前言
如有需要购买X-Ways Forensics,敬请登录云迹科技官网(https://www.cflab.net/index.html)或联系 cdf@cflab.net 了解购买信息。
如有XWF相关问题,欢迎后台留言讨论!
XWF的多开与技巧
XWF是允许多开的,XWF的案件是支持多人协作的,且用户可以在一台计算机上同时打开多个XWF操作同一个案件(也允许多个用户在多个电脑上使用XWF操作某个共享文件夹里面的特定案件)。
既然有这个机制,那么我们在自己的电脑上,就可以打开多个XWF或者XWI,分别对同一个案件进行不同的操作。
在开始前,首先需要确认您电脑上的XWF是可以多开的。如果XWF不能多开的话,请在设置里面修改 允许同时运行多个程序(后面是否区分不同的实例不重要):
以2024年美亚杯团体赛检材为例:
在添加完全部检材之后,保存案件,然后打开第二个XWF的实例,并且在新的实例里面直接打开之前创建的案件:
此时会提示:
一般来说选择默认选项即可,也就是使用第二个身份打开案件。打开后可以注意到案件数据区里面标题的不同,这就说明成功使用第二个身份打开了这个案件:
这个时候就很有意思了,我可以在某一个实例里面做磁盘快照,而在另一个实例里面继续通过各种方式分析这个案件里面的信息。
以下为在某一个实例里做磁盘快照:
与此同时,在另一个实例里面继续之前的分析工作:
如果还想开一个实例,记得选择最下面的选项(表示再使用一个新的用户打开案件,避免冲突):
这个时候我还可以在第一个实例浏览文件、第二个实例做磁盘快照的同时,在第三个实例里面进行同步搜索:
不过目前测试下来,好像只能同时使用三个用户打开,再多一些的话就只能以只读模式打开了(最近还在准备面试,等全部弄完再好好测试一下,研究一下多用户功能)。
不过无所谓!只读模式下依旧可以正常进行同步搜索。但是关于磁盘快照,做完之后,这些变更可能无法保存到案件数据文件里面,也就是说无法被其他实例共享。
(我同时开了四个窗口来打开这个案件)
说了这么多,可能有些读者还有疑惑,开这么多实例,有什么用呢。如果大家做过美亚杯,应该就能感受到,在比赛中,如果用好了搜索功能,是能节约很多时间的。在实际工作中,用好同步搜索和磁盘快照,也能大幅减少工作量,并且快速发现一些可能的涉案线索、确定是否存在一些痕迹等。
目前很多取证软件是难以做到在进行搜索的同时允许用户正常、流畅地浏览分析结果的,而XWF则能非常完美地做到这点,所以做题时是可以一股脑把可能涉及答案的选项放到某个实例里面同步搜索、然后在另外的实例里面进行正常分析的——如果搜到了,就赚大了;如果没搜到,不影响正常分析。
不过,在搜索时,注意分配CPU核心数(也就是搜索的线程数),尽量不要让同步搜索一次性占用所有资源。
综合使用XWI提高分析效率
先说XWI的优点:
界面简单(但是基本和XWF一致)
功能相近,无缝切换
文件模式下能直接以各种编码查看数据(如果一直在XWF下使用预览模式,可能会容易崩溃或者无响应,不过该问题在21.0以上的XWF中有所改善,但依旧不能说是完全解决)
新手上手快
潜在缺点:
高级功能少一些(尤其是不能将镜像转换为磁盘)
不能查看Hex值
不能导出文件
不能直接分析注册表
需要购买XWF后才能购买XWI套件
个人的使用方式是:
复制XWF的安装文件夹到一个新的地方(相当于再安装一个XWF)
在XWF的设置中将页面调整为XWI(该功能的本意是方便未购买XWI用户体验XWI的功能;或者为便利相对低级的使用者,临时将软件调整为XWI的界面):
启动一个XWF用于主要分析
再启动一个XWI的实例,打开同样的案件,用于快速浏览、分析
如果遇到了需要使用XWF特有功能的场景,则切换回XWF继续分析
这样最大的优势就是能直接通过各种编码快速预览文件,速度和稳定性应该是最高的,同时XWI的界面比较干净,用起来也相对更加赏心悦目。
好了,今天就先到这里啦
