X-Ways Forensics 入门指南（二）——使用技巧

本篇主要参考了以下系列文章：https://mp.weixin.qq.com/s/WaYOz8rwhrzID6ARMf3odA 相比于本文，该系列文章描述详实、具体，强烈推荐跳转原文阅读。

本篇相较于上一篇入门指南，更偏向于一些提高效率、扩大使用场景的技巧，如果还不是很熟悉X-Ways Forensics，建议先跳转第一篇入门。传送门：

https://mp.weixin.qq.com/s/hH3Jz7zucB1jkiHtFkFSNA。

配置XWF以便于现场勘验

XWF是可以以便携的方式运行在可移动磁盘中的，并且会尽量避免向Windows写入文件，其次，XWF提供了非常强大的过滤、同步搜索功能，并且具有非常高的兼容性（支持Windows XP/2003/Vista/2008/7/8/8.1/2012/10/2016/2019/11*）对于线索发现有极大的帮助，因此XWF是非常适合作为现场勘验工具来使用的。但是在使用前，需要进行一定的配置，使其能够完全适合于现勘。

首先需要准备一个容量相对较大的可移动磁盘，将XWF直接解压到一个文件夹中，并将 Viewer、MPlayer 等组件（可选Tesseract、Excire）复制到该文件夹中，同时新建 Cases、Images、Temp 、HashDB 等文件夹，用来存放案件数据。

其次，直接运行 xwforensics64.exe 启动XWF，在 常规设置（ General）中将临时文件目录、镜像目录、案件目录、哈希库目录以相对路径的形式指定为刚才创建的文件夹：

配置好后，XWF的关于页面应该是这样显示的：

表示 XWF 是使用的可移动的配置（此时配置文件在当前目录下），并且会有以下弹窗（提示打开帮助文件会在这个系统上创建临时文件，是否真的要打开）：

至此，便配置好了适合于在移动磁盘上使用的便携XWF了，使用时在要进行分析的电脑上插入该磁盘和加密狗、打开 xwforensics64.exe ，即可对该 Windows 系统进行分析。

配置XWF以提高处理速度

配置磁盘快照选项

选择选项(O) >磁盘快照...打开磁盘快照选项对话框，确认完全选中当没有簇分配表时加速磁盘快照适用所有文件系统（如图9所示），可以提高磁盘快照的速度。如果全选中在内存中保存更多的磁盘快照数据，还可以快速地按时间戳进行排序。

选择启动时无排序，以提高显示速度

通过选项(O)>目录浏览器(D)...打开目录浏览及过滤设置，列宽以像素为单位对话框，选中启动时无排序设置选项，使XWF不自动对目录浏览器中的文件进行排序，可以加快加载检材的时间。图10显示了未选中选项的部分截图，选中这个选项后，XWF在加载案件时可以不对文件进行初始排序。假如案件中包括很多文件(数十万或百万)，而XWF中加载案件时如果不需要对文件排序，就可以节省很多时间。

同步搜索时增加更多线程，提高同步搜索速度

同步搜索时，可以选择增加搜索的线程数，具体数量与CPU逻辑核心数有关，

开启后，同步搜索的进度条变为以下样式（同时进行了16个搜索）：

创建磁盘镜像相关

首先，X-Ways Forensics创建磁盘镜像的速度应该是目前市面上所有工具中最快的，也是因为这个原因，X-Ways官方推出了专门用于磁盘镜像的 X-Ways Imager，相比于 X-Ways Forensics 动辄两万多的售价，X-Ways Imager仅需要一千多元就能买到，当然功能也是很有限的。

在创建磁盘镜像时，需要单击选项栏上的 文件，选择创建磁盘镜像（或者快捷键 Alt + C），此时会弹出一个对话框，用户可以根据需要选择相应的选项。

编号1处可以选择磁盘镜像的格式，一般是做 RAW 格式或 E01 格式，使用 E01 格式时，可以选择对内容进行压缩，以节省磁盘空间。

编号2处可以选择是否同步创建副本，如果选中，将在制作镜像的时候同步写入，而不是在制作完成后复制，这样的总体速度是高于创建完一个镜像之后单独复制的，如果有创建副本（以供分发、备份）的需要，可以选中该选项，能节省约50%的时间。

