X-Ways Forensics: 综合取证分析工具

X-Ways Forensics 是为计算机取证分析人员提供的一个功能强大的、综合的取证、分析软件,可在 Windows XP/2003/Vista/2008/7/8/8.1/2012/10操作系统下运行,支持32 /64 位, Standard/PE/FE等版本。(Windows FE is described here, here and here.) 与其他竞争产品相比,由于它在运行时占用的资源更少,因此它在工作时更高效,运行更快速,并且能恢复已删除的文件,还能搜索到其他软件搜索不到的结果,还包含许多特有的功能,最重要的是成本更低廉。X-Ways Forensics 可随身携带,能够通过U盘在任意Windows操作系统下使用,无需安装。不像其他一些取证分析工具那样,X-ways Forensics不需要使用者设置数据库等繁琐的操作,并且超小化的安装包可以在数秒内下载并安装。它可以与WinHex hex和 disk editor 紧密结合,提供高效率的工作流模型, 这样计算机取证调查员就可以与使用X-Ways Investigator 的调查员共享数据,协同工作。
¥30000.00 一年版
¥40000.00 二年版
¥55000.00 三年版
  • 产品介绍
  • 软件更新日志
  • 技术支持

郑重承诺:在达思科技购买的所有软件、工具、设备保证官方正版,请用户放心购买!

一、购买达思公司自主产品:

1、达思数据恢复软件标准版,点击下载免费试用,购买正式版请您用qq或微博登录后,在线支付成功后,自动发送激活码,请您到订单中查找激活码!

2达思sql数据库修复软件点击下载免费试用,购买正式版请您用qq或微博登录后,在线支付成功后,自动发送激活码,请您到订单中查找激活码!

3、购买达思软件请提前试用,购买后不支持退货及退款,敬请谅解!

4、达思软件用户请加技术支持qq群:327273411获取免费的技术支持服务!

二、购买达思科技代理产品:

1、在达思科技购买的软件、工具、设备等均来自官方正版,请用户放心购买!

2、用户可以签订采购合同,汇款成功后,按照约定时间发货。

三、达思数据恢复服务产品

1、达思科技提供数据恢复服务,请加QQ65196945 或 拨打电话:18600668588


                                                                                                                           达思凯瑞技术(北京)有限公司



X-Ways Forensics概述:


X-Ways Forensics 是为计算机取证分析人员提供的一个功能强大的、综合的取证、分析软件,可在 Windows XP/2003/Vista/2008/7/8/8.1/2012/10操作系统下运行,支持32 /64 位, Standard/PE/FE等版本。(Windows FE is described here, here and here.) 与其他竞争产品相比,由于它在运行时占用的资源更少,因此它在工作时更高效,运行更快速,并且能恢复已删除的文件,还能搜索到其他软件搜索不到的结果,还包含许多特有的功能,最重要的是成本更低廉。X-Ways Forensics 可随身携带,能够通过U盘在任意Windows操作系统下使用,无需安装。不像其他一些取证分析工具那样,X-ways Forensics不需要使用者设置数据库等繁琐的操作,并且超小化的安装包可以在数秒内下载并安装。它可以与WinHex hex和 disk editor 紧密结合,提供高效率的工作流模型, 这样计算机取证调查员就可以与使用X-Ways Investigator 的调查员共享数据,协同工作。



X-Ways Forensics 包含WinHex的所有基本功能和一些特有功能


具体为:

磁盘克隆和镜像功能,进行完整数据获取

可分析 RAW/dd/ISO/VHD/VMDK 格式原始数据镜像文件中的完整目录结构,支持分段保存的镜像文件

可读取磁盘、RAIDs以及超过2TB大的镜像文件(超过 232 个扇区) 扇区最大为8KB

内置解析磁盘阵列JBOD、RAID 0、RAID 5、RAID 5EE, RAID 6, Linux 软件磁盘阵列、windows动态磁盘以及LVM2逻辑卷管理器。

自动识别丢失的/已删除的分区

支持 FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3®, CDFS/ISO9660/Joliet, UDF 文件系统

