X-Ways Forensics 入门教程.doc

X-Ways Forensics 快速入门第一章 配置软件X-way Forensics软件可以通过setup.exe安装配置后使用，也可以通过运行xwforensics.exe直接使用。具体使用方法可根据用户习惯来选择。但通常来说，直接运行最为方便。软件使用中，保存有X-way Forensics软件临时文件和案例文件的分区将作为默认的数据输出路径，即只有该分区被允许写入数据。因此，在选择X-way Forensics软件使用分区时，需要考虑好下一步数据分析的实际情况。建议选择容量较大，数据较少的分区。使用软件前，请预先X-ways目录下建立如下三个文件夹，分别用于保存案例文件、镜像文件和临时文件。文件夹名称也可自定义。一、第一次使用X-ways运行X-ways Forensic软件后，软件首次启动，出现英文用户界面。当进入软件后，将设置更改为中文后，再次启动即可以看到右侧的中文界面。 当数据分析使用时，一定要选择计算机法证版用户界面。简化界面为 X-ways Investigator 用户界面。点击确定后，将出现 “General Options”对话框。此时软件界面仍为英文。暂时关闭该对话框，选择调用中文界面。点击菜单中的 |Help | Setup | Chinese,Please! ，软件界面即转为中文。如果将来需要使用英文界面，可用同样方法转换回来。二、设置使用X-ways Forensics进行各项操作之前，首先需要进行设置。点击 |菜单|常规设置|，或直接按 F5 键，即可显示常规设置对话窗。保存临时文件的目录：当前设置默认保存临时文件至C:Documents and SettingsspriteLocal SettingsTemp。为便于管理临时文件，我们为其新创建一个temp文件夹，本例为E:xwaytemp。保存镜像和备份文件的目录：当前设置默认保存镜像文件和备份文件至C:Documents and SettingsspriteLocal SettingsTemp。为将来方便地调用和管理镜像文件，我们为其新创建一个images文件夹，路径为E:xwayimages。保存案件和方案的目录：当前系统默认保存为X-ways Forensics 的当前目录下，本例为E:xway目录。由于将来创建的案件越来越多，这些案例文件保存在当前目录下非常混乱，不易查找，因此，我们为其新创建一个案例文件夹，本例为E:xwaycase。保存脚本的目录：系统默认保存在X-ways Forensics 的当前目录下，本例为E:xway目录。本手册中不涉及脚本，无需改变。保存哈希库的目录：系统默认哈希库文件位置为E:xwayHashDB。此目录可由X-ways Forensics 自动创建和管理，无需改变。注：如果在固定计算机中安装使用X-ways Forensics，通过鲜錾柚眉纯墒褂谩?br 如果在移动硬盘中使用X-ways Forensics，请确定路径设置正确，并将上述路径指向移动硬盘中的相应目录。如果在光盘中使用X-ways Forensics，则一定要将路径指向移动硬盘中的相应目录。第二章 创建案件一、创建新案件开始数据分析，首先要创建案例，并将需要分析的存储介质或者镜像文件加载到案例中。X-ways Forensics软件本身不会使数据内容产生变化。在案件数据对话框中，可输入案件名称、案件描述、调查员、机构地址等辅助信息。案件名称应使用英文或数字，否则案例日志和报告中无法出现屏幕快照图片。为保障数据分析中显示的时间正确，需在显示时区中设置正确的时区信息。案件创建日期将由X-ways Forensics依据系统时钟自动创建。请确保当前计算机系统时间设置准确。二、添加数据创建案件后，需要添加所需获取/分析的目标。可以添加物理存储设备，如磁盘、光盘、USB移动存储设备等，也可添加E01、DD磁盘镜像，以及X-ways 自有的证据文件格式。三、创建磁盘镜像创建磁盘镜像，需在扇区察看方式下，选择菜单中 | 文件| 创建磁盘镜像|。 选择镜像文件格式，如E01磁盘镜像，并指定保存位置。创建镜像文件过程中，将显示复制进度。操作结束，将生成TXT格式操作日志，包含如磁盘参数、MD5值等信息。第三章 基本操作一、浏览所有文件如果需要显示当前驱动器下所有文件，使用鼠标右键单击驱动器图标，选择右键菜单中的展开目录。文件浏览器中将显示所选驱动器下所有文件列表。取消全部文件显示模式，使用鼠标左键单击驱动器图标。二、文件浏览器菜单说明过滤漏斗：过滤选项，灰色时表示未启用；蓝色时，表示应用了相应的过滤设置。本例中，由于对文件名称栏目进行了过滤操作，文件名称旁边出现了一个“蓝色漏斗”。窗口文件数量：位于右上角，表示当前窗口显示出的文件数量及总计文件数量。