X-Ways Forensics解锁全功能版这是一个超强大规模的取证风格类型数据平台和分析类型的强大软件，通过最紧凑简洁的内容为用户打造。它拥有极其完整的数据抓取、分析和许多其他实用的功能系统，让您可以非常轻松方便地体验每一个

X-Ways Forensics解锁全功能版亮点

克隆并镜像磁盘功能，以进行完整数据获取。

可以分析RAW/dd/ISO/VHD/VHDX/VDI/VMDK镜像文件的完整目录结构，支持分段镜像文件。

您可以读取大于2TB(超过232个扇区)的磁盘、RAIDs和图像文件。最大扇区大小为8KB。

分析了内置磁盘阵列JBOD、RAID 0、RAID 5、RAID 5EE、RAID 6、Linux软件磁盘阵列、windows动态磁盘和LVM2逻辑卷管理器。

自动识别丢失/删除的分区。

支持fat12、fat16、fat32、exfat、tfat、NTFS、ext2、ext3、ext4、next3 & # 174UDF CDFS/ISO9660/乔利埃特文件系统

支持扇区叠加分析。比如，即使数据损坏，也可以通过修正后的分区表或文件系统数据结构，在不改变原磁盘或镜像的情况下，完全解析文件系统。

检查并获得完全的内存转储，并在虚拟内存中获得正在运行的进程。

利用多种数据恢复技术，可以快速找到需要恢复的数据，并支持片段级数据恢复。

header 数据库支持GRPE检索。

可以分析20种不同类型的数据

通过模板查看和编辑二进制数据结构

数据 Erase 功能，可以彻底清除存储介质中的残留数据。

您可以从磁盘或映像文件中收集剩余空间、可用空间、分区间隙和常见文本的信息。

在证据文件中创建文件和目录列表。

ADS数据(NTFS stand by数据stream)可以非常简单地找到并分析。

支持多种哈希计算方法(CRC32、MD4、ED2K、MD5、SHA-1、SHA-256、RIPEMD、...)

强大的物理搜索和逻辑搜索功能，可以同时搜索多个关键词。

您可以重复查看子目录中现有的文件和已删除的文件。

自动以彩色显示NTFS文件结构

书签和评论

它可以在满足取证要求(例如，受限分类/查看)的Windows FE环境中运行。

非常便携，u盘即插即用，无需安装，支持任何操作系统。

可以与F-Response一起使用来分析远程计算机。

X-Ways Forensics解锁全功能版特色

支持HFS，HFS+/HFSJ/HFSX，ReiserFS，Reiser4，XFS，UFS，UFS2文件系统，APFS

它可以快速获取磁盘图像，还提供了生成图像压缩程度的选项。

能够读写. e01格式的证据文件，可以选择用256位AES加密证据文件(注意:不仅仅是密码保护)

可以创建骨架图像和净化图像(更多信息)

能够将相关文件复制到证据文件管理器文件中，例如，您可以将相关证据文件保存到管理器中，管理并选择性地与不同的需求者共享。

完整的案例管理功能

自动创建软件操作日志 (audit 日志)

数据写保护功能以确保数据的真实性

可以任意添加远程分析到网盘功能(更多信息)

它可以分析和过滤所有卷影副本(但不包括重复副本数据)，并查找快照属性。

单击鼠标查看文件列表。轻松浏览文件系统的数据结构，例如file 记录、index 记录、$LogFile、shadow copy、FAT目录项、Ext* inode等。

支持的分区类型:苹果格式、MBR、GPT (GUID)、Windows动态卷(MBR+GPT)、LVM2 (MBR+GPT)、未分区(软盘/大容量软盘)

它可以分析Windows 2000、XP、Vista、2003 server、2008 server和Windows 7的本地内存或内存转储。功能很厉害。

显示文件的所有者、NTFS文件权限、对象ID/GUID和特殊属性。

Ext2/Ext3区域分配逻辑，弥补NTFS压缩和文件重复造成的数据损失。

可以快速切换前后目录和多个步骤，快速导航回排序选项、过滤器激活(停止)和选择的界面。

内置缩略图浏览

内置日历浏览

自动文件签名和特征比较

内置文件预览功能支持270多种文件类型

同样的文件类型可以直接从程序中打印出来，程序首页包含所有meta 数据

您可以查看Windows事件日志文件(。evt，。evtx)、Windows快捷方式文件(。lnk)、windows预读文件、$LogFile、$UsnJrnl、系统还原点change.log、Windows任务计划程序(。job)、$ efsplus、info2、系统还原点change.log.1、wtmp/utmp/btmp登录信息、Mac OS X KC密码、AOL-PFC、Outlook NK2自动完成、Outlook WAB地址簿、Internet Explorer browse记录(也称为恢复存储)、Internet Explorer index.dat历史和浏览器缓存数据库、SQLite数据库如Firefox history 记录、Firefox下载、Firefox历史、Firefox签名、Firefox...

