X-Ways Forensics v20.1 SR-1法证授权版

1、启动中心

所谓的“启动中心”是一个对话框窗口，在启动时可以有选择地显示该对话框，它是用于开始工作的简化控制面板。它允许快速打开文件，磁盘，内存模块和文件夹，以及最多255个最近编辑的文档（默认为16个，左侧列表）。这些可能是文件，文件夹，逻辑驱动器或物理磁盘。再次打开时，除非禁用了相应的选项，否则WinHex将恢复每个文档的最后一个光标位置，滚动位置和块（如果已定义）。

您还可以从启动中心访问项目和案例（右侧顶部列表）。一个项目由一个或多个要编辑的文档（文件或磁盘）组成。它会记住编辑位置，窗口大小和位置以及一些显示选项。通过将窗口排列另存为项目，您只需单击一下即可继续在离开它们的位置处处理多个文档。这对于重复任务特别有用。加载项目时，所有当前打开的窗口将首先自动关闭。

此外，WinHex会自动将WinHex会话结束时的窗口排列另存为项目，并在下次启动时重新创建它。每个项目都存储在一个.prj文件中。可以在启动中心内（上下文菜单或Del / F2键）将其删除或重命名。

最后一点同样重要，启动中心是管理脚本的地方。您可以使用上下文菜单检查，编辑，创建，重命名和删除脚本。要执行脚本，请双击该脚本或单击它，然后单击“确定”按钮。

2、目录浏览器列和过滤器

大多数过滤器和许多列仅适用于具有较高许可类型的标记，例如。 [对于]。

名称：列出的文件或目录的名称，并且（仅具有法医许可，仅适用于具有子对象的目录和文件）用不同的颜色括在括号中，该名称是卷快照中所包含文件的总数。允许基于一个或多个文件名掩码（每行一个）过滤。如果您具有相关文件名或关键字的列表，并且想快速找出是否存在具有此类名称的文件，则此过滤器很有用。

有两种不同的方法使用“名称”过滤器。第一种方法是将某些表达式与全名匹配。表达式中可以包含星号（通配符），例如“ * .jpg”。如果每个掩码的开头和结尾分别位于两个星号之间，则最多允许两个星号。您可以使用以冒号（:)开头的文件掩码来排除文件。示例：所有名称以字母“ A”开头，但一行中不包含单词“ garden”：“ A *”，另一行中不包含“：* garden *”的文件。当使用多个正文件掩码表达式时，它们与逻辑OR组合，而负表达式（:)与逻辑AND组合。

如果“在文件名中搜索子字符串”选项处于活动状态，则以上所有规则均不适用。而是在文件名中搜索指定字符或可选的GREP表达式。例如，只需键入“ invoice”以查找文件名包含单词invoice而不是“ * invoice *”的文件。有关GREP表示法的说明，请参阅搜索选项。锚点$在这种情况下不起作用。

可以粘贴到“名称”过滤器中的文本量已扩展到200万个字符。这并不意味着X-Ways Forensics可以有效地使用包含上万个字符或更多字符的过滤器。如有疑问，请使用“匹配全名”选项（而不是子字符串搜索）以获得更好的性能。

如果在元数据提取过程中在Windows回收站或iPhone备份中找到某个文件的原始名称，或者在某些其他文件中找到该原始名称，则该名称会显示在“名称”列中，并在方括号中显示当前唯一名称。现在，案例报告中的方括号中也显示了当前的唯一名称。这两个名称都由“名称”过滤器定位。

通过“名称”列的标题，只需单击一下鼠标即可快速标记或取消标记所有列出的项目。它还指示列出的项目中是否有任何标记或未标记的项目。

存在：显示文件是现有文件还是现有文件的子对象（基于其参考点（例如文件系统）存在），带有复选标记，数学符号或自然语言，具体取决于注释选项。第三种状态是“虚拟”。要过滤存在状态，请使用“描述”过滤器。请记住，您可以使用目录浏览器选项按存在状态对文件进行分组，也可以按此列进行排序。

