x-ways forensics V17.9 法证授权版

　　x-ways forensic17.9法证版是一款针对计算机取证人员打造的分析软件。该软件可以与WinHex软件紧密结合，支持32 /64 位，Standard/PE/FE等版本，可随身携带，能够通过U盘在任意Windows操作系统下使用。

【功能特点】

　　磁盘克隆和镜像功能，进行完整数据获取

　　可分析 RAW/dd/ISO/VHD/VMDK 格式原始数据镜像文件中的完整目录结构，支持分段保存的镜像文件

　　支持磁盘，RAID,扇区大小为8KB最大2TB的镜像的完全访问

　　支持对JBOD、RAID0、RAID 5、RAID 5EE, RAID 6, Linux软RAID, Windows动态磁盘和LVM2等磁盘阵列

　　自动识别丢失/删除的分区

　　支持FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDF文件系统

　　无需修改原始硬盘或镜像纠正分区表或文件系统数据结构来解析文件系统

　　察看并获取 RAM和虚拟内存中的运行进程

　　多种数据恢复功能，可对特定文件类型恢复

　　基于GREP符号维护文件头签名数据库

　　支持20种数据类型解释

　　使用模板查看和编辑二进制数据结构

　　数据擦除功能，可彻底清除存储介质中残留数据

　　可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙中信息

【软件优势】

　　1、查看Windows事件日志文件(.EVT，.EVTX)，Windows快捷方式(.LNK)文件，Windows预读取文件，$LogFile, $UsnJrnl,还原点change.log，Windows任务计划程序(.job)，$EFS LUS， INFO2，还原点change.log.1，wtmp/utmp/btmp log-in records登录记录，MacOS X系统kcpassword，AOL-PFC，OutlookNK2自动完成文件，Outlook的WAB地址簿，IE浏览器travellog(又名RecoveryStore)，IE浏览器index.dat历史记录和浏览器缓存数据库，SQLite数据库，如Firefox浏览历史，Firefox下载，Firefox表单历史，Firefox插件，Chrome的cookie，Chrome历史归档，Chrome历史记录，Chrome登录数据，Chrome网页数据，Safari浏览器缓存，Safarifeeds，Skype联系人和文件传输的main.db数据库等等

　　2、提取元数据，并从各种文件类型的内部创建时间戳，并允许通过他们过滤，如MS Office，OpenOffice，StarOffice，HTML，MDI，PDF，RTF，WRI，AOL，PFC，ASF，WMV，WMA，MOV，AVI，WAV， MP4，3GP，M4V，M4A，JPEG，BMP，THM，TIFF，GIF，PNG，GZ，ZIP，PF，IEcookies，DMP内存转储，hiberfil.sys，PNF，SHD和SPL打印机后台的Tracking.log， MDB，MS Access数据库，manifest.mbdx/.mbdb iPhone备份

　　3、可以从任何其他类型的文件中提取几乎任何一种嵌入式文件(包括图片)，从JPEG和缩略图缓存中提取缩略图，从跳转列表中提取.lnl快捷方式，从Windows.edb、浏览器缓存中提取各种数据，，从SQLite数据库表中提取PLists，从OLE2和PDF文档中的提取杂项元素等等