除的分区
·支持FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDF文件系统
·无需修改原始硬盘或镜像纠正分区表或文件系统数据结构来解析文件系统
·察看并获取 RAM和虚拟内存中的运行进程
·多种数据恢复功能,可对特定文件类型恢复
·基于GREP符号维护文件头签名数据库
·支持20种数据类型解释
·使用模板查看和编辑二进制数据结构
·数据擦除功能,可彻底清除存储介质中残留数据
·可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙中信息
可分析 RAW/dd/ISO/VHD/VHDX/VDI/VMDK 格式原始数据镜像文件中的完整目录结构,支持分段保存的镜像文件
可读取磁盘、RAIDs以及超过2TB大的镜像文件(超过 232 个扇区) 扇区最大为8KB
内置解析磁盘阵列JBOD、RAID 0、RAID 5、RAID 5EE, RAID 6, Linux 软件磁盘阵列、windows动态磁盘以及LVM2逻辑卷管理器。
自动识别丢失的/已删除的分区
支持 FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3®, CDFS/ISO9660/Joliet, UDF 文件系统
支持扇区叠加分析, 例如,即使在数据损坏的情况下,也能通过更正的分区表或文件系统数据结构对文件系统进行完整解析,而不改变原始磁盘或镜像
察看并完整获取内存转储,并能获取虚拟内存中的运行进程
使用多种数据恢复技术,能快速发现需要恢复的数据,并支持碎片级数据恢复
文件头数据库支持GRPE检索
能分析20种不同类型的数据
通过模板查看并编辑二进制数据结构
数据擦除功能,可彻底清除存储介质中残留数据
可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙以及通用文本中的信息
创建证据文件中的文件和目录列表
能够非常简单地发现并分析ADS数据(NTFS备用数据流)
支持多种哈希计算方法 (CRC32, MD4, ed2k, MD5, SHA-1, SHA-256, RipeMD, …)
强大的物理搜索和逻辑搜索功能,可同时搜索多个关键词
可以在子目录中反复查看现有文件和已删除的文件
自动用彩色显示NTFS文件结构
书签和注释
能在符合法证要求的Windows FE环境中运行,比如,有限制的分类/查看
非常便携, U盘即插即用,无需安装,支持任何一个操作系统
能与F-Response 配合使用,分析远程计算机
免激活,硬核解锁BYOD加密狗保护,法证授权版全部功能无限制!
﹂官方自v19.9 版本起不再采用许可文件,而是用的 BYOD加密锁;
集成解锁Dll劫持补丁,已修改默认简体中文,置空选项临时路径;
X-Ways Forensics(法证授权版)包括 MPlayer 和查看器组件;
把xwforensics.exe重命名为winhex.exe,软件将也就是winhex;
包含插件:MPlayer 2018 x64
包含插件:Outside In Viewer v8.5.4
含WinHex Forensic Editon x86/x64