描述：项目的文字描述。显示与“名称”列中的图标类似的属性，例如，该项目是文件还是目录，还是提取的电子邮件或视频静止图像等，存在/删除/虚拟/雕刻的状态以及卷快照中的状态（例如已标记，已查看）。可以在“注释”选项（通过“常规选项”）中自定义列中包含的文本。 “描述”列的设置是“注释选项”的一部分，意味着您可以有两种不同的设置，一种通常用于目录浏览器，另一种专门用于“导出列表”命令。这可能很有用，因为与目录浏览器不同，在导出的列表中没有图标可以帮助您区分某些对象类型及其删除状态。

此列还允许按覆盖的属性进行过滤或排序，这使“描述”过滤器成为最重要的过滤器之一。例如，您可以过滤掉：

•现有文件（如果您仅对先前存在的文件[可以驻留在现有目录中]很有用）

•先前存在的文件和目录。

•带标记的文件和目录。

•半个带标签的文件和目录（包含至少1个带标签的文件和至少1个无标签的文件）。

•未标记的文件和目录。

•标记为已查看的文件。

•未标记为已查看的文件。

•排除的文件和目录（在卷快照中标记为排除）。

•不排除的文件和目录。

右键单击目录浏览器的标题行，可以通过一种快捷方式快速进入过滤器对话框。即使“描述”列不可见，该方法也有效。 （如果依靠图标来区分不同种类的项目，则在目录浏览器中可能不需要“描述”列。）表示“描述”列过滤器的漏斗符号有四种可能的颜色：1）不活动时为灰色，例如通常。 2）从理论上讲，当滤镜处于打开状态时，灰色具有非常非常淡的蓝色倾向，几乎与灰色几乎没有区别，但只有被排除的文件会被滤除，但实际上没有被排除的文件被滤除。 3）蓝灰色，表示只有排除的文件被过滤器过滤掉，而这些文件实际上已被过滤掉。 4）如果“描述”过滤器处于活动状态，则普通的蓝色将引起注意，该过滤器不仅专注于排除的文件，还基于其他属性过滤掉文件。之所以引入这种柔和的配色方案，是因为许多用户认为排除文件被过滤掉是“正常的”，因为出于不再看到它们的目的而将它们排除在外，因此它们可能不希望被耀眼的蓝色提醒颜色。

视频静止图像的过滤器有一个特殊的选项，该选项还允许在静止图像之前直接列出相应的视频。这样一来，您就可以轻松查看哪些静止图像属于哪个视频，并且您可以在视频上发表评论或将视频添加到报告表中，而无需来回导航，也无需使用稍微不太直观的方式将报告表关联应用于广告您看不到的项目（带有“用于父文件”选项）。如果您在图库选项中禁用了辅助缩略图，则表示视频的图块可能会在图库中充当视觉分隔符，以便您可以轻松查看下一个视频的静止图像的开始位置。

可以使用特殊的过滤器设置，使您可以专注于创建日期晚于修改日期的文件，即显然已被复制并以此方式获得了新创建日期的文件。注释选项允许使用“复制”一词标记所有此类文件。该词的存在可用于条件单元格着色，以便您快速查看哪些文件可能是原始文件以及哪些文件已被复制。请注意，搜索“已复制”一词是特定于语言的（以防您与其他国家/地区的用户共享条件单元格着色设置）。

扩展名：文件扩展名。文件名中最后一个点之后的部分（如果有的话），除非最后一个点是第一个字符（在Unix / Linux世界中并不罕见）。

类型[INV，FOR]：文件类型。如果未特别检查文件的标题签名（请参阅优化卷快照），则这只是文件名扩展名的重复，显示为灰色。否则，如果文件签名验证显示了文件的真实性质，则将输出该类型的典型扩展名。如果该扩展名仍与文件的实际扩展名相同，则以黑色显示；如果实际的扩展名与文件的类型不匹配，则以蓝色显示。可以根据此列激活便捷的过滤器。在过滤器对话框中，您可以选择单个文件类型或整个类别。您可以加载并保存选择。有一些按钮可以一次扩展或折叠所有类别。如果您想在树状视图窗口具有输入焦点的情况下通过键入字母来快速查找某种文件类型，则展开所有类别可能很有用。

请注意，当从.settings文件或案例中加载文件类型过滤器的选择时，文件类型名称之间的冲突会变得很明显。例如，如果您最初选择了“ mmf” =“ MailMessage File”（类别电子邮件），那么您会发现“ mmf”也被选择为“ Yamaha SMAF”（声音/音乐类别）。这是正常现象，不会改变类型过滤器的作用。如有疑问，“类型”过滤器还包括具有相同名称的其他类型，以避免任何内容被忽略。

