X-Ways Forensics 实战指南 - DIYTWO

这本书出现的背景是一些调查员感觉X-Ways Forensics（XWF）与其他取证软件不同，就不想尝试。有些人认为它非常难用，或者认为XWF只是一个十六进制编辑器。作者希望把XWF强大的功能介绍给那些没有尝试过XWF的潜在用户。作者还希望解释XWF的内部工作原理，这会对用户的分析工作起到很大的帮助。

和其他人一样，当你找到好用的东西时，你会坚持使用下去。不想尝试其它取证软件，这个借口一开始听起来可能很合理，但实际上，他们错了。不能因为仅仅参加了有关软件品牌A的课程，调查员就只使用品牌A，而不学习和使用其他软件。此外，持有品牌B认证的调查员也应该具有使用其他软件的能力。会使用各种各样的软件是一个人在学习中被开发出来的基本鉴定技能。

大多数新手任务都很困难，至少在开始时是这样。例如，骑自行车、驾驶汽车和烹饪晚餐等活动都是艰苦的任务，但是我们可以通过付出时间和努力使之变的越来越容易，直到最终完全掌握。用XWF工作（通过本书和工作中的案件）就像学习任何新技能一样，随着时间的推移，使用XWF将变得像骑自行车一样容易。XWF是非常直观的，起初看起来可能不像，但实际上它直截了当的特点使它比其他软件更容易掌握。

我们为XWF的每个用户开发了这本书，包括那些多年来一直使用XWF的用户以及那些在他们的调查生涯中尚未迈出使用XWF第一步的人。由于本书详细介绍了如何使用取证软件处理现实生活中的实例，因此适用于对计算机、操作系统和文件系统具有中级到高级理解水平的用户。虽然一些章节涉及操作系统、软件和硬件的某些方面，但本书中不包含这些主题的详细信息，也不包含有关文件系统（如FAT、NTFS、HFS或EXT）的详细信息。本书只讨论如何使用XWF，可以从其它地方获取这些主题的详细信息。换句话说，这不是一本学习如何进行取证的书而是一本如何使用XWF的书。

我们希望为在取证调查中使用XWF作为当前取证软件或作为主要取证软件的读者提供可靠的参考。我们将介绍真实的案件，使读者可以了解取证软件XWF的强大能力。我们期望这本书的读者对他们当前的软件有更高的要求，并假设他们正在最大限度地利用他们当前的软件。尽管如此，这本书将展示如何开发利用XFW强大的功能，快速和准确地调查电子存储设备。

开始之前，我们先来回顾一下自创立以来XWF的历程，这有助于更好地了解XWF的起源。2002年，StefanFleischmann在德国穆斯特大学学习期间成立了一家软件开发公司。毕业后，Stefan在私营部门工作，专门从事系统应用和产品（SAP）方面的培训。2002年，Stefan创办了X-Ways公司。

根据用户的功能需求，XWF于2004年5月17日发布了“WinHex的计算机取证版本”。直到2004年6月21日，XWF的第一个版本才发布。第二年，Stefan在华盛顿州西雅图举办了第一期培训课程。从那时起，XWF更新了许多版本，增加了数百个新功能。迄今为止，XWF在全球拥有包括从州、地方和联邦执法机构到财富500强企业，以及介于几者之间的超过35,000名用户。

读者很快就会看到，XWF是一个功能齐全且非常强大的软件，具有其他取证软件所没有的数百种特色功能。XWF的独创性在于，看似简单的用户界面背后有众多的特色和功能。用Stefan的话来说，有了XWF，可以有很多，或者说有X种（X-ways）做事的方式。可以在http://www.x-ways.net/winhex/mailings/网站查看XWF的更新内容和添加的新功能。

本书的主要目标是解释如何在各种情况下能更好地使用XWF的功能。我们采用增量或模块的方法介绍后面的章节，使读者可以熟悉并掌握软件的每个功能和特性。

设计XWF最重要的一点是它允许调查员选择与完成任务相关的操作。换句话说，在审核过程开始之前，不要求在每个证据镜像上运行XWF的每个选项。事实上，只要在XWF中打开存储设备或镜像后，就可以启动证据审查过程。可以预览设备或镜像，也可以使用XWF的一些高级的功能对证据进行分类审查。

在某些案件中，调查员可能不需要使用XWF的高级功能。不像某些取证软件，在基本审查之前进行的案件预处理就需要花费大量时间。

贯穿本书的主题是强调案件的工作流程。我们所描述的各种工作流程，不需要额外的方法就可以减少分析时间并产生很好的结果。虽然某些工具可能需要大量时间和计算机集群才能进行预处理，但我们用实际生活中的例子来展示案件流程，并根据案件的需要使用相应的选项。其中许多选项仅适用于XWF，通过了解此选项，您可以控制分析所花费的时间，以便快速找到案件中的关键目标。

一个无所不能的数字取证软件并不存在。因为和大众的取证软件相比，一个特定的取证软件能更好地完成一项任务。实际上，在大多数情况下，专门为某一项特定任务开发的应用程序可能比取证软件的效果要好。比方说专为Internet分析或解析某些Windows使用痕迹而设计的软件。