本例中，由于应用了过滤操作，窗口右上角数字含义为：应用过滤后，有170份文件符合过滤要求，有686份文件被过滤掉。如果没有使用过滤，此处仅显示文件总数量，即856份文件。选择文件数量：位于右下角，表示当前窗口选择的文件数量及容量。本例中，选择了5份文件，总计容量117KB。文件标记：文件名称前面的小方框为标记选框。可以手工为文件逐一添加标记，也可以通过鼠标右键中标记命令为所有选择的文件添加标记。注：对指定文件的导出、添加注释、添加报告分类、创建哈希集，均可通过鼠标右键来实现。磁盘快照时间：磁盘快照是X-ways Forensics的一个重要功能，用于对当前驱动器中的所有数据进行快速解析，如计算哈希值、分析丢失数据、拆解压缩文件和电子邮件、加密文件检测等。当对当前使用的物理磁盘进行分析时，如C盘，磁盘的数据可能会随时发生改变，因此需要更新磁盘快照来保证案件中使用最新的数据。本例中，“20分钟前”表示当前案件数据是20分钟前制作的。可以通过F10更新磁盘快照。三、更改文件浏览器显示内容 文件浏览器显示内容可以根据实际需要进行调整。通过Ctrl+F5，或菜单中|选项|目录浏览器|，调用目录浏览器过滤设置对话框。 设置显示宽度：数字=0，表示不显示该栏目数字0，表示该栏目实际显示的宽度 本例中，文件名称栏目宽度为176点，文件类型栏目为65点，路径等项目为0，表示不显示。 当需要显示更多未列出的栏目，如路径、哈希值等，可将该栏目数值从0更改为50。数值可暂时设定，之后可利用鼠标将栏目调整至满意宽度。如需隐藏某栏目，将该数值更改回0即可。四、过滤当使用某过滤条件时，例如：对文件名进行过滤，查找所有DOC文档，只需点击文件名称右侧的漏斗，输入过滤条件*.DOC，点击激活即可显示过滤结果。文件名过滤支持多语种字符。如需取消某过滤条件，点击禁用即可。 五、图例说明在文件浏览器中，会有一些不同的文件及图标显示方式，具体含义可以对照图例说明察看相应说明。本例中，password-123456.doc显示为绿色，文件属性为e!A，对照图例说明，可知该文件为加密文件。当对该文件添加注释后，文件名后显示出一个红色三角。15.DOC文件类型显示为蓝色JPG，表示该文件为签名不匹配文件。通过“磁盘快照”功能，可将当前案件中所有这些类别的文件判断出来。 六、文件预览 X-ways内置了强大的文件察看器，可以支持400种以上文件格式的查看。点击预览，即可逐一察看文件内容。 如果还没有对案件数据进行磁盘快照，当浏览文件时，X-ways将自动对文件签名、加密等状态进行检测。第四章 磁盘快照创建案件，载入E01证据文件后，一般应首先进行磁盘快照。由于磁盘快照过程将会把案件中的所支持的压缩文件、电子邮件及附件、删除的数据解开及恢复出来，古经快照处理后得到的数据要比未进行磁盘快照的文件数量多。此时进行过滤和搜索，会得到更准确的结果。 每个任务前面的方框，经选取后显示绿色对勾。 每个任务后面的方框，表示完成状态。绿色对勾表示全部完成；实心绿框表示已完成了部分，但尚未全部完成。 开始进行磁盘快照，选中相应的选项，点击确定即可。 任务说明： 依据文件系统搜索并恢复目录及文件：将当前磁盘中的删除、丢失文件全部恢复。 通过文件签名搜索并恢复文件：根据文件签名值搜索特定类型格式文件，如：可以仅搜索并恢复doc格式文件。 计算哈希值：自动计算所有文件的哈希值。目录、0字节文件没有哈希值。算法支持MD5、SHA-1、SHA-256。 依据哈希库对比哈希值：如果已经拥有完整的哈希库，可在计算文件哈希值过程中，将哈希值与哈希库中值比对，以确定文件哈希分类。例如，通过此选项排除已知的Windows系统文件。 依据文件签名校验文件真实类型：可判断doc、jpg格式文件是否被改名或伪装。 分析ZIP和RAR等压缩文件中的数据：将压缩文件释放，并以虚拟目录形式浏览。 导出电子邮件正文和附件：拆解电子邮件，将邮件正文与附件以虚拟形式显示。 查找嵌入在正文内的图片：可以将WORD、PPT等复合文件中的图片抽取出来。 肤色图片和黑白图片检测：用于检测包含人体肤色特征的图片和其他黑白文字图片。 加密文件检测：用于检测特定类型加密文件，如加密的DOC、XLS文件。首先，通过熵值检测，自动对大于255 字节的文件进行检测。如果熵值超过设定值，文件属性标记为e? ，表明应仔细检查该文件。例如：PGP Desktop, BestCrypt 或DriveCrypt 加密文件。熵值检测不适用于ZIP, RAR, CAB, JPG, MPG 和SWF 等文件。其次、可检测特定类型加密文件，如doc (MS Word 4至2003版)，xls (MS Excel 2至2003版)，ppt和pps (MS PowerPoint 97-2003)，mpp (MS Project 98-2003)，pdf (Adobe Acrobat)。