支持扇区叠加分析, 例如,即使在数据损坏的情况下,也能通过更正的分区表或文件系统数据结构对文件系统进行完整解析,而不改变原始磁盘或镜像

察看并完整获取内存转储,并能获取虚拟内存中的运行进程

使用多种数据恢复技术,能快速发现需要恢复的数据,并支持碎片级数据恢复

文件头数据库支持GRPE检索

能分析20种不同类型的数据

通过模板查看并编辑二进制数据结构

数据擦除功能,可彻底清除存储介质中残留数据

可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙以及通用文本中的信息

创建证据文件中的文件和目录列表

能够非常简单地发现并分析ADS数据(NTFS备用数据流)

支持多种哈希计算方法 (CRC32, MD4, ed2k, MD5, SHA-1, SHA-256, RipeMD, ...)

强大的物理搜索和逻辑搜索功能,可同时搜索多个关键词

可以在子目录中反复查看现有文件和已删除的文件

自动用彩色显示NTFS文件结构

书签和注释

能在符合法证要求的Windows FE环境中运行,比如,有限制的分类/查看

非常便携, U盘即插即用,无需安装,支持任何一个操作系统

能与F-Response 配合使用,分析远程计算机

...

...此外:


能快速获取磁盘镜像,还提供生成镜像压缩程度的选项

能够读写.e01 格式的证据文件,可选择对证据文件进行 256位AES加密 (注:并非仅仅采用口令保护方式)

能创建Skeleton镜像 和Cleansed镜像 (更多信息)

能够拷贝相关文件至证据文件管理器文件中,如:可将相关证据文件保存至管理器中,管理并选择性的共享给不同的需求者

完整的案例管理功能

自动创建软件操作日志 (审计日志)

数据写保护功能,确保数据真实性

可以任意添加对网盘的远程分析功能(更多信息)

支持 HFS, HFS+/HFSJ/HFSX, ReiserFS, Reiser4, XFS, UFS, UFS2文件系统

能分析、过滤所有卷影副本(但不包括重复数据),找到快照属性等

点击鼠标即可查看文件列表。轻松浏览文件系统的数据结构,例如,文件记录,索引记录, $LogFile,卷影副本, FAT 目录项, Ext* inode等。

支持分区类型: 苹果格式, MBR, GPT (GUID), Windows动态卷 (MBR+GPT), LVM2 (MBR+GPT), 未分区 (软盘/大容量软盘)

能对Windows 2000 , XP , Vista,2003 server, 2008 server, Windows 7的本地内存或内存转储进行主内存分析,功能非常强大

显示文件的所有者,NTFS文件权限,对象ID/GUID 以及特殊属性

弥补 NTFS压缩时所造成的数据丢失和 文件雕复时的Ext2/Ext3区分配逻辑

前后目录和多个步骤之间可以快速切换、并可快速导航回到排序选项、过滤器激活(停止)、选择的界面

内置缩略图图片浏览

内置日历浏览

自动进行文件签名、特征比对

内置文件预览功能,支持270种以上文件类型 

能够直接从程序中打印相同的文件类型,该程序首页包含所有元数据

能查看 Windows事件日志文件 (.evt, .evtx), Windows 快捷方式文件 (.lnk) , Windows 预读文件, $LogFile, $UsnJrnl, 系统还原点 change.log, Windows Task Scheduler (.job), $EFS LUS, INFO2, 系统还原点change.log.1, wtmp/utmp/btmp 登陆信息, MacOS X kcpassword, AOL-PFC, Outlook NK2 自动完成, Outlook WAB 地址簿, Internet Explorer 浏览记录 (a.k.a. RecoveryStore), Internet Explorer index.dat 历史和浏览器缓存数据库 , SQLite数据库例如Firefox 历史记录, Firefox 下载, Firefox 表单历史, Firefox 签名, Chrome cookies, Chrome历史归档, Chrome 历史, Chrome 登陆信息, Chrome 网络数据, Safari 缓存, Safari feeds, Skype 的main.db数据库(包括联系人和文件传输记录, ...

