联系我们 4000-77-43-77
德国X-ways综合取证分析工具
  • 德国X-ways综合取证分析工具
  • X-Ways Forensics 是德国X-ways公司最著名的计算机法证工具,为计算机法证人员提供的一个功能强大的、综合的取证、分析环境。

  一、X-Ways Forensics:
 

  X-Ways Forensics 是德国X-ways公司最著名的计算机法证工具,为计算机法证人员提供的一个功能强大的、综合的取证、分析环境。它可与 WinHex 软件紧密结合,也被称为WinHex法证版。 X-Ways Forensics 包含WinHex软件的所有基本功能,并增加了很多特有功能。
 

  1、磁盘克隆和镜像功能,可在 DOS 环境下使用 X-Ways Replica ,进行完整数据获取

  2、可分析 RAW/dd 格式原始数据镜像文件中的完整目录结构,支持分段保存的镜像文件

  3、支持 FAT, NTFS, Ext2/3/4, CDFS, UDF文件系统

  4、支持对磁盘阵列RAID 0、RAID 5和动态磁盘的重组、分析和数据恢复

  5、可读取大于2TB的磁盘、RAIDs和镜像文件

  6、察看并完整获取 RAM 和虚拟内存中的运行进程

  7、多种数据恢复功能,可对特定文件类型恢复

  8、文件签名数据库,易于使用的 GREP 功能

  9、数据擦除功能,可彻底清除存储介质中残留数据

  10、可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙中信息

  11、创建证据文件中的文件和目录列表

  12、能够非常简单地发现并分析ADS数据(NTFS alternate data streams),这些数据有时 Encase 5.05 和 ILook 也无法检测。

  13、支持多种哈希计算方法 (CRC32, MD5, SHA-1, SHA-256, ...)

  14、区别于其他竞争产品,不唯一依靠MD5算法 (MD5碰撞)

  15、强大的物理搜索和逻辑搜索功能,可同时搜索多个关键词

  16、自动色彩显示NTFS文件结构

  17、书签和注释
 

  二、X-Ways Investigator:
 

  X-Ways Investigator是一个为执法部门、私人调查机构提供的强大的案件调查、文件分析,汇总报告的平台。本软件主要提供给其他非计算机法证专业人士(这些专业人士通常是各个领域的权威专家,但计算机知识可能不足),用于财务、反洗钱、反贪污、刑事、色情等案件调查。
 

  X-Ways Investigator基于 X-Ways Forensics 软件开发,精简了用户界面,为非计算机专业人士去除了一些复杂的技术选项。
 

  三、X-Ways Trace:
 

  一个专业的计算机取证分析工具,允许对某特定计算机中的浏览器上网记录信息和Windows回收站的删除记录进行追踪和分析。
 

  可对 Internet Explorer 的互联网历史记录文件 index.dat 进行分析,显示出完整的URL链接、最后访问的日期、时间、用户名、文件大小、文件扩展名等信息。允许以多种方式进行排序。可读取一个或多个文件,也或对目录进行全面搜索,发现指定文件。此外,还可以对整个硬盘(或硬盘镜像)分配空间、空余空间和残留区域中,搜索出上网痕迹。
 

  同时,X-Ways Trace还可以对 Mozilla/Firefox 浏览器的历史文件 "history.dat" , Opera 浏览器的缓存文件 "dcache4.url" 进行分析处理。
 

  所有由X-Ways Trace 生成的信息可以输出到 MS Excel 中。
 

  四、Davory:
 

  Davory 能够从被逻辑破坏或被格式化的磁盘中恢复被删除的文件,它具有 WinHex 的数据恢复能力,主要突出了简单易用性。
 

  软件提供了两种独立的、全自动数据恢复方法,为你带来更多、更大的恢复几率。一种方法对于所有类型文件,另一种专门针对JPG, PNG, GIF, TIFF, BMP, MS Word/Excel/PowerPoint (DOC/XLS/PPS/...), RTF, MS Access (MDB), PostScript (EPS), Acrobat (PDF), Quicken (QDF), HTML, XML, DBX, PST, CAD (DWG), PSD, ZIP, GZ, RAR, RIFF (WAV, AVI), Real Audio/Media (RA, RAM, RM), Quicktime (MOV), Windows Media (ASF) 和 MPEG (MPG),对 FAT12, FAT16, FAT32, 和 NTFS 支持较好。
 

  Davory不只支持对硬盘、软盘、CD和DVD进行数据恢复,还可支持CF卡、SM卡、记忆棒等等。Davory 能够对某种类型的文件进行恢复,如JPEG或MSOffice文件,也可以对特定文件名进行恢复,如 Invoice*.doc。只需点击几下鼠标即可完成恢复工作。非常方便和快捷。
 

  五、X-Ways Security:
 

  数字时代的碎纸机。 如果需要保护公司、机构中的各种保密信息,或者需要保护个人的隐私信息,X-Ways Security 专业数据擦除工具是一个非常好的选择。为达到最大程度的安全性,X-Ways Security提供了多达9种的数据擦除方法和美国国防部5220.22-M 操作手册中指定的(DoD)硬盘擦除标准。
 