如果为加密文件，文件属性显示 e! 。 更新快照：将当前案件中磁盘数据保持最新状态。更新快照后，上述所有操作及搜索记录等将全部被清空。 完成磁盘快照之后，如右图显示案件中数据增多，这时才能继续进行过滤、搜索等操作。第五章 过滤本说明中所有图片均出自X-ways Forensics 13.8 版。在X-ways Forensics 中，可方便地对各种类型的数据文件进行过滤操作。一、按文件名称过滤 可以使用通配符，针对特定文件名称进行过滤。如搜索“*.DOC，*.HTM，收件箱*”等。使用通配符时，不能出现2个*。此种过滤方式，适用于对文件名，及单一文件类型过滤。速度快，准确率高。 例：如果需要查找文件内容包含“陈立康”的Word文件，可首先过滤出*.DOC文档，然后全选、标记，并在标记文件中搜索关键词“陈立康”即可。二、按文件类型过滤可按照设定的文件分类，对不同类型的文件进行过滤。通过此过滤方式，可以容易地将办公文档、图形图像、压缩文件，以及各种重要数据，如注册表文件、互联网历史记录、回收站文件、打印池、Windows交换文件、日志等，快速过滤出来。文件过滤类型可以自定义扩充与修改。文件名为：File Type Categories.txt。最新文件类型过滤文件/xways/downloads/FileType.rar。 使用方法：选择相应文件类型，点击激活。过滤前，应在磁盘快照中选择依据文件签名校验文件真实类型，才能够判断出文件的真实类型。三、按签名状态过滤进行完整磁盘快照后，X-ways可依据文件签名检测每一个文件的签名信息是否匹配。如果文件扩展名被改变，签名状态将显示为签名不匹配。通过选择过滤选项中的文件签名显示状态，可发现签名匹配、不匹配的文件。缺省状态下，文件显示为“签名未校验”。通过文件签名校验文件类型后：如果文件非常小，状态被显示为“无关的”；如果文件扩展名和文件签名都未知，状态被显示为“不在列表中”；如果文件签名和文件扩展名一致，状态被显示为“签名匹配”；如果文件扩展名正确，但文件签名未知，状态显示为“签名未确认”；如果文件签名和文件扩展名不匹配，或没有文件扩展名，状态显示为“签名不匹配”。三、按文件大小过滤根据文件的实际大小过滤，不包含残留区数据。 第一选项，用于设定小于一定容量文件，如可查找小于1.2MB的文件； 第二选项，用于设定大于一定容量的文件，如可查找大于3.4KB的文件。 两个选项同时使用，用于设定一定容量大小之间的文件。四、按文件时间过滤 创建时间：当前磁盘中的文件和目录的创建时间。 修改时间：当前磁盘中文件和目录最后修改后的时间。 访问时间：但前磁盘中文件和目录的最后读取或访问的时间。 记录更新时间：NTFS或Linux文件系统中，文件和目录的最后修改时间。这是包含于文件元数据中的文件系统数据结构。 删除时间：Linux系统下文件和目录的删除时间。四、按文件属性过滤A = 文档 R = 只读H = 隐含 S = 系统P = 连接点C = 文件系统级压缩c = ZIP, RAR等文件中压缩E = 文件系统级加密e = ZIP, RAR中加密文件e? = 可能是压缩或加密的第六章 搜索同步搜索，允许用户指定一个搜索关键词列表文件，每行设定一个搜索关键词。所发现的搜索关键词被保存在搜索列表中，或位置管理器中。同步搜索能够以“物理搜索”和“逻辑搜索”两种方式进行。物理搜索，通过扇区方式进行；逻辑搜索，通过文件方式进行。相比而言，逻辑搜索功能更强大，更彻底。数据搜索时，可以同时使用Unicode (UCS-2LE)和代码页方式对相同的词汇全面搜索。当前Windows系统默认代码页，被标记有星号，且被缺省采用。如美国和西欧的计算机，通常默认代码页为1252 ANSI Latin I。Microsoft Windows使用ANSI代码页。苹果Macintosh使用MAC代码页。OEM表示DOS和Windows命令行中使用的代码页。如果搜索词汇无法转换为当前使用的代码页，搜索时将会出现提示信息。一、选定搜索文件 将所有文件展开，或通过过滤选择所需搜索的文件。 1、在特定文件中搜索，须首先选择文件，并添加标记。之后，可以使用在标记数据中搜索。如在所有文件中搜索，无需选择文件。直接选择在所有数据中搜索。 2、点击同步搜索 3、输入关键词。每行一个关键词，支持空格。 4、输入关键字，选择字符编码 如果需要搜索Unicode字符，则需将Unicode (UCS-2LE)选中。如果对PDF等文件中的数据进行搜索，还需选择“解码文件中的文本”。对非Unicode文本进行搜索，需使用代码页。对不同语种字符进行搜索，需将代码页设置为相应语种。繁体中文代码页为950，日文为932，韩文为949。 