在可用空间或虚拟文件中的闲置空间中收集Internet Explorer历史记录和浏览器缓存 index.dat

能从各种类型的文件中提取元数据和内部生成的时间戳,例如: MS Office, OpenOffice, StarOffice, HTML, MDI, PDF, RTF, WRI, AOL PFC, ASF, WMV, WMA, MOV, AVI, WAV, MP4, 3GP, M4V, M4A, JPEG, BMP, THM, TIFF, GIF, PNG, GZ, ZIP, PF, IE cookies, DMP memory dumps, hiberfil.sys, PNF, SHD & SPL printer spool, tracking.log, .mdb MS Access database, manifest.mbdx/.mbdb iPhone 备份, ...

记录并追踪已浏览的文件

把源文件链接到外部文件,例如,原文件的翻译版、解密版或更改后的版本

能够分析检查抽取出的电子邮件数据,支持Outlook (PST/OST)注, Exchange EDB, Outlook Express (DBX), AOL PFC, Mozilla (包括 Thunderbird), generic mailbox (mbox, Unix), MSG, EML

生成一个功能强大的事件列表,生成该列表的时间戳来自:所有支持的文件系统,操作系统(包括事件日志,注册表,回收站等),文件内容(例如,邮件头,exif时间戳,GPS时间戳,最后打印时间;浏览器数据库,skype 聊天记录,通话记录,文件传输记录,创建的账户信息……)

在分析中引入时间的纬度,按照时间顺序展示事件发展延伸的整个过程。在时间线中,事件以图形显示,可方便地查看某活动在哪个时间段活跃,哪个时间段不活跃。只需点击鼠标即可快速过滤某个时间段的事件

拥有基于签名和专门算法的文件类型自动验证功能

可标记文件,并将所标记的文件添加至自定义案件报告中

自动生成HTML格式案件报告,可以用Word查看并编辑

案件报告中可关联文件注释或过滤信息

软件窗口左侧显示目录数结构,能够浏览并标记相关目录及子目录

在扇区视图模式下,可同步显示对应扇区的文件和目录

强大的动态过滤功能,能以文件类型、哈希库、时间、文件大小、注释、报告表等方式组合进行文件过滤

通过递归浏览功能,同时显示所有目录下的文件和删除数据

能从硬盘或者硬盘镜像中复制文件,内容可包含相应文件的完整路径,还可包含或排除文件闲置区域的数据,或将文件闲置区域的数据单独导出或全部导出。

自动识别加密的MS Office 和PDF文件

能从其他任何类型的文件中提取几乎任何一种嵌入式的文件(包括图片), 从 JPEGs和thumbcaches中提取缩略图,从跳转列表中提取 .lnk 快捷方式 , 从Windows.edb中提取各种数据,从SQLite中提取浏览器缓存、 PLists和表单记录, 从 OLE2 和 PDF 文档中提取各种数据, ...

肤色图片检测功能,(根据肤色比例,以图片集方式排序,加速对儿童色情图片、黑白图片的搜索)

检测黑白或灰度的图片,这可能是扫描到的文件或数字化存储的传真

能检测到可以用OCR识别的 PDF 文档

能通过MPlayer或Forensic Framer,根据用户自定义的时间间隔,从视频文件中提取静态图像,这样就能在必须查看不恰当或非法内容时大大减少要查看的数据

内置 Windows 注册表查看器(支持所有 Windows 版本),并自动生成注册表报告

能够以目录方式逐级浏览压缩文件中内容

易用的逻辑搜索功能,可在所有文件、选中文件和压缩文件、PDF, HTML, EML, ..., 等类型文件中进行搜索, 可选项有: GREP, 用户自定义的“全字匹配”。

强大的搜索及搜索结果预览功能,支持关键字临近的上下文预览。如:可搜索Documents and Settings目录下,最后访问时间为2004年,包含关键词A, B, D 的doc和ppt文件