类型状态[INV，FOR]：“类型”列的状态。最初是“未验证”。在基于签名验证文件类型之后（作为完善卷快照或以预览或画廊模式查看文件的一部分）：如果文件很小（小于8个字节），则状态为“不相关”。如果文件类型签名数据库不知道给定文件的扩展名或签名，则状态为“不在列表中”。如果签名与根据数据库的扩展名匹配，则状态为“已确认”。如果在数据库中引用了扩展名，但实际上在文件中找到的签名未知，则状态为“未确认”。如果签名已知且文件名没有扩展名，则状态为“新识别”。如果签名与数据库中的某个文件类型匹配，但是扩展名与其他文件类型匹配，则状态为“检测到不匹配”。可用过滤器。

此外，此列可能包含有关各种支持类型的文件格式一致性的提示，例如“确定”或“不规则”，用于刻出的文件，可能用于文件类型验证或元数据提取之后的其他文件。 “不正常的”可能意味着腐败，不完整，不一致，出乎意料，不可见……任何异常。例如，对于JPEG，不规则可能意味着在文件末尾找不到页脚签名。

有关文件类型等级和组的说明，请参见文件类型Categories.txt的描述。

类型描述[INV，FOR]：显示文件类型所属的应用程序的名称，文件扩展名的含义等，如文件类型Categories.txt中所指定。如果定义文件中多次出现相同的扩展名，则会列出其所有含义。例如，.pm可以是Perl模块，PageMaker文档或Pegasus文件或X11 Pixmap文件。

类别[INV，FOR]：根据“文件类型Categories.txt”中的定义，对应于文件类型的文件类型类别（请参见下文）。可用过滤器。如果多次定义相同的文件类型/扩展名，属于不同的类别，则仅显示该文件类型的一个类别。尽管如此，类别过滤器仍然有效。可以使用弹出菜单激活类别过滤器。在该弹出菜单中，您还可以查看有关目录浏览器中当前列出了每个类别的文件数量的统计信息（如果关闭了类别过滤器，则将列出这些统计信息）。

证据对象[INV，FOR]：文件或目录所属的证据对象的名称。在递归案例根列表中很有用，即目录浏览器显示所有证据对象的所有文件时。按此列排序按证据对象编号排序，您可以在证据对象属性中看到该编号。该数字通常取决于证据对象在案件树中的位置。

路径：文件或目录的路径，以卷的根为基础，以反斜杠开头。可用过滤器。过滤器表达式被解释为可以匹配路径任何部分的子字符串，因此不需要或不支持通配符。

全路径[SPE，LAB，FOR]：路径，包括文件或目录本身的名称。按全路径排序可以产生方便的顺序，因为子对象直接跟随其各自的父对象，即使某些父文件或目录或电子邮件具有完全相同的名称。可用过滤器。

父名称，子对象[INV，FOR]：两列均带有过滤器。例如，子对象过滤器使您可以快速查找带有特定名称附件的所有电子邮件。例如，通过使用父名称过滤器，您可以快速查找带有包含某些单词的主题的电子邮件附件。请注意，“名称”，“父名称”和“子”对象列的过滤器共享相同的设置，并且是互斥的（不能同时处于活动状态，一个将停用另一个）。

大小：文件的逻辑大小（即没有松弛的大小）或目录的物理大小。物理文件大小和有效数据长度（对于存储在NTFS文件系统中的文件）可以在文件模式下的信息窗格中查看。如果启用了递归选择统计信息，则在具有法医许可证的情况下，目录的大小是该目录中直接或间接包含的所有文件的总大小，否则为目录的数据结构的大小。可用过滤器。要专门针对大小未知的文件，请使用过滤器<= -1。

创建时间：在文件或目录所在的卷上创建日期和时间。在Linux文件系统上不可用。可用过滤器。

修改时间：文件或目录的最后修改日期和时间。在FAT上，时间精度仅为2秒间隔。在CDFS上，此列中列出了唯一可用的日期和时间戳，尽管不一定指示最后的修改。可用过滤器。