5、设定其他选项 如果只需要发现包含有关键词的文件，则可将“每个文件显示1个搜索结果”选中，以提高搜索速度。 通过选定证据项中搜索，可以在当前案例中多个磁盘或镜像文件中进行搜索。 二、查看搜索结果 搜索结束后，显示所有包含关键词的搜索结果。本例中共有5个关键词，173个搜索命中结果。双击每一个关键词，可以查看该关键词的搜索结果。搜索结果保存在案例文件中。再次打开案例文件，搜索结果依然保存。通过DEL键，可以删除该关键词及结搜索果。 可以通过搜索结果栏，预览所搜索的关键词上下文内容。 描述栏，可以查看搜索方式及编码方式。有Unicode、代码页和Decoded三种。 点击相关文件，可以通过预览方式察看文件内容。 对于文件的操作，与文件浏览器操作方式类似。通过鼠标右键菜单，可以进行标记、复制、注释等操作。如果需要在案件报告里包含文件内容中的重要信息，可以复制这些信息，全部粘贴到注释中即可。第七章 报告一、添加至报告表 创建报告前，须选择所关注的文件，然后点击鼠标右键，添加至报告表。根据文件内容或类别，可新建报告表，命名为“关注的文档”、“xxx地址”、“xxx电子邮件”等。只有将文件添加至报告表后，这些文件才能被包含在报告当中。二、创建报告 选择 |案件数据|创建案件报告|。 三、设置选项 输入报告头，封面信息，选用的徽章图像，所需包含的报告表，报告中包含的项目名称及内容。如果选择了包含操作记录日志，分析过程中的所有屏幕画面图片，所执行的命令及运行结果，都可包含于报告中。四、报告样例：第八章 数据恢复本说明中所有图片均出自X-ways Forensics 13.8 版。对于删除和格式化的磁盘，可以利用X-ways Forensics 的强大数据恢复功能，将磁盘中的数据尽可能地恢复回来。例一：恢复标准方式格式化后的SD卡：1、创建案例，添加存储设备-SD卡；2、进行磁盘快照，只需选择依据文件系统搜索并恢复目录及文件即可。3、磁盘快照完毕，显示发现470个数据。4、展开目录，可看到所有数据均已恢复。5、可进行关键词搜索、恢复复制等操作。例二：重组Raid阵列或动态磁盘。1、加载Raid 镜像文件2、选择菜单中 |专业工具| |重组Raid|3、设置参数及Raid排列顺序。 如阵列顺序排列错误，则提示出错信息。 4、阵列顺序排列正确，可顺利显示分区，打开文件。第九章 安全擦除本说明中所有图片均出自X-ways Forensics 13.8 版。一、文件擦除可以彻底清除文件数据内容，不留任何痕迹。选用菜单中 |工具|文件工具|安全擦除|，选定需要擦除的文件名，设置填充值。注意：文件名或上级目录名不能包含中文。对于中文名称，可先将目录或文件名改为数字、英文，即可成功擦除。二、磁盘擦除可以彻底清除指定磁盘中的所有数据。例如对于前面数据恢复成功的SD卡，经过磁盘擦除之后，数据将永远无法恢复。1、调用 |工具|打开磁盘| 或 通过F9键。2、选择菜单中 |编辑| |填充磁盘扇区|3、设置设置填充值和填充方式。4、磁盘被填充数据后，经重新格式化，可重新使用。第十章 高级应用-1 理解文件签名库和文件类型库本说明中所有图片均出自X-ways Forensics及Winhex 13.8版。本节，我们利用Winhex / X-ways Forensics分析软件，对“王者加密大师”1.0版工具软件制作的加密文件进行分析，介绍一种数据分析方法。即如何对未知文件格式进行分析，发现该类型文件的唯一特征签名信息，通过“修改文件签名库”，使Winhex / X-ways Forensics分析软件能够自动通过文件签名校验发现这种类型的加密文件。一、“王者加密大师”简介王者加密大师是一款简单易用的数据加密工具软件。据该软件官方描述：王者加密大师是一款专业的加密、解密软件，可以对任何想加密的文件进行加密，这就是说你可以用它对各种文件进行加密，如：文本文件(*.txt)、图像文件(*.jpg,*.gif,*.bmp,*.tif.)、音乐文件(*.mid;*.mp3;*.wav;*.wma,*.wmv.)、可执行文件(*.exe;*.dll.)、办公文件(*.wps;*.doc;*.xls)等众多的文件进行加密解密。软件充分考虑了用户的操作，通过简单几步便可完成加密，解密要求。本软件将是你重要数据和隐私的保护神。软件下载地址：。软件安装后，运行该软件，可看到如下主界面。进行加密、解密操作，只需点击相应按钮即可。二、“王者加密大师”加密测试1、首先制作1份需要加密保护的文件。利用MS Word，制作一份新文件，并在文件中输入了一些文字。2、调用王者加密大师，选择刚刚制作的需要加密的Word文件。3、软件显示加密成功，出现如下窗口。4、我们用Word打开刚刚制作的加密文件，Word显示如下信息：当在Word软件中出现这种信息，通常表示该Word文件格式破损，Word软件无法识别正确的文件格式，无法成功打开该文件。