WINHEX x-guide快速入门.docVIP

WINHEX 快速入门 这个快速入门本人已经写完很久了，准备随着新版本推出逐步更新,?加入一些最新功能介绍。喜欢X-Ways Forensics的朋友们可以关注一下。 第一章???配置软件 X-way Forensics软件可以通过setup.exe安装配置后使用，也可以通过运行xwforensics.exe直接使用。具体使用方法可根据用户习惯来选择。但通常来说，直接运行最为方便。 软件使用中，保存有X-way Forensics软件临时文件和案例文件的分区将作为默认的数据输出路径，即只有该分区被允许写入数据。因此，在选择X-way Forensics软件使用分区时，需要考虑好下一步数据分析的实际情况。建议选择容量较大，数据较少的分区。 使用软件前，请预先X-ways目录下建立如下三个文件夹，分别用于保存案例文件、镜像文件和临时文件。文件夹名称也可自定义 一、第一次使用X-ways 运行X-ways Forensic软件后，软件首次启动，出现英文用户界面。当进入软件后，将设置更改为中文后，再次启动即可以看到右侧的中文界面。 当数据分析使用时，一定要选择计算机法证版用户界面。简化界面为?X-ways Investigator?用户界面。 点击确定后，将出现?“General Options”对话框。此时软件界面仍为英文。暂时关闭该对话框，选择调用中文界面。 点击菜单中的?|Help | Setup | Chinese,Please!?，软件界面即转为中文。如果将来需要使用英文界面，可用同样方法转换回来。 二、设置 使用X-ways Forensics进行各项操作之前，首先需要进行设置。点击?|菜单|常规设置|，或直接按?F5?键，即可显示常规设置对话窗。 保存临时文件的目录：当前设置默认保存临时文件至C:\Documents and Settings\sprite\Local Settings\Temp。为便于管理临时文件，我们为其新创建一个temp文件夹，本例为E:\xway\temp。 保存镜像和备份文件的目录：当前设置默认保存镜像文件和备份文件至C:\Documents and Settings\sprite\Local Settings\Temp。为将来方便地调用和管理镜像文件，我们为其新创建一个images文件夹，路径为E:\xway\images。 保存案件和方案的目录：当前系统默认保存为X-ways Forensics?的当前目录下，本例为E:\xway目录。由于将来创建的案件越来越多，这些案例文件保存在当前目录下非常混乱，不易查找，因此，我们为其新创建一个案例文件夹，本例为E:\xway\case。 保存脚本的目录：系统默认保存在X-ways Forensics?的当前目录下，本例为E:\xway目录。本手册中不涉及脚本，无需改变。 保存哈希库的目录：系统默认哈希库文件位置为E:\xway\HashDB。此目录可由X-ways Forensics自动创建和管理，无需改变。 注：如果在固定计算机中安装使用X-ways Forensics，请确定路径设置正确，并将上述路径指向移动硬盘中的相应目录。如果在光盘中使用X-ways Forensics，则一定要将路径指向移动硬盘中的相应目录 第二章??????????????????????创建案件一、创建新案件 开始数据分析，首先要创建案例，并将需要分析的存储介质或者镜像文件加载到案例中。X-ways Forensics软件本身不会使数据内容产生变化 在案件数据对话框中，可输入案件名称、案件描述、调查员、机构地址等辅助信息。案件名称应使用英文或数字，否则案例日志和报告中无法出现屏幕快照图片 为保障数据分析中显示的时间正确，需在显示时区中设置正确的时区信息。 案件创建日期将由X-ways Forensics依据系统时钟自动创建。请确保当前计算机系统时间设置准确。 二、添加数据 创建案件后，需要添加所需获取/分析的目标。可以添加物理存储设备，如磁盘、光盘、USB移动存储设备等，也可添加E01、DD磁盘镜像，以及X-ways?自有的证据文件格式。 三、创建磁盘镜像 创建磁盘镜像，需在扇区察看方式下，选择菜单中?|?文件|?创建磁盘镜像|。 选择镜像文件格式，如E01磁盘镜像，并指定保存位置 创建镜像文件过程中，将显示复制进度。 操作结束，将生成TXT格式操作日志，包含如磁盘参数、MD5值等信息。 第三章???基本操作一、浏览所有文件 如果需要显示当前驱动器下所有文件，使用鼠标右键单击驱动器图标，选择右键菜单中的展开目录。文件浏览器中将显示所选驱动器下所有文件列表。 取消全部文件显示模式，使用鼠标左键单击驱动器图标。 二、文件浏览器菜单说明 过滤漏斗：过滤选项，灰色时表示未