已访问：文件或目录的上次读取或通过其他方式访问的日期和时间。如果与创建时间戳相同，则NTFS上次访问时间戳将显示为灰色，因为在大多数系统上，由于性能原因，这些时间戳可能根本不维护，因此不是很重要。在FAT上，仅记录日期。可用过滤器。

记录已更改：文件或目录的FILE记录（在NTFS上）或inode（Linux文件系统）的上次修改日期和时间。这些是包含文件元数据的文件系统数据结构。可用过滤器。

删除：删除文件或目录的日期和时间。通常可在Linux文件系统上使用，也可能在NTFS上使用（在特定的彻底文件系统数据结构搜索并查看/预览卷上的$ UsnJrnl：$ J文件（如果有）之后）。不要与其他取证工具可能会在NTFS卷上向您显示的所谓的删除时间戳混淆，对于尚未从文件系统中删除的文件。可用过滤器。

创建的内容[INV，FOR]：创建时间戳，可以从内部存储的元数据中提取各种文件类型的时间戳（请参见相应的上下文菜单命令），如创建文件的程序所放置的那样。内部时间戳通常比文件系统级别的时间戳更不稳定，并且更难以操作。它们对于例如确证很有用。如果在内部元数据中找到了正式的创建时间戳，则该时间戳将显示在此列中。如果不是这样，则可以使用其他各种合理的时间戳作为替代，必要时甚至可以使用从文件名派生的时间戳。这样，所有JPEG文件中的大约60％都可以显示“内容创建”值。可用过滤器。

有关时间戳列的更多信息

属性：FAT / NTFS文件系统上的DOS / Windows属性，Unix / Linux / Mac文件系统上的Unix / Linux权限和文件模式，以及图例（仅限法证）和此处说明的一些专有符号。

“部分初始化”是指根据文件系统（NTFS或exFAT），所谓的有效数据长度小于逻辑文件大小，即，文件末尾的数据是未定义的，类似于文件松弛，处理文件，并且之前存储在该位置的磁盘上。您可以在“信息”窗格中的“文件”模式下查看文件的有效数据长度，并且未定义的区域将以不同的颜色突出显示。

Attr中显示了一些GUID分区表分区属性。列：系统（=操作系统要求），隐藏（=未安装为驱动器号），只读，卷影副本。

按属性排序时。列中，具有“更有趣”属性的文件会首先列出，例如表示加密的属性，以及未设置任何属性或属性未知的文件。

可以使用过滤器。例如，您可以专门过滤Unix样式文件权限的9 + 3位中的任何位，并将它们与OR，AND或EQUAL组合在一起。 EQUAL要求所有12位的状态与选择的状态完全相同（无论设置还是未设置）。 AND表示您需要设置所有选中的位，但不关心其他位。 OR表示如果已设置任何选中的位，您已经很满意。 SUID和SGID位可以与逻辑OR或AND组合。请记住，如果您对带有粘性位的目录感兴趣，则在递归浏览时将需要包括目录，并将过滤器也应用于目录（不是默认设置）。请注意，权限的逻辑运算符通常不应设置为EQUAL，因为与OR或AND运算符不同，即使在对话框中根本没有选择权限位，也会导致对权限的主动过滤。不选择任何权限位的EQUAL表示过滤未设置权限位的文件或权限未知的文件。

第一个扇区[不在INV中]：包含文件或目录数据的起始文件的扇区号。按第1个扇区排序是指按磁盘上的物理位置排序，并显示彼此相邻的文件，这些文件在物理上彼此靠近存储。可以使用过滤器，该过滤器允许将焦点放在其内容在某些扇区范围内开始的文件上，例如，确定肯定受已知坏扇区影响的文件，或者标识其内容存储在已知不完整图像结束之后的文件。请记住，如果需要，可以选择在此处看到物理扇区号（基于磁盘），而不是逻辑扇区号（基于分区），请参阅目录浏览器选项。筛选器还允许集中于在扇区边界处对齐或未对齐的雕刻文件（例如，在字节级别运行文件头签名搜索之后），以删除垃圾文件，这些文件在未对齐的文件中更为常见。