此时证明，王者加密大师已经对该文件数据加密成功。二、利用Winhex/X-ways Forensics软件分析文件格式我们利用Winhex/X-ways Forensics打开该文件。可以发现，原有的Word文件的标准文件头部数据被改变，被“王者加密大师”改变为其自身格式。但察看其文件格式，我们吃惊地发现，利用王者加密大师对Word文件添加的保护口令，竟然以明文形式保存在文件头部。本例中，我们设置的口令为，通过下图，可以清楚地看到这一段口令。这仅仅是偶然，还是“王者加密大师”就是以这种无保护方式保存口令呢？为验证口令保存方式，我们需要重新制作加密样本文件，进一步查看试验结果。我们首先建立一个0字节的TXT文本文件，不添加任何内容。即在任意目录下，通过鼠标右键建立一个文本文件，命名为“空白文档.TXT”。此时，我们还没有输入任何内容，利用Winhex/X-ways Forensics打开该文件，可看到下图显示状态。3、利用“王者加密大师”对该文件加密。本次，我们设定口令为1234567890。由于文件中没有任何数据，因此，加密后显示出的数据均为“王者加密大师”经过一定算法自动生成的，有助于我们对该文件格式进行分析。用Winhex打开加密后的TXT文本文件，可发现，口令果然以明文形式保存在文件中。三、文件签名的概念通过两个实验，我们可以证明，“王者加密大师”通过一定算法对数据进行保护，但为了解密方便，该软件没有对口令进行保护，而是直接将口令以明文形式保存在加密文件头部。只要利用Winhex/X-ways 打开该文件，即可直接得到了用户添加的原始口令。但在实际的数据分析过程中，关键问题是如何在上千、上万份文件中发现这些文件。怎么才知道某个文件是由“王者加密大师”添加了保护口令呢？如果文件无法发现，则更谈不上破解保护口令，察看文件内容了。在Winhex/X-ways Forensics中，我们可以通过自定义“文件签名”库，快速检测到“王者加密大师”的加密文件。1、文件签名库文件签名，简单说就是某类文件的独特标识信息。这些标识，有时可以显示出ASCII码字符，如RAR压缩文件，在文件头部，可以看到Rar!这四个字符。通过这四个字符，Winhex就可以判断该文件属于RAR压缩文件。但在多数文件头信息中，文件签名无法显示出ASCII码字符，那么就需要使用十六进制数值来表示该文件签名。如MS OFFICE 文件中，文件签名就是D0CF11E0A1B11AE1，Winhex/X-ways Forensics通过这些十六进制数值，也可以认定该文件属于MS OFFICE 类型文件。通常来说，Windows注册表关联了许多种文件扩展名类型，通过定义扩展名和应用程序的关联，来确定Windows使用什么程序打开某种类型的文件。比如，Windows定义了DOC扩展名文件使用MS Word来打开，TXT文件使用记事本来打开。但是，如果人为改变了某种类型文件的扩展名，例如，某人将SCAN.JPEG图片改名为CONTACTS.XLS，或将1.DOC改名为1，没有设定扩展名，那么Windows就无法准确地关联这些文件类型了。而利用文件签名，我们可以忽略文件扩展名是否正确，通过搜索文件签名特征值，识别出某个文件的真实类型。本例中，我们如果能够准确判断出“王者加密大师”加密文件的文件签名值，即可借助Winhex/X-ways Forensics将一个磁盘中所有包含此文件签名的文件查找出来。 这就是数据分析过程中，文件签名所起到的重要作用。2、Winhex/X-ways Forensics文件签名定义方法 在Winhex/X-ways Forensics中，判定文件签名状态是否匹配主要依据文件签名值和文件扩展名，这些信息包含在Winhex/X-ways Forensics 文件签名数据库中，文件名为File Type Signatures.txt。通过对比File Type Signatures.txt文件签名库中所定义的文件类型、扩展名、文件签名特征值，可以判断某个文件真实的类型，用于发现文件扩展名与文件真实类型不匹配的文件。例如，某人将SCAN.JPEG图片改名为CONTACTS.XLS，Winhex/X-ways Forensics能够自动依据JPEG图片文件的签名特征，把该文件的真实类型识别出来，并在Winhex的文件类型列表中显示文件类型为“jpg”，签名状态列中显示该文件“签名不匹配”。同样，对于一些没有扩展名的文件，如互联网暂存目录下的网页文件等，Winhex都可以帮助你将无扩展名文件的真实类型识别出来。3、File Type Signatures.txt文件格式定义File Type Signatures.txt 中的数据共分为六列，每一列数据定义如下：第一列：文件类型。