法证产品

德国X-Ways软件公司产品

X-Ways Forensics

    X-Ways Forensics 是德国X-ways公司最著名的计算机法证工具，为计算机法证人员提供的一个功能强大的、综合的取证、分析环境。它可与 WinHex 软件紧密结合，也被称为WinHex法证版。 X-Ways Forensics 包含WinHex软件的所有基本功能，并增加了很多特有功能。

• 磁盘克隆和镜像功能，可在 DOS 环境下使用 X-Ways Replica ，进行完整数据获取
• 可分析 RAW/dd 格式原始数据镜像文件中的完整目录结构，支持分段保存的镜像文件
• 支持 FAT, NTFS, Ext2/3/4, CDFS, UDF文件系统
• 支持对磁盘阵列RAID 0、RAID 5和动态磁盘的重组、分析和数据恢复
• 可读取大于2TB的磁盘、RAIDs和镜像文件
• 察看并完整获取 RAM 和虚拟内存中的运行进程
• 多种数据恢复功能，可对特定文件类型恢复
• 文件签名数据库，易于使用的 GREP 功能
• 数据擦除功能，可彻底清除存储介质中残留数据
• 可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙中信息
• 创建证据文件中的文件和目录列表
• 能够非常简单地发现并分析ADS数据（NTFS alternate data streams)，这些数据有时 Encase 5.05 和 ILook 也无法检测。
• 支持多种哈希计算方法 (CRC32, MD5, SHA-1, SHA-256, ...) 
• 区别于其他竞争产品，不唯一依靠MD5算法 (MD5碰撞)
• 强大的物理搜索和逻辑搜索功能，可同时搜索多个关键词
• 自动色彩显示NTFS文件结构
• 书签和注释
• ...

更多信息  

 X-Ways Investigator

    X-Ways Investigator是一个为执法部门、私人调查机构提供的强大的案件调查、文件分析，汇总报告的平台。本软件主要提供给其他非计算机法证专业人士（这些专业人士通常是各个领域的权威专家，但计算机知识可能不足），用于财务、反洗钱、反贪污、刑事、色情等案件调查。

    X-Ways Investigator基于 X-Ways Forensics 软件开发，精简了用户界面，为非计算机专业人士去除了一些复杂的技术选项。

 更多信息  

X-Ways Trace

    一个专业的计算机取证分析工具，允许对某特定计算机中的浏览器上网记录信息和Windows回收站的删除记录进行追踪和分析。

    可对 Internet Explorer 的互联网历史记录文件 index.dat 进行分析，显示出完整的URL链接、最后访问的日期、时间、用户名、文件大小、文件扩展名等信息。允许以多种方式进行排序。可读取一个或多个文件，也或对目录进行全面搜索，发现指定文件。此外，还可以对整个硬盘（或硬盘镜像）分配空间、空余空间和残留区域中，搜索出上网痕迹。

    同时，X-Ways Trace还可以对 Mozilla/Firefox 浏览器的历史文件 "history.dat" ， Opera 浏览器的缓存文件 "dcache4.url" 进行分析处理。

    所有由X-Ways Trace 生成的信息可以输出到 MS Excel 中。...

下载演示版  更多信息

Davory

    Davory 能够从被逻辑破坏或被格式化的磁盘中恢复被删除的文件，它具有 WinHex 的数据恢复能力，主要突出了简单易用性。

    软件提供了两种独立的、全自动数据恢复方法，为你带来更多、更大的恢复几率。一种方法对于所有类型文件，另一种专门针对JPG, PNG, GIF, TIFF, BMP, MS Word/Excel/PowerPoint (DOC/XLS/PPS/...), RTF, MS Access (MDB), PostScript (EPS), Acrobat (PDF), Quicken (QDF), HTML, XML, DBX, PST, CAD (DWG), PSD, ZIP, GZ, RAR, RIFF (WAV, AVI), Real Audio/Media (