FS offset [SPE，LAB，FOR]：显示文件或文件在文件系统中的目录的定义数据结构的偏移，即该结构是在卷快照中包含文件的基础。该偏移量是您可以手动检查详细信息的地方，以防万一X-Ways Forensics从何处获取文件系统级元数据。在这里，您可以应用合适的模板来获得其他解释，并在其中指出其他工具的弱势用户，因为他们可能无法找到这样的关键位置，或者甚至无法列出某些已删除的文件。雕刻文件和出于明显原因而嵌入到其他文件中的文件在文件系统中没有这样的偏移量（或者至少在雕刻文件的情况下，X-Ways Forensics并不知道）。文件系统偏移量也是您使用专用上下文菜单命令定位文件的FILE记录/索引节点/文件条目/目录键等的位置，所有版本均如此。

ID：文件系统或WinHex分配给文件或目录的标识符。不一定独特。可以使用过滤器，这使查找给定文件的其他硬链接更加方便。

诠释ID：卷快照中文件或目录的唯一内部标识符。最后添加到卷快照的项目具有最高的标识符。可用过滤器。例如，如果您想关注上次添加到卷快照中的x文件（优化后），或者想要恢复内部ID为y的逻辑搜索（筛选出文件），则非常有用，非常有用可能之前已经被搜索过）。

对于包含大量文件的证据对象，使用modulo选项可以将重点放在或多或少的文件子集上

即使是正常工作，上司/检察官可能也不会要求审查员进行100％完整的检查，例如，如果在审查了合理大小和代表性的子集后，您可以推断出10,000张照片中的大约10％是非法材料。

诠释parent [not INV]：卷快照中文件或目录的父目录的唯一内部标识符。有用的当导出文件和目录时，在同一路径中有多个具有相同名称的目录（例如，一个现有目录，一个已删除目录），因此即使内部路径不明确，您也可以通过内部父ID知道哪个文件位于哪个目录中。

唯一ID [INV，FOR]：文件或目录的内部标识符，在整个案例中是唯一的，而不仅仅是在一个证据对象的卷快照中，并且在案例的整个生命周期中都是唯一的。唯一ID易于阅读。它包含分隔符，分隔证据对象ID和int。 ID。

唯一ID作为GUID [INV，FOR]：唯一ID，其格式和扩展为GUID，适用于需要为每个文件的每个文件都具有GUID的用户。

所有者[FOR]：记录该信息的文件系统上文件或目录的所有者的ID。在NTFS上，它是SID，或者，如果X-Ways Forensics可以借助处理案件时已经遇到的SAM注册表文件将其解析为用户名，则为用户名。可用过滤器。

所有者[FOR]：根据文件系统显示文件所有者的ID，有时还根据操作系统显示名称。

组[FOR]：显示Linux文件系统中文件分配组的ID。

作者[INV，FOR]：在元数据提取后显示各种类型（MS Office，OpenOffice / LibreOffice，RTF，PDF等）的文档的作者姓名。可用过滤器。

发件人，收件人[INV，FOR]：这些列用于填充X-Ways Forensics从电子邮件存档中提取的电子邮件和附件，以及从中提取元数据的原始.eml文件。他们带有过滤器。允许您输入电子邮件地址或名称的任何部分以搜索某些电子邮件。过滤器表达式被解释为子字符串，因此不需要或不支持通配符。您可以选择要使用过滤器定位的收件人类型：收件人：，抄送：或密件抄送：或其组合。如果愿意，还可以在自己的列中分别看到“收件人：”，“抄送：”和“密件抄送：”收件人。

链接计数[FOR]：文件或目录的硬链接计数，即目录引用它的频率。

仅提供短文件名（SFN）以满足旧Microsoft DOS / Windows版本的旧版8.3要求的硬链接不算作硬链接。而是，这些文件的硬链接计数在目录浏览器的“链接”列中带有°标记。这样，硬链接计数可以更准确地反映X-Ways Forensics的卷快照中实际存在的硬链接，而普通文件的计数始终为1，而2或更多则意味着更特殊。如果硬链接计数1带有星号（*），则表示该文件或目录以硬链接的形式存储在HFS +的目录结构中，尽管基于硬链接计数并不必要。如果硬链接计数变灰，则表示在逻辑搜索过程中有选择地将其省略的文件，以避免不必要的重复搜索工作和重复搜索命中。

