X-Ways Forensics正式版是为计算机取证分析人员提供的一个功能强大的、综合的取证、分析软件,可在 Windows XP/2003/Vista/2008/7/8/8.1/2012/10操作系统下运行,支持32 /64 位, Standard/PE/FE等版本。(Windows FE is described here, here and here.) 与其他竞争产品相比,由于它在运行时占用的资源更少,因此它在工作时更高效,运行更快速,并且能恢复已删除的文件,还能搜索到其他软件搜索不到的结果,还包含许多特有的功能,最重要的是成本更低廉。X-Ways Forensics 可随身携带,能够通过U盘在任意Windows操作系统下使用,无需安装。不像其他一些取证分析工具那样,X-ways Forensics不需要使用者设置数据库等繁琐的操作,并且超小化的安装包可以在数秒内下载并安装。它可以与WinHex hex和 disk editor 紧密结合,提供高效率的工作流模型, 这样计算机取证调查员就可以与使用X-Ways Investigator 的调查员共享数据,协同工作。
・磁盘克隆和镜像功能,进行完整数据获取
・可分析 RAW/dd/ISO/VHD/VMDK 格式原始数据镜像文件中的完整目录结构,支持分段保存的镜像文件
・支持磁盘,RAID,扇区大小为8KB最大2TB的镜像的完全访问
・支持对JBOD、RAID0、RAID 5、RAID 5EE, RAID 6. Linux软RAID, Windows动态磁盘和LVM2等磁盘阵列
・自动识别丢失/删除的分区
・支持FAT12. FAT16. FAT32. exFAT, TFAT, NTFS, Ext2. Ext3. Ext4. Next3. CDFS/ISO9660/Joliet, UDF文件系统
・无需修改原始硬盘或镜像纠正分区表或文件系统数据结构来解析文件系统
・察看并获取 RAM和虚拟内存中的运行进程
・多种数据恢复功能,可对特定文件类型恢复
・基于GREP符号维护文件头签名数据库
・支持20种数据类型解释
・使用模板查看和编辑二进制数据结构
・数据擦除功能,可彻底清除存储介质中残留数据
・可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙中信息
・创建证据文件中的文件和目录列表
・能够非常简单地发现并分析ADS数据(NTFS交换数据流)
・支持多种哈希计算方法 (CRC32. MD4. ed2k, MD5.SHA-1. SHA-256. RipeMD...)
・强大的物理搜索和逻辑搜索功能,可同时搜索多个关键词
・在NTFS卷中为文件记录数据结构自动加色
・书签和注释
・可以运行在Windows FE中等Windows环境
・配合F-Response可进行远程计算机分析