编号3处的选项适用于拿到磁盘之后进行的分析，当做完镜像之后，自动用做好的镜像替换被做了镜像的磁盘。

编号4处的选项是关于镜像压缩和压缩速度的，压缩选项如下：

实测选择较好压缩率时，能节省30%到40%左右的空间，但是镜像速度上有损耗，因此也可以选择增加压缩的线程数，提高压缩速率。

调整列宽及顺序（显示相关）

鼠标左键单击截图中框选出的部分，可以调出 目录浏览及过滤设置，列宽以像素为单位 对话框：

通过该对话框，可以配置显示的列及其列宽。单击该列的名称，可以选择是否显示，具体体现就是列宽是0像素还是别的数值。用户可以在主界面中直接用鼠标拖动某一列，调整其列宽，也可以在这个对话框中用像素大小的方式来精确调整列宽。如果需要调整列之间的顺序，那么可以单击选中该对话框中某一列的描述的最右边的圆圈形复选框，然后在序号2处通过上下的方式调整其顺序：

此外，一般来说某一项的各种信息，都能在下方的 详细 标签中查看：

如果还选择了被框选出的 IM 标签，那么就只显示内部的元数据（Internal Metadata）：

Shift + 右键，临时更改文件名称

按住 Shift 后，右键某一项目，可以更改其名称：

比如修改为：

那么就可以修改显示内容，便于快速定位：

此功能是 XWF 便于标记、处理而增加的，不会修改镜像内的数据。

分析处理某一镜像内的镜像

比如此处，我在一个镜像内找到了一个 vmdk （Vmware 虚拟机虚拟硬盘文件），想要查看里面的内容，应该怎么办呢：

想通过磁盘快照提取里面的内容是不行的，这种方式主要用于提取压缩包中的内容，此时应该右键打开该磁盘：

务必注意，是第二个 打开 ，会打开一个新的 Tab，然后显示其十六进制内容。如果选择第一个，则是打开查看该文件，大概率会卡死。

这一个vmdk文件比较特殊（命名一般是 xxx-flat.vmdk），里面直接就存储的磁盘原始数据，而描述信息存储在另一个 vmdk 文件里：

但如果是一般的 vmdk 文件，那么应该是这样的：

回到刚才的步骤，打开该vmdk文件后，在 专业工具 中选择 将镜像文件转换为磁盘：

然后就能看到磁盘的分区结构，并且下方的十六进制数据就是磁盘的数据，变相地完成了解析镜像内镜像的工作。

善用定位功能，快速跳转

假设在各种操作中选中了某个文件，然后需要跳转到该文件所处的目录下，以进行更深入的分析，那么可以使用右键菜单中的 定位 功能，快速跳转到原始目录：

比如此处定位到了 Xftp.exe ，想要快速回到源目录：

然后取消过滤器即可：

将界面调整为 Investigator，快速熟悉主要功能

X-Ways Investigator 的初衷是为不那么专业的用户提供一个简化的界面，仅包含主要、必要的功能，并且更加便宜。笔者个人认为对于初学者来说，这个版本是比较适合的，因为功能相对较少，初学者可以通过这个版本快速掌握 XWF 的主要功能，对 XWF 的使用流程有初步理解，进而学习功能更加完整的 XWF。

在 XWF 中，可以在设置中手动将界面调整为 XWI （X-Ways Investigator）：

调整为 XWI 后，标题栏会显示：X-Ways Investigator*，表示软件本身是 XWF，但是显示的是 XWI 的界面。

调整为 XWI 后，功能明显变少，只剩下基本功能，包括：案件管理、同步搜索、打开磁盘、哈希库、磁盘快照、CTR案件容器，另外移除了十六进制显示，转为提供最多三个编码栏，并且案件管理窗口也有所变化：

此外，XWI 还移除了 导出/恢复 功能、将镜像文件转换为磁盘 功能，但是初学者使用时暂时也可以不使用这两个。其他递归浏览、过滤、同步搜索功能都基本可用，对于初步了解、使用 XWF 是完全够了的，因此笔者是推荐通过这个来进行引入教学的。

关于时间的显示