数据安全 专题实训 4.10.3【实训15】X-ways Foriensics取证.pdf

15X-waysForensics

【实训】取证

1．实训目的

（1）能够使用X-waysForensics软件进行简单取证。

（2）了解使用X-waysForensics软件进行取证分析的一般过程。

（3）能够使用X-waysForensics软件调查案件、搜索和查找证据、生成报告。

2．实训任务

【实训环境说明】

Windows操作系统、X-waysForensics软件。

实验平台环境链接：

/shixuns/zrfpc9ne/challenges

任务【X-waysForensics取证】

步骤1：创建案件。

连接好硬件介质后，打开X-waysForensics软件。当需要创建案件时，选择一个文件，新

建一个案件。

接下来，在“属性”对话框中填写案件信息，可以输入“案件名称/编号”“案件描述”“调查员、

机构、地址信息”等，其中，案件名称需要使用英文或数字，否则在案件日志和报告中无法

出现屏幕快照，如图4-1所示。注意：为了保障数据分析中显示的时间正确，需要在显示时

区中设置正确的时区信息。

在创建案件后，需要添加分析的目标。可以添加物理存储设备，如磁盘、光盘、USB

存储设备等，也可以添加EO1镜像、DD磁盘镜像，以及X-ways自有的证据文件格式。

下面以添加镜像文件为例，如图4-2所示。

图4-1填写案件信息图4-2添加镜像文件

添加镜像文件后，可以看到镜像的基本信息，如分区、文件系统等，如图4-3所示。

图4-3添加镜像文件后的界面

可以查看各个分区的文件，如图4-4所示。

图4-4查看各个分区的文件

步骤2：X-waysForensics文件过滤。

在X-waysForensics软件中，可以方便地对各种类型的数据文件进行过滤操作。当使用某

过滤条件时，只需要单击“文件名称”左侧的漏斗图标，输入过滤条件，单击“激活”按钮即可显

示过滤结果。按文件名称过滤支持多语种字符，如果需要取消某过滤条件，则单击“禁用”按钮

即可。下面简单介绍几种过滤方式。

（1）按文件名称过滤。

可以使用通配符，针对特定文件名称进行过滤。例如，搜索*doc、*hmm、*tmp等。在

使用通配符时，不能同时出现两个*。这种过滤方式适用于对文件名称及单一文件类型进行

过滤，特点是速度快、准确率高。

例如，需要查找文件名称包含unlink的文件，则可以在文件名中搜索关键词unlink。按

文件名称过滤的操作和结果分别如图4-5和图4-6所示。

图4-5按文件名称过滤的操作

图4-6按文件名称过滤的结果

（2）按文件类型过滤。

按照设定的文件分类，对不同类型的文件进行过滤。使用这种过滤方式可以很容易地将

办公文档、图形图像、压缩文件及各种重要数据（如注册表文件、互联网历史记录、回收站

文件、打印池、Windows操作系统交换文件、日志等）快速过滤出来。

使用方法：选择相应的文件类型，单击“激活”按钮。在过滤前，应在磁盘快照中选择依

据文件签名校验文件的真实类型，才能判断出文件的真实类型，如图4-7所示。

（3）按文件大小过滤。

根据文件的实际大小过滤，不包括残留区数据。当两个选项同时使用时，可用于设定一

定大小范围内的文件，如图4-8所示，可过滤文件大小在3KB～1MB范围内的文件。

图4-7按文件类型过滤图4-8按文件大小过滤

（4）按文件时间过滤。

创建时间：当前磁盘中文件和目录的创建时间。

修改时间：当前磁盘中文件和目录的最后修改时间。

访问时间：当前磁盘中文件和目录的最后读取或访问时间。

记录更新时间：在NTFS或Linux文件系统中，文件和目录的最后修改时间。

删除时间：在Linu