文件计数[INV，FOR]：卷快照中的目录或包含子对象的文件中包含的文件总数，以递归方式包含（包括其他子目录）。也可以在括号内的名称列中找到此数字（取决于设置）。

命中计数[INV，FOR]：在文件中找到的搜索命中数。

字词计数[INV，FOR]：在文件中找到的搜索字词（不是搜索命中数）的数量。在这种情况下，这将考虑在同时搜索中曾经使用过的所有搜索词，而不是仅针对可能已在搜索词列表中选择的搜索词，除非您已删除搜索命中。您可以按此列进行排序，以首先列出可能相关性更高的文件（因为它们包含您正在寻找的更多搜索词）。仅针对案例的证据对象填充此列。

搜索词[INV，FOR]：最多列出文件中找到的25个搜索词，这些搜索词在上一列中进行了计数。甚至在普通目录浏览器中，也有助于了解文件中的搜索结果，而无需切换到搜索结果列表。可用的过滤器，不限于此列中显示的25个搜索词。

页数[INV，FOR]：作为元数据提取的一部分，页数是从PDF和某些Office文件类型中提取的，并在此列中显示。

像素[INV，FOR]：图片的大致舍入尺寸，以宽度乘以高度为结果，以千像素（KP）或百万像素（MP，百万像素）为单位，出于效率方面的考虑，存储为非常低的精度值。在查看图片时（全屏模式，预览模式或在图库中），同时使用肤色百分比同时计算尺寸。可以轻松区分小型浏览器通过关联的过滤器缓存垃圾图片和高质量的数码照片，使您可以同时聚焦于小于或等于指定像素数或大于或等于或两者兼有的图片。 （由于像素数的精度存储较低，因此只能近似工作。）一旦仍然从视频文件中导出了至少1个视频，则在此列中也可以看到视频的近似分辨率。

分析[INV，FOR]：合并的列，显示文本文档的FuzZyDoc匹配项以及PhotoDNA匹配项以及光栅图像中计算出的肤色量（或图片也是黑白或灰度图片的事实，也是如此）较小以包含任何相关的图形内容）。精炼卷快照后可用（如果基础技术可用）。通过此列进行排序或过滤是发现痕迹的最有效方法，例如儿童色情制品或搜索扫描的文档（灰度或黑白图片）。按“分析”列的降序排列，首先列出具有FuzZyDoc匹配项的文件（那些对顶部附近的哈希集最有把握的匹配文件，其次是较低的百分比），然后是PhotoDNA匹配项（在内部PhotoDNA哈希中显示类别名称）数据库），然后没有PhotoDNA的图片按照其肤色百分比的降序排列。之后，将列出不相关的图片（尺寸非常小的图片），然后列出不是图片的文件，并在底部的黑白和灰度图片附近。现在，该列中的文本颜色编码使区分不同种类的分类变得更加容易。 FuzZyDoc匹配，PhotoDNA匹配和颜色分析结果互斥。这意味着，如果对图片进行颜色分析，并且发现与PhotoDNA哈希值的相似性，则在“分析”列中仅记住PhotoDNA类别匹配，而不会记住肤色百分比，因为认为PhotoDNA匹配更有用。在图片的“分析”列中显示风格化的P，对于这些图片，在卷快照中至少存储了一个PhotoDNA哈希值。如果是这种情况，则可以在“详细信息”模式下看到哈希值。

哈希[SPE，LAB，FOR]：一个文件最多可以计算两个哈希值（例如MD5和SHA-1），然后在两个哈希列中显示。可用过滤器。过滤器允许您关注具有哈希值，没有哈希值，其哈希值以某些十六进制值开头（如果仅指定哈希值的开头）或具有特定值（如果指定完整的哈希值）。该过滤器可以将文件的哈希值与用户提供的最多4个哈希值（十六进制ASCII）进行比较。如果您只想快速找到一些文件，例如在哈希数据库中创建一个较小的哈希集的更快选择。您可以从目录浏览器的哈希列中复制具有已知哈希值的文件副本。查找文件副本（甚至不需要复制和粘贴哈希值）时，使用此过滤器的最简单方法是在目录浏览器中右键单击十六进制ASCII表示法（不是Base32）中给定文件的哈希值。 ），然后在上下文菜单中调用“过滤依据”命令。