此外，一个取证软件本身并不能完成所有事情。仅仅依靠一套软件的调查员可能会有局限性，因为大多数案件需要使用不同的软件对介质进行全面调查。当然，有些软件会比其他软件全面，但是价格更高，但这些会根据调查员使用政策和程序等的要求而波动。重要的是不要将价值与价格等同起来，因为它们往往不一致。

请记住，您可以将取证软件和硬件视为工具箱中的工具，每个工具箱都有特定用途。我们在本书中的目标不是贬低某些取证软件，也不会将某些软件置于负面的角度。在大多数情况下，您需要不止一个取证软件来彻底调查特定案件，就像您需要在工具箱中使用多个锤子和一对钳子一样。在阅读本书时，您可以选择在工具箱中实施XWF，最初可能作为验证工具，但很可能它会成为您的主要工具，因为您可以更好地了解其功能和效率。无论哪种方式，您仍然需要使用多个工具才能更好地完成您的工作。本书还将展示XWF如何与其他取证软件进行协作，来充分利用软件的功能或填补其他软件中存在的空白。

每章都以前一章为基础，每一章都独立于该章中提出的主题。话虽如此，我们建议您按顺序阅读每一章，以便获得并巩固XWF坚实的基础。

当您阅读本书时，XWF版本将会有一个或多个更新。除了新添加的功能外，本书中描述的某些功能可能已更改或改进。请记住，WinHex和XWF的更新和改进都在稳步增长中。事实上，更新到新版本平均有41天！由于这个问题，使用本XWF指南并没有过时，因为这个指南所包含的绝大多数信息仍然适用，但您要定期查看XWF网站，确保了解最新的更新。请放心，每个版本或服务版本之间的更新时间为一周到41天。

我们必须从某个地方开始，所以我们从最基本的安装、设置和配置XWF开始。第1章首先概述了XWF的功能，并简要介绍了XWF所使用的图形用户界面。最后介绍了XWF初始配置所需的步骤，为运行XWF提供所必需的基本信息。

XWF可以获取包括硬盘驱动器、物理内存、光盘等几乎所有类型的电子证据，甚至可以远程获取证据。XWF可以对这些证据项目进行镜像和处理。第2章介绍了如何根据调查员的需求，使用灵活高效的方法捕获电子证据。

使用任何软件的关键因素是能够高效且有效地通过各种按钮和选项浏览程序。在每次运行XWF过程中可以使用第3章介绍的简洁的导航方法。

磁盘快照是XWF独有的，是程序中最强大的功能之一。快照是XWF中的一个特性工具，用于数据恢复、索引数据和分析预处理证据。第4章显示了创建和进行证据快照时可用的多种选择，并根据特定案件或证据项的需要最大化您的选择。

第5章详细说明了如何创建和导入哈希数据集，用来作为文件哈希比较的参考。哈希比较是通过哈希值来识别已知和关注文件的最常用方法之一。

XWF搜索数据的功能是最好的。与其它软件相比，XWF分析的更仔细、更灵活、更准确和更快速。第6章向XWF用户展示了如何通过使用索引搜索、GREP搜索和十六进制搜索进行高效且有效地搜索并导出搜索结果。

XWF的高级功能涵盖了详细分析技术和对不常见情况的处理。第7章介绍了如何操作十六进制、收集空闲空间和残留空间、调查物理内存、编辑模板、脚本和X-Tensions API的使用。话虽如此，XWF的高级功能并不是指这些功能比较难，以至于我们不会使用或者说使用这些功能是做成案件所必不可少的。它仅仅意味着这些功能和方法不经常使用而已。

直到您生成报告，分析才算完全结束。在第8章中，您将了解如何使用XWF的内置功能创建和自定义最适合您的调查报告，以及如何添加来自其他来源的信息，从而生成完整而全面的报告。

第9章描述了XWF在电子搜索领域的独特用途。虽然XWF是一种数字取证应用程序，但使其成为卓越的取证程序的功能，也使其在电子搜索案件中成为最佳的选择。

在调查员或第一响应者对计算机系统进行搜索时，可能没有合理的理由及足够的信息证明来没收这些系统。如果疑犯同意搜索其计算机或为了监控假释者，在这些情况下可以使用XWF对电子存储设备进行高级分类或预览，并且在现场分析中（如果需要），在不降低性能的情况下提供极端的搜索能力。第10章介绍了使用XWF进行这些类型搜索的几种方法。

我们相信，在您阅读本书之后，您将会在书上折角、划出突出显示句子、在边缘写下标记，并将其放在桌面上，旁边是一小堆其他陈旧且经常使用的参考书。

使用您的XWF加密狗和本指南，您所拥有的软件和知识，不仅可以在实验室和现场进行深入的取证分析，还可以进一步发展成为了解自己的工作以及计算机取证科学背后的人。请注意如果是精通XWF的取证调查员，无论他们选择使用什么工具，他们都知道他们所做的。