【转载】XWF 高效取证思路——软件多开

文摘   2024-11-10 21:06   江苏  

XWF的多开

XWF是允许多开的,并且案件也是支持多人协作的,也就是说用户可以同时打开多个XWF操作同一个案件(也允许多个用户在多个电脑上使用XWF打开某个共享文件夹里面的特定案件)。既然有这个机制,那么我们在自己的电脑上,就可以打开多个XWF或者XWI,分别对同一个案件进行不同的操作。

在开始前,首先需要确认您电脑上的XWF是可以多开的。如果XWF不能多开的话,请在设置里面修改 允许同时运行多个程序(后面是否区分不同的实例不重要):

以2024年美亚杯团体赛检材为例:

在添加完全部检材之后,保存案件,然后打开第二个XWF的实例,并且在新的实例里面直接打开之前创建的案件:

此时弹出:

默认选项即可,也就是使用第二个用户打开案件。打开后可以注意到案件数据区里面标题的不同,这就说明成功使用第二个用户打开了这个案件:

这个时候就很有意思了,我可以在某一个实例里面做磁盘快照,而在另一个实例里面继续通过各种方式分析这个案件里面的检材:

在另一个实例做快照的同时分析:

如果还想开一个实例,记得选择最下面的选项(表示再使用一个新的用户打开案件,避免冲突):

这个时候我还可以在第一个实例浏览文件、第二个实例做磁盘快照的同时,在第三个实例里面进行同步搜索:

目前测试下来,好像只能同时使用三个用户打开,再多一些的话就只能以只读模式打开了。

不过无所谓!只读模式下依旧可以正常进行同步搜索。但是关于磁盘快照,做了之后,这些变更可能无法保存到案件里面,也就是说无法被其他实例共享。

(我同时开了四个窗口来打开这个案件)

说了这么多,可能有些读者还有疑惑,开这么多实例,有什么用呢。如果大家做过美亚杯,应该就能感受到,在比赛中,如果用好了搜索功能,是能减少很多工作量的。在实际工作中,用好同步搜索和磁盘快照,也能大幅减少工作量,并且快速发现一些可能的涉案线索、确定是否存在一些痕迹等。

目前很多取证软件是难以做到在搜索的同时允许用户正常、流畅地浏览分析结果的,而XWF刚好能非常完美地做到这点,所以做题时是可以一股脑把可能涉及答案的选项放到某个实例里面同步搜索、然后在另外的实例里面进行正常分析的——如果搜到了,就赚大了;如果没搜到,不影响正常搜索。

不过,在搜索时,注意分配CPU核心数,尽量不要让同步搜索一次性占用所有资源。

此外还需要注意:

  • 在一个电脑上,如果使用同一个用户开多个实例,普通的加密狗即可;

  • 但是如果是中心化的服务器,用户希望通过不同的用户同时操作这个电脑上的XWF,则需要使用多个加密狗或者使用多用户加密狗,普通的单用户加密狗是不支持多个Windows用户同时打开的。

综合使用XWI提高分析效率

先说XWI的优点:

  • 界面简单(但是基本和XWF一致)

  • 功能相近,无缝切换

  • 文件模式下能直接以各种编码查看数据(如果一直在XWF下使用预览模式,可能会容易崩溃或者无响应,不过该问题在21.0以上的XWF中有所改善,但依旧不能说是完全解决)

  • 新手上手快

重要缺点:

  • 高级功能少一些(尤其是不能将镜像转换为磁盘)

  • 不能查看Hex值

  • 不能导出文件

个人的使用方式是:

  • 复制XWF的安装文件夹,相当于再安装一个

  • 将页面调整为XWI(或者购买单独的XWI):

  • 开一个XWF用于主要分析

  • 再开一个XWI,打开同样的案件,用于快速浏览、分析

  • 如果遇到了需要使用XWF特有功能的场景,切换回XWF继续分析

这样最大的优势就是能直接通过各种编码快速预览文件,速度和稳定性应该是最高的,同时XWI的界面比较干净,用起来也相对更加赏心悦目。

以上方法同样适用于将案件保存到共享文件夹的情况,这样可以由多个分析员在多个电脑上同时分析一个案件。

有XWF相关问题,欢迎后台留言!

DFIR蘇小沐
致力于电子数据取证(数字取证)与事件应急响应实战技术经验分享,计算机取证、手机取证、网络取证与犯罪调查、数据恢复、模糊图像增强、司法鉴定等技术研究【蘇小沐】
 最新文章