对某种类型文件的定义，如JPEG、MS OFFICE等，长度为19 个字符。第二列：文件扩展名对所定义文件类型的典型扩展名。如jpg、jpeg、jpe，或doc、xls、dot等，长度可超过255个字符。第三列：文件头签名用于识别某些文件或某文件类型的唯一签名特征，可以是ASCII码或十六进制数值。例如0xFFD8FF，即为十六进制的FF、D8、FF。文件头签名最多支持16个字节。为了发现某种文件格式的唯一签名特征字节，可以打开多个相同类型的文件，利用Winhex /X-ways Forensics察看这些文件头部信息中相同偏移地址中包含的相同十六进制数值。第四列：偏移量。包含文件签名的相对偏移量。通常，文件签名从文件的第一个字节开始，偏移量为0。第五列：文件尾签名可选项，用于标记文件的结尾位置，可以是ASCII码或十六进制数值。文件尾签名的作用是为了确定准确的文件结尾位置，从而得到准确的文件容量。文件头签名最多支持8个字节。第六列：文件缺省字节数定义某类性文件的默认大小，以KB为单位。在进行特定类型文件恢复时非常有效，如一个视频文件可以是1 GB 大小，而一个图标文件往往只有1 KB。四、修改文件签名库，添加“王者加密大师”文件签名信息掌握了Winhex/X-ways Forensics的文件签名库格式后，我们既可根据文件库定义，对“王者加密大师”的加密格式进行分析，查找此类文件的文件签名。一般来说，分析一种类型的文件签名至少要使用3-4个样例文件，对比每一个文件在同一位置的相同字节，来发现文件签名特征字节。下面，我们使用3个例子，分析“王者加密大师”加密文件的文件签名。例1：例2：例3：1、文件签名标志位 经对比上述3个文件，我们可发现“王者加密大师”制作的加密文件有明显的特征，即第1-8个字节固定不变，即01 00 00 00 01 00 00 00。一般来说，通过这种特征，我们可以认定这8个字节就是该类型文件的文件签名特征值。由于文件签名从文件头开始，因此，偏移量为0。此类文件没有文件尾签名特征值。字节数没有固定大小。文件类型，我们可以直接用中文名称描述，本例中，我们将其定义为“王者加密大师”。扩展名，由于王者加密大师可以对任意类型文件加密，文件扩展名没有固定名称。但是我们需要利用Winhex/X-ways Forensics通过文件签名与扩展名类型不匹配的方法查找“王者加密大师”的加密文件，因此，我们需要给其定义一个特殊扩展名。将来可以通过过滤这种特殊类型扩展名的方法找到加密文件。因此，我们将扩展名!1定义给“王者加密大师”。文件类型扩展名文件头签名偏移量文件尾签名字节数王者加密大师!10x010000000100000002、修改Winhex/X-ways Forensics 文件签名数据库File Type Signatures.txt 文件中预设了许多文件类型签名，用户可以自定义并添加自己判定的新的文件签名类型，最多可设置255 个数据项。当自定义并修改File Type Signatures.txt文件签名库文件时， WinHex 会调用MS Excel来进行数据编辑，因为MS Excel支持文本文件中的TAB制表符。执行Winhex/X-ways Forensics磁盘快照命令，选择“文件签名”按钮。Winhex/X-ways Forensics自动调用EXCEL打开File Type Signatures.txt文件。输入我们前面定义好的文件类型、文件扩展名、文件签名、偏移量几个信息。编辑结束，保存修改。选择“是”，保存File Type Signatures.txt原文件格式。此时，文件签名库修改保存成功。重新运行Winhex/X-ways Forensics，即可以使Winhex/X-ways Forensics识别新的文件签名库。如果用文本编辑器修改File Type Signatures.txt文件，需要注意不要删除TAB制表分隔符，否则Winhex将无法识别该文件中的保存的文件类型定义。四、利用文件签名库过滤“王者加密大师”加密文件执行Winhex/X-ways Forensics磁盘快照命令，选择“依据文件签名校验文件真实类型”。此时，Winhex/X-ways Forensics 将按照我们刚刚修改的File Type Signatures.txt 文件签名库中的信息，对当前案件中所有磁盘中的数据文件进行文件签名比对，校验文件的真实类型。依据我们的设定，Winhex/X-ways Forensics 将发现当前案例中的“王者加密大师”加密文件，将其真实文件类型显示为“!1”，并将其归入“签名不匹配”类别。我们实际测试一下过滤结果。1、调用磁盘快照，选择相应选项。2、设置过滤选项，注意选择显示扩展名、文件类型、签名状态。