收集虚拟文件中可用空间或空闲空间中的Internet Explorer history记录和浏览器缓存index.dat。

它可以从各种类型的文件中提取meta 数据和内部生成的时间戳，如:MS Office、OpenOffice、StarOffice、HTML、MDI、PDF、RTF、WRI、AOL PFC、ASF、WMV、WMA、MOV、AVI、WAV、MP4、3GP、M4V、M4A、JPEG、BMP、THM、TIFF、GIF、PNG、GZ、ZIP、PF、IE cookies、DMP内存转储、hiberfil.sys、PNF、SHD & ampSplprinter spool，tracking.log，。mdbms access数据库，manifest.mbdx/.mbdb iPhone备份，...

记录并跟踪浏览的文件。

将源文件链接到外部文件，例如原始文件的翻译版本、解密版本或更改版本。

可以分析检查提取的邮件数据，支持Outlook (PST/OST)便笺、Exchange EDB、Outlook Express (DBX)、AOL PFC、Mozilla(包括雷鸟)、通用邮箱(MBOX、UNIX)、MSG、EML。

生成功能的强大事件列表，时间戳来自:所有支持的文件系统、操作系统(包括event 日志、注册表、回收站等。)、文件内容(例如，邮件头、exif时间戳、GPS时间戳和最后打印时间)；浏览器数据库、skype聊天记录、通话记录、文件传输记录、创建的帐户信息……)

分析中引入了时间的纬度，按时间顺序展示了事件发展延伸的全过程。在时间线中，事件以图形方式显示，这便于检查活动在哪个时间段是活动的，哪个时间段是非活动的。您只需点击鼠标，就可以快速过滤特定时间段内的事件。

基于签名和特殊算法功能的文件类型自动验证

您可以标记文件并将标记的文件添加到自定义案例报告中。

自动生成HTML格式的案例报告，可以在Word中查看和编辑。

文件注释或过滤信息可以与报告相关联。

软件窗口左侧显示目录号结构，可以浏览和标记相关目录和子目录。

在扇区视图模式下，可以同步显示相应扇区的文件和目录。

强大的动态过滤功能，可以按文件类型、哈希基数、时间、文件大小、注释、报表组合过滤文件。

通过递归浏览功能，可以同时显示和删除所有目录下的文件数据

该文件可以从硬盘或硬盘镜像中复制。内容可以包含对应文件的完整路径，可以包含或排除文件空闲区的数据，也可以单独或完整导出文件空闲区的数据。

自动识别加密的MS Office和PDF文件

它可以提取几乎任何类型的嵌入文件(包括图片)从其他类型的文件，缩略图从JPEGs和拇指缓存。跳转列表中的lnk快捷方式，Windows.edb中的各种数据，浏览器缓存，SQLite中的PLists和forms 记录，OLE2和PDF文档中的各种//。...

肤色检测功能，(根据肤色比例，以图片收集的方式排序，加快搜索儿童色情和黑白图片)

检测黑白或灰度图片，这些图片可能是扫描的文档或数字存储的传真。

可以检测OCR可以识别的PDF文档。

您可以根据用户定义的时间间隔，通过MPlayer或Forensic Framer从视频文件中提取静态图像，这样当您必须查看不适当或非法的内容时，您可以大大减少数据的查看次数。

内置Windows注册表查看器(支持所有Windows版本)并自动生成注册表报告。

压缩文件中内容可以以目录方式逐步浏览。

简单易用的逻辑搜索功能，可以搜索所有文件、选定文件和压缩文件、PDF、HTML、EML、...等。选项有:GREP，自定义“全词匹配”。

强大的搜索和搜索结果预览功能，支持关键词邻近度的上下文预览。例如，您可以在Documents and Settings目录下使用关键字A、B、D搜索最后一次访问是在2004年的doc和ppt文件。

Unicode和各种代码页中的搜索和索引

高度灵活的索引算法，并且可以在索引结果中搜索固定的复合词。

AND、fuzzy AND、NEAR+和–逻辑运算符组合使用来搜索结果。

搜索结果可以导出为HTML，文件内容和文件元素数据可以高亮显示。

硬盘的HPA区和ATA加密硬盘保护区可以检测排除，连续标记。

根据内部哈希库，可以快速定位特定类型的文件。

您可以导入NSRL RDS 2.x、Hashkeeper和ILook格式的哈希库。

可以创建用户特定的散列集。

整个hiberfil.sys文件和单个xpress块都可以解压缩。

X-X-Tensions API(编程接口)，添加自己的功能或现有的功能

不需要设置和链接复杂的数据库，避免了竞品无法再次打开你的机箱的风险。

X-Ways Forensics解锁全功能版介绍

作者:Neviens

*使用Dll劫持内存，移除BYOD加密狗的授权保护，并解锁complete 功能

*预置winhex.cfg，更改默认启动简体中文，清除选项临时路径。

X-Ways Forensics20.1 Sr-8+Full的完整版还集成了以下插件:

观众8.5.5.12中的﹂Outside

﹂Mplayer 2018 v0.0.9

2.0.7.1 ﹂aff4插件

X-Ways Forensics(法医授权版)

