winhex脚本下载 【X-Ways取证快速入门】
关闭 Winhex 帮助文件后,会看到 “General Options”(常规设置)窗口,此时软件界面仍为英文。
要将软件设置成为中文界面,点击菜单中的 “Help”(帮助)。
然后选择“Setup”(设置),接着选择“Chinese, Please!” (中文)。
此后软件界面可显示为中文,如果某些时候需要参考英文界面词汇,可用同样步骤将菜单界面转换至英文。
常规设置
常规设置的目的是为 X-way Forensics 和 Winhex设置一个良好的运行环境,将个人操作习惯保存为固定设置。其中,最主要就是设置临时目录和案件保存目录,以便用户能够从固定的、习惯的位置找到案件中产生的数据。
点击“选项”调用“常规设置”,或者直接按 F5 键,即可进入“常规设置”对话窗。
下图中显示的常规设置窗口中,方框标记的区域是主要设置内容。
保存临时文件的目录:
用于保存分析过程中临时生成的数据。
软件最初设置中默认将临时文件保存至“C:\Documents and Settings\用户名\Local Settings\Temp”。为便于管理临时文件,我们为其创建一个 temp 文件夹,本例为 C:\16.0\temp,见图例1。
保存镜像和备份文件的目录:
软件默认设置中镜像文件和备份文件会被保存至“C:\Documentsand Settings\用户名\Local Settings\Temp”。为将来方便地调用和管理镜像文件,我们为其新创建一个 image 文件夹,本例中路径为 C:\16.0\image,见图例1。
保存案件和方案的目录:
当前系统默认保存至 X-ways Forensics 当前目录下,本例 为 E:\xway 目录。由于将来创建的案件越来越多,将这些案例文件保存在当前目录下会造成 混乱、不利于查找,因此,我们为其新创建一个案例文件夹,本例为 C:\16.0\case,见图例1。
保存脚本的目录:
当前系统默认保存在至 X-ways Forensics 当前目录下,本例为 C:\16.0\script 目录。如果不涉及脚本,则无需改变。如果用户将来需要自行编制脚本, 可以建立 script 目录,用于专门保存于脚本相关的文件。
保存哈希库的目录:
系统默认哈希库保存位置为 C:\16.0\HashDB。此目录可由 X-ways Forensics 自动创建和管理,无需改变。
图例1
OK!好不容易配置好了软件,接下来我们试着用用吧。
三、案件管理与操作
▍创建新案件
利用 X-Ways Forensics 数据获取,或者进行数据分析,首先要创建一个新的案件。创建案件是为了将案件信息和需要分析的存储介质或者镜像文件加载到案例中。
X-ways Forensics 软件本身不会使数据内容产生变化,但操作系统和应用程序则可能对新加入的设备造成数据修改。因此数据获取过程中,应注意使用硬件写保护设备。
创建案件,选择“案件数据”,然后点击“文件”,选择“创建新案件”。
在属性对话框中,可输入案件名称、案件描述、调查员、机构地址等辅助信息。案件名 称可以根据需要设定一个便于记忆和区分的名字。
案件属性设置框
注意:案件名称需使用英文或数字winhex脚本下载,否则将来的案例日志和案件报告中无法出现屏幕快照图片。
X-ways Forensics 依据系统时钟自动生成案件创建日期。为保障X-Ways Forensics在证据固定过程中记录的时间准确,且在日后数据分析过程中显示的时间正确,请确保当前计算机系统时间设置无误,并在显示时区中设置正确的时区信息。