同时以签名状态为过滤条件，选择过滤“签名不匹配”文件。3、应用过滤条件后，Winhex/X-ways Forensics可以直接发现“王者加密大师”的加密文件。四、利用文件类型库过滤加密文件参考上图，我们可以看到，在“分类描述”列中，Winhex/X-ways Forensics将王者加密大师文件描述为 “加密类”。这个描述是如何添加进Winhex/X-ways Forensics 中的呢？如何将更多的文件类型添加进Winhex/X-ways Forensics中呢？下面，我们进一步阐述“文件类型库”的修改方法。1、文件类型库的主要功能文件类型库可以定义某种文件扩展名属于哪个类型。如扩展名DOC、TXT，被归类于文字编辑类，扩展名ZIP、RAR，被归类于压缩类。通过文件类型过滤方式，Winhex/X-ways Forensics可以快速将磁盘中的某类数据过滤出来。当在磁盘快照中选择了“通过文件签名判别文件真实类型”后，选择“文件类型”过滤方式时，Winhex/X-ways Forensics将依据文件签名库和文件类型库中的定义，把对应类型的文件搜索并显示出来。Winhex/X-ways Forensics 14.0版文件类别库中包含有近380个文件描述，分为办公类、电子邮件类、互联网记录类、图像类、视频类、音频类、注册表类、压缩类、镜像类等共计14个分类。随着版本不断升级，File Type Categories.txt 文件类别库中的数据还在不断增加。2、文件类型库 File Type Categories.txt的文件格式File Type Categories.txt文件中，文件类型名称以 :xxx: 开头，其中xxx表示自定义的文件类型，如办公类、加密类、压缩类等等。文件类型库最多支持32 个类别。如果个人修改了File Type Categories.txt文件中的数据，一定要注意保存好新增加的信息，并随时添加至最新版的文件类型库中。File Type Categories.txt中，文件扩展名描述行必须以“+” 或“-”开始。“+”号，表示该行定义的属于扩展名，每行对应一个，文件扩展名必须使用小写字母。扩展名描述与扩展名之间要保留一个空格。File Type Categories.txt中定义了重复的扩展名，那么过滤结果可能会出现错误。“-”号，表示该行定义的属于文件名，也可以是文件名+扩展名。这种对于过滤准确 “文件名”的文件非常有效。例如：-;index.dat; Internet Explorer 历史记录。通过此过滤，可以将当前磁盘中所有文件名为index.dat的文件过滤出来。 对于File Type Categories.txt文件中未包含的扩展名，都被归属于“其它”类别中。、添加“王者加密大师”至File Type Categories.txt中根据我们前面的定义，我们将王者加密大师的文件类型!1添加至File Type Categories.txt文件中。由于目前的14个分类中，没有划分出加密类，因此我们新建立一个文件类别“加密类”。将其定义为：:15:加密类在此类别之下，定义王者加密大师扩展名描述。+!1 王者加密大师保存文件，重新运行Winhex/X-ways Forensics，即可以使Winhex/X-ways Forensics识别新的文件类型库。小结：本节，我们通过分析“王者加密大师”加密文件格式，重点阐述了Winhex/X-ways Forensics中，文件签名库和文件类型库的作用，以及如果通过修改这两个库文件实现对更多类型文件的检索和过滤。相信读者根据此实例，能够很好地掌握两个库文件的使用技巧。不明之处，欢迎交流。注：此功能仅在Winhex Forensics和X-ways Forensics版本中能够使用。第十一章 高级应用-2 过滤方法与技巧本说明中所有图片均出自X-ways Forensics及Winhex 13.8及14.0版。本节，我们通过Winhex/X-Ways Forensics软件，对“个人密盘”加密工具进行分析，掌握利用Winhex/X-Ways Forensics软件进行数据过滤方法，以及如何有效利用文件哈希集发现固定哈希值的文件。“个人密盘”是一个数据加密隐藏工具软件。据介绍，该软件利用硬盘的剩余空间，建立一个加密区，将其虚拟为一个逻辑磁盘供用户使用。用户可以根据需要打开或关闭加密区，将需要保护的数据文件存入加密分区，该软件就会自动将数据加密保护，其他人无法发现并调取其中的数据，适用于单位或多人共用的计算机中使用。