Xwforensics.exe改名为winhex.exe，软件初创公司是WinHex。

Forensics在专家允许后提供了WinHex之外的许多其他高级功能。

新版功能

X-Ways Forensics现在已经发布了20.3的预览版。您可以像往常一样通过查询一个人的许可状态来检索所有最新版本的下载目录的URL。

v20.3预览版1 功能有什么新功能？

* tessera CT软件包的OCR功能现在可以在功能和X-Ways Investigator中使用。你可以从我们的网络服务器上下载这个软件包。您可以从同一个地方的任何地方获得更新的下载说明。如果在v20.3第一次运行时，通过v20.3在安装目录的子目录\ Tesseract中找到Tesseract，Tesseract将自动激活。否则，请转到“选项”。浏览器程序指示路径。

* OCR可作为逻辑搜索或索引的一部分应用于适当的文件，如TIFF格式文档扫描或数字存储的传真或仅包含图形内容的PDF文档。默认的文件掩码甚至包括* .jpg，不过，对每个JPEG文件都应用OCR是否有点多余或者有必要，由你自己决定，反正你完全可以用各种方式控制搜索范围。请注意，高分辨率的照片需要大量的时间来检查文字。JPEG和HEIC格式的数码照片将根据Exif meta 数据中的说明进行旋转，以恢复正确的方向，因此预计原始捕获的文本将大致水平进行OCR。如果对包含在两个文件掩码(*)中的给定文件类型成功完成了普通文本解码。pdf)，不会应用额外的OCR。“保存解码的文本以供上下文预览和将来搜索”选项也将从OCR导出的文本存储在卷快照中。

*在Descr中，由OCR派生文本中的逻辑搜索返回的搜索命中结果也是如此。列，并用不同的颜色亮点。描述.该过滤器允许您仅列出或不列出此类OCR搜索结果。旧版本的X-Ways Forensics在打开同一个案例时可以看到来自v20.3的OCR搜索结果，但不会知道它们是OCR搜索结果。

*点击后...按钮，您可以同时选择两种语言进行文本识别。查看程序。但是如果同时选择中文/日文和西班牙文，就需要权衡取舍了。这会恶化对亚洲字符的识别。您可能希望选择“仅”中文/日文，以便更好地识别语言。在这种情况下，即使没有明确选择英文，英文(实际上是拉丁文)字母还是可以识别的，只是质量会降低。只有当正确识别西文对你来说更重要的时候，你才能同时选择中文/日文和西文。

*预览模式现在除了Raw子模式之外还有一个单独的子模式，称为文本模式，它从非图片文件中提取纯文本，就像使用带有解码选项的逻辑搜索一样。这个子模式还有助于更好地理解如何从各种文档类型(尤其是电子表格)中提取文本。对于这些文档，有不同的提取选项，这些选项的输出可能不同，尤其是在格式方面。

*如果“文本”子模式下的正常文本提取/解码没有返回任何结果，或者如果预览文件是图片文件，并且Tesseract可用且处于活动状态，则将应用OCR。这可以让您在搜索要处理的文件类型时更好地理解OCR的工作方式。你也可以尝试选择不同的语言，比较结果的质量。子模式按钮默认命名为“文本”，但它的标签将更改为“OCR ”,以让您知道OCR已经或曾经用于检索文本。对于多页TIFF和PDF文件，OCR可能很耗时，但用户可以在必要时中断它。如果通过先前的逻辑搜索或索引已经对文件应用了OCR，并且结果已经存储在卷快照中，

*在退出预览模式或选择其他类型的文件之前，预览模式中的“原稿”和“文本”两个子模式保持活动状态。如果要使这些子模式更持久，以便即使在预览不同类型的文件时也能保持活动状态，可以按住Shift键，同时单击相应的子模式按钮。

*可从我们的网络服务器下载的Tesseract软件包已经支持以下按字母顺序排列的语言:

Ara:阿拉伯语

Chi_sim:简体中文(仅横向书写)

繁体中文(仅横向书写)

德国:德语

Eng:英语

法国:法国

希伯来语

意大利语

日本:日语(仅横向书写)

Kor:朝鲜语(仅水平书写)

民盟:荷兰语

Pol:波兰

俄罗斯:俄罗斯

Spa:西班牙语

瑞典语:瑞典语

Tur:土耳其语

如果你能在https://github.com/tesseract,找到适合他们的. traineddata文件，你可以添加其他语言-ocr/tessdata_fast。把这样的文件放在Tesseract的\ tessdata子目录下就可以了。或者，您可以访问https://github.com/tesseract-ocr/tessdata_best下载任何支持语言的高质量OCR引擎。(请注意，OCR使用它们的时间要长得多。)

*支持的文件类型通常如下:PDF、PostScript(PS)、TIFF、JPEG、HEIC、PNG、GIF、BMP、WEBP、AutoCAD DXF、Photoshop PSP等等。

*能够使用Descr。筛选以关注未对齐的UTF-16文本中的搜索结果。

*能够在其他电子邮件预览中亮点搜索结果。

*在搜索命中列表模式中，在主窗口中定义的圆形tab键序列也是如此。

*一些小的改进。

*维修级别与v20.2 SR-1相同。

Dll劫持内存，移除BYOD加密狗的授权保护，并解锁所有功能

修复中文解锁完整功能绿色版