在Unicode 和各种代码页中进行搜索和索引

高度灵活的索引算法,并可在索引结果中搜索固定复合词

AND ,fuzzy AND,NEAR +和 – 逻辑运算符组合使用,搜索结果

能将搜索结果导出为HTML,并高亮显示文件内容以及文件元数据

可检测并排除硬盘HPA区域和ATA加密硬盘保护区域,并连续标注

依据内部哈希库,可以快速定位特定类型文件

能够导入 NSRL RDS 2.x, HashKeeper 和ILook格式的哈希库

可创立用户专用哈希集

能够解压缩整个hiberfil.sys文件和单独的xpress 块

X-Tensions API (编程接口) ,添加您自己的功能或者现有的功能

无需设置并链接复杂的数据库,避免了竞争产品无法再次打开你的案件的风险

分析外部程序的界面,例如 PhotoDNA (for law enforcement only), 能识别已知的图片(即使图片以不同格式保存或已经改动)并把图片的类别(“CP”, “relevant”, “irrelevant”)报告给 X-Ways Forensics

...please see the English version of this page for a more up-to-date feature listing...


购买达思代理软件的方法


1、通过本网站www.dstfix.com在线购买(通过微信、支付宝支付,支付成功后我们将尽快发货)

2、通过达思公司公对公银行账号支付,支付成功后由达思售后手动发码;

公对公企业账号电汇: 

开 户名:达思凯瑞技术(北京)有限公司

地    址:北京市海淀区中关村东路66号1号楼11层1102室

开 户行:北京农商银行保福寺支行

帐    号:1704000103000000638

税    号:110108666268345

联系电话:010-62672120

邮政编码:100190

行号:402100007204

3、通过达思公司授权的代理商购买


索取优惠码

关注达思公司微信服务号或订阅号,索取优惠码

微信服务号订阅号.jpg



您可以通过一下方式得到达思科技在数据恢复与取证方面的技术帮助:


注意:由于咨询量太大,我们只为购买达思软件的用户提供技术支持,在咨询时,请您准备好达思软件的激活码或者加密狗ID,我们核实后会给您提供尽可能的帮助!


1、电话支持


达思数据恢复与取证软件、设备、方案、培训等销售相关问题:010-62670586 18600668588

达思数据恢复与取证软件、设备、方案、培训等商务相关问题:010-62672125 62672120

达思数据恢复与取证软件、设备、方案、培训等技术相关问题:010-62670165 13501325036


2、邮件支持


Email:sos@dstchina.cn 


3、远程协助(付费)


(1)qq:55356052  1894682

(2)企业QQ:4007000017

(3)teamviwer:您安装好teamviwer,准备好用户名和密码;


4、上门支持(付费)


  如果您在数据恢复过程中遇到了电话和网络远程中无法解决的问题,达思数据恢复专家可以提供有偿的上门技术服务,根据服务的内容不同,您将支付不同的上门服务费用。

 点击预约上门服务


5、微信公众号


您可以关注达思公司微信公众号获得帮助

微信服务号订阅号.jpg



6、联系我们


北京达思:北京市海淀区中关村东路66号世纪科贸大厦B座1102室

手机导航请搜“达思数据恢复”,跟着导航来达思吧

电话: 010-62672125  62672120   62670586    62672127


石家庄达思:河北省石家庄市新华区新华路539号神兴商务楼6楼606室

电话: 0311-86271807 


qq群二维码.jpg

QQ扫一扫加达思软件技术交流群


成功案例 更多  +

在线留言

Online Message
姓名*
手机*
QQ
邮件
验证码
点击更换验证码
客户留言
  总部:达思凯瑞技术(北京)有限公司

达思数据恢复中心(北京总部):

地址:中国北京市朝阳区北苑东路19号院中国铁建广场D座2204室

手机导航请搜“达思数据恢复中心”,跟着导航来达思数据恢复吧

电话:400-700-0017    010-62672120   

QQ:65196945  QQ群:120161291   远程支持QQ:55356052   151208   

达思软件用户QQ群:327273411(需验证正版信息)

数据恢复与取证方案: 18600668588(微信同号))


  微信扫描跟我们沟通:

    2.jpg  达思数据恢复店-1.jpg

            扫一扫加微信                      抖音扫一扫

微信公众号订阅号200-200.jpg

Copyright © 2007 达思凯瑞技术(北京)有限公司  达思科技官网  www.dstfix.com  All rights reserved. ICP备案号:京ICP备09028603号-15

360网站安全检测平台
  • 首页
  • 电话
  • 在线咨询