|
CDF训练营又迎来新的一期,大家还记得Wendy当初分享的那些笔记吗? 那期的入门篇整体介绍了 X-Ways 这个软件,同时也分享了基本的操作教程,有使用经历的亲们应该发现了: X-Ways的功能十分强大,但是功能太多了也会让人晕头转向。 今天,我们分类讲讲几个最基本也是最重要的操作,掌握了今天的内容你将不再是小白! 正文 还没有入门的小伙伴们请戳👉 X-Ways取证快速入门 学习(或者复习),以下内容都是在入门基础上的实际演练。 ▍操作界面 首先看图,熟悉X-Ways的操作界面。 X-Ways操作主界面 图中左边标识的英文依次为:主菜单、工具栏、案件目录窗口、详情目录、模式切换、文件偏移量、十六进制、文本内容、数据解释器。 ▍展开目录 X-Ways中的目录需要层级展开,而且每一层都需要专门选择浏览,用户得根据自身需要选择指定分区来展开目录并浏览。 展开所有证据 在案件目录窗口右键点击案件根目录,并选择需要展开的分区;展开所有证据后,可以列出所有的文件。 选择分区展开证据界面 证据展开后的效果 展开某个分区 鼠标右键点击分区1,选择“浏览递归”,则能查看该分区内的所有文件。 分区展开界面 继续点击展开,则显示该分区一个子目录下的所有文件目录。 分区子目录的文件目录 ▍浏览设置 这是X-Ways里面一个隐藏的快捷键,下图红色标记出的菜单栏空白区域,是一个通往设置显示列表的入口。 显示列表空白区域 双击这个没有任何字的空白区域,就会弹出设置窗口,选择需要显示在列表中的那一栏,使其后面的值不为零即可。 设置目录列表的显示栏 注:数值表示显示的宽度,我们可以在其显示出来后通过鼠标拖拽调整宽度。 如动图中所示,选择显示后还可以通过箭头调整在列表栏的前后顺序。 ▍过滤设置 X-Ways的强大过滤功能是其亮点之一,不仅过滤条件多样,且自由度高,同时还能多样组合过滤。 还是这张图,红框内每个显示栏的前面都有一个漏斗,直接点击该漏斗就能针对相应栏进行过滤。 我们举几个其中的例子: 文件名过滤 1. 文件扩展名过滤:输入“星号+文件扩展名”; 2. 文件名关键字过滤:输入“关键字+星号”。 文件名过滤 例 扩展名:*.jpg *.doc *.xls 关键字:2009* 峰会* 文件类型过滤 X-Ways支持的文件类型太多了,我们只用根据需要勾选一个或多个文件类型即可。 文件类型过滤 其他的过滤就不多赘言了,还是一样的:点击“漏斗”,然后在窗口内选择、激活。 组合过滤 当你使用了多个过滤条件时,目录内的文件可以组合过滤,你可以通过最前面的漏斗看到当前共有几个过滤条件,如下图: 组合过滤 取消过滤 同样地,点击显示漏斗总数的漏斗,可以一次性取消所有的过滤。 取消过滤 是不是突然就明朗了?只要记得时时查看过滤的范围和条件总数,用起来就会非常得心应手的。 ▍磁盘快照 什么是磁盘快照? 为了实现数据的全面和自动化处理,提升工作效率,降低取证分析人员的工作量,X-Ways提供了证据预处理功能,称作磁盘快照。 其功能包括:文件恢复、文件签名恢复、哈希校验、复合型文件提取、电子邮件内容提取等。 哈希校验 磁盘快照-哈希校验 点击“专业工具”——选择“磁盘快照”——勾选“计算哈希值”——确定校验证据项,OK! 磁盘快照窗口中提供了多个预处理选项,用户可以根据自身需要,点击选择证据预处理选项。窗口上部区域是针对分区进行数据处理,下部区域针对文件进行处理。 其他功能的磁盘快照使用方法相同,都是聪明人,大家看录制的动图就懂了! 磁盘快照-基于文件系统结构恢复
磁盘快照-文件内容提取
磁盘快照-基于文件签名恢复
磁盘快照-解析文件数据 怎么样?动图看得过瘾吗?学会了记得给小编点个赞哦! 本期X-Ways教程就是这样,还有什么问题请留言,争取帮您答疑解惑! 完 Wendy有个想法,把每次CDF训练营的课堂笔记做成一个系列专栏,你怎么看? |
|
|