  1、彻底删除指定的机密文件,确保无法恢复。

  2、擦除空余空间,清除残留区,消除删除文件后遗留的敏感数据,如暂存文件等。

  3、清除原来使用过的可能包含有文件名称和其他信息的 NTFS 文件记录。

  4、彻底擦除逻辑驱动器或物理驱动器,可用于清除存储介质中的原有信息,以便于在不同环境下重新用于数据获取,满足取证需求。

  5、下载数据安全可靠: 拷贝机密数据,无需担心残留区问题。
 

  六、Evidor:
 

  Evidor 是一套证据收集软件,专为律师、律师事务所、法律和IT安全部门、私人调查机构、执法部门的需求而设计。
 

  功能

  Evidor 能够在硬盘中搜索特定关键字,并显示这些字符在计算机存储介质中出现的频率及位置。它不仅在现有可见文件(已分配空间,包括Windows交换文件等)中搜索,同时还可以在未分配空间、残留区中进行搜索。这意味,Evidor 甚至可以从被删除的(未被覆盖的、物理上还存在的)文件中发现数据。注:Evidor无法访问远程网络硬盘。
 

  电子证据获取和发现

  所有调查员、律师都可以利用 Evidor 简单、方便地查找并收集电子证据。Evidor 同时是在民事案件中,一方对另一方计算机进行调查的最简便工具。 Evidor 可以作为现场使用的,电子证据发现工具,而且不会泄漏无关信息、保密信息,不会给当事人增添人员、时间和费用等额外负担。Evidor 软件就像一个自动的取证分析员,帮你节省了人工分析的大量时间。Evidor 软件功能强大,搜索速度快,能针对诉讼需求,提供可信赖的、可重现的、中立的、简单明确的结果。
 

  IT 安全部门

  Evidor 同时也是一个非常优秀的工具软件,它可以证明计算机存储介质中是否包含保密信息,检测并发现是否存在安全漏洞。 利用Evidor,你可以发现一些本应加密的、安全删除的、不应继续存在的残留数据,有些甚至是完整的原始数据。
 

  七、X-Ways Replica:
 

  X-Ways Replica是一个基于DOS环境下的磁盘克隆工具,随Evidor和X-Ways Forensics一同销售。
 

  八、X-Ways Captures:
 

  X-Ways Captures是一套专业的计算机取证工具,用于在证据采集阶段,获取正在运行的Windows 和 Linux 系统下数据。 X-Ways Capture 将正在运行状态下计算机中的所有数据采集到外置USB硬盘中,这样,在目标系统被获取的当时,一些处于解锁状态下的、原来被加密保护的数据,可以被成功获取下来。 当你发现某些硬盘数据被加密时,可以利用 X-Ways Capture数据获取软件,配合热插拔移动硬盘,制作硬盘镜像,避免徒手而归! 此外,你可以利用X-Ways Capture 软件所获取的内存数据中发现有价值的口令信息。
 

  1、通过多种方法搜索已知或未知加密软件,并生成报告。

  2、检测发现活动状态的 ATA 加密硬盘保护。

  3、获取物理内存和虚拟内存中所有正在运行的进程。

  4、完整获取当前系统所有的存储介质,可以以raw images 或.e01证据文件格式保存(物理镜像获取)。即可以强行采用此种获取方式,也可根据软件对加密方式的自动检测结果决定采用何种拷贝方法。

  5、将所有磁盘、目录下的可读文件拷贝至目标磁盘 (逻辑拷贝),即可以强行采用此种获取方式,也可根据软件对加密方式的自动检测结果决定采用何种拷贝方法。

  6、所有执行步骤和配置可由用户预先自定义,并可以随时启用或停止。

  7、用户可自行添加、扩充 X-Ways Capture 软件所能检测的加密软件种类。

  8、软件工作同时自动创建操作日志。
 

  如果当前系统内驻留有加密软件,如PGP Desktop 、BestCrypt 等软件,X-Ways Capture可以根据加密程序的名称和以及文件签名把它们检测出来。加密后的虚拟磁盘,当前可能正处于解锁状态,逻辑盘符可见,因此可以利用?#36923;辑拷贝?#26041;式,成功地将加密的文件拷贝出来。利用同样方法可以解决NTFS/EFS加密文件。对于一些专用硬盘加密软件,如 SecureDoc、CompuSec等,X-Ways Capture软件可以被自动检测出来。如果系统当时处于解锁状态,可以采用物理镜像方式成功获取未加密硬盘数据。
 

  九、Winhex:
 

  著名的十六进制编辑器,国内外使用者极多。具有磁盘编辑、内存数据编辑、数据恢复等多种功能。目前有个人版、专业版、专家版、法证版等。

分享


 

甲驭科技优势

甲驭科技丰富实战经验!值得信赖!