以下是作者对其6.9版的描述：“本程序在硬盘内建立特殊的加密区域，并虚拟成一个磁盘，使用时像U盘一样可以随插拔，十分方便，只需将欲加密的文件存入密盘，任何放入该虚拟盘的文件均被加密保护，加密速度极快，加密后通过操作系统或第三方软件均无法访问或删除加密区(密盘)，既可以有效保护文件安全，又不影响对文件的操作，不怕掉电，并且可以多用户使用，互不影响，未授权用户无法查看、修改、删除（除非格式化）别人的加密区，支持移动硬盘，让你的重要资料四处漫游而无需担心被窃取，就算丢了硬盘也不怕重要资料外泄，彻底解决您的后顾之忧。实乃IT人士或商务人士必备之工具！”一、利用“个人密盘”创建加密盘下载个人密盘6.9试用版后，可发现主程序为SDISK.EXE运行“个人密盘”。 初次运行SDISK，系统提示输入管理员密码。此时可按“确认”键直接进入。后期可设置新用户和密码。 菜单中显示当前系统下所有逻辑盘符，包括硬盘逻辑分区和USB移动闪存。本例中，C、D、E 为硬盘逻辑分区，G 为一个128MB USB 闪存。 选择其中我们希望建立密盘的分区，点击鼠标右键，即可调用鼠标右键菜单。选择“建立密盘”，即可在该分区中建立密盘。但是一个分区中，只可以建立一个密盘。创建密盘成功后，磁盘图标上会显示一朵小花，或一把锁，表示该逻辑盘中包含有密盘信息。选择右键菜单中的“打开密盘”，即可在“我的电脑”中显示密盘的逻辑盘符。下图中，显示出我们试验创建的两个密盘，分别为“3（J:）”和“可移动磁盘（I：）”打开“可移动磁盘（I：）”，我们可以象操作逻辑磁盘分区一样，拷贝或移动数据。为使用Winhex/X-ways Forensics 进行分析，我们向密盘中拷贝一些数据。并在该位置创建了一个文本文件“Sdisk保存文件的位置.txt”。 此时，密盘以创建成功，我们可以利用Winhex/X-ways Forensics 进行数据分析，看看“个人密盘6.9试用版”是如何隐藏、保护数据的。二、利用 Winhex/X-ways Forensics 14.0版分析“个人密盘6.9试用版”隐藏数据 调用Winhex/X-ways Forensics 14.0，创建案件，加载磁盘分区。此时，我们应加载密盘所在的逻辑分区，即原始磁盘分区E和G。 加载G盘后，可以看到磁盘的目录结构。此时显示的，使我们创建了密盘后的分区状态。为了使读者更清楚地明白个人密盘的原理，我们在图中同时显示出创建密盘前的分区状态。比较前后状态，我们即可清楚地发现其中的差别。 创建密盘后，分区中新增加了一个Recycler目录。可见，个人密盘将文件存储到了此目录下。创建密盘后目录结构创建密盘前目录结构思路： 由于我们目前还不掌握“个人密盘”的文件保护方式，因此可以通过两种方法查找加密文件。 1、以文件、目录创建日期为过滤条件 如果密盘生成的文件是以一个单独加密文件形式存在，可根据该文件的生成日期查找到该文件位置。此时，可利用Winhex/X-ways Forensics的“创建日期”过滤条件，查找所有当时时间段创建的文件。2、以文件名称为过滤条件 由于我们创建了一个名为“Sdisk保存文件的位置.txt”的文本文件，因此可以利用该文件名作为过滤条件，搜索该文件的位置。如果“个人密盘”仅仅是通过隐藏方式保护数据，那么通过文件名过滤方式，可以很快地发现数据隐藏位置。注：Winhex v14.0版中增加了目录名过滤功能。早期版本无法实现目录名过滤。我们选用文件名过滤方式，果然快速找到了此文件。说明，“个人密盘”只是一种文件隐藏方式保护软件。 通过路径，我们可以看到，加密文件被保存在以下位置：G: RECYCLERS-1-5-21-1060284298-813497611500S-1-5-21-1064224258-813597681500DDudzA7dSx5212513609152663 至此，虽然我们只利用Winhex/X-ways Forensics进行了非常简单地操作，就清楚地了解到该工具软件的数据保护方式：即在磁盘中创建上述路径，同时创建若干无用目录及信息用于伪装，将保护数据保存于其中某特定目录下，达到数据保护的目的。由于其表现形式为回收站，且为隐含，因此普通工具无法发现并管理该目录，Windows 自带的文件搜索也无法找到这些被隐藏保护的信息。快速过滤出指定文件察看目录结构和指定文件位置三、利用 Winhex/X-ways Forensics 14.0版分析“个人密盘6.9试用版”特征 由于个人密盘只是采用了文件夹隐藏的方式进行数据保护，因此对于Winhex/X-ways Forensics数据分析工具来说，不具备任何保护能力。通过Winhex/X-ways Forensics的文件过滤方法，可以直接将各类数据发现并显示出来。 但是，我们目前还有一个问题没有解决，就是如何证明一个磁盘中包含有“个人密盘”的隐藏数据。毕竟，采用此类隐藏保护方式的软件不只一个。发现“Recylcer”目录，也不能就说明是由“个人密盘”这个软件制作的保护。 我们继续利用Winhex/X-