简介

X-Ways Forensics 是由 Stefan Fleischmann 编写的一个轻量化的应急响应及取证工具，是 WinHex 的法证版本，因此界面逻辑和 WinHex 较为相似。在配置好 mplayer 的情况下，程序总体积在 100MiB 左右，运行时内存占用极低，功能极其强大。
本文讲解了最基本的几个功能，后续也会更新。

过滤

过滤是取证人员必备的技能，面对复杂、多样化、存储量巨大的检材，快速定位目标文件是必不可少的
XWF中过滤一个目录下的文件需要先将文件平铺，在检材处右键后会高亮，此时所有该目录以及子目录下的文件都会平铺到一个文件列表中，便于我们全面过滤

文件类型

过滤zip文件

文件名称

XWF支持grep的正则表达式

搜索

同步搜索（暴力搜索）

选中分区或者磁盘文件

打开同步搜索

暴力搜索的原理是数据的存储存在安全问题，没有编码或者加密

注册表

首先过滤注册表文件

双击注册表文件即可使用XWF的自带注册表查看器查看

随后选择配置文件后即可分析成功

保存为html文件后使用浏览器打开

操作系统基本信息
CPU信息：CPU

磁盘信息：IDE Device

Windows 版本信息：Windows internal version，Windows installation date，Windows product ID，Windows CD key，Windows name，Windows build number，Service pack，Last logged on user，Default Internet Browser

计算机名称：Active computer name

Windows 安装语言（也不知道是不是正在使用的语言）：Windows installation language

可移动设备：Windows portable devices

启用的服务：Services installed

查看安装了的软件：Install date of，Name of program Uninstall，Install date of Uninstall，Location of program Uninstall，Source of program Uninstall，Name of program

网络信息
默认网关MAC：Default Gateway MAC

本机MAC（看起来可能会更齐全）：This computer's MAC address

DHCP指定的IP：DHCP assigned IP Address

本地连接网络：Network connection

TCP/IP网络名称：Tcpip host name

网卡信息：Model description of installed network card

用户信息

IE输入记录：URLs typed in Internet Explorer

打开过的文件：Documents opened，Recent File List

用户账户（但是看不到用户名，只能看到SID）：`User Account

最后登录用户：Last logged on user

最后登录时的计算机名称（不知道具体什么作用）：Last Computer Name

用户设置的地区（NTUSER.DAT）：Country

用户自定义的文件夹（NTUSER.DAT）：User-specific directories

各个用户对应的UID（这个很有用，可以对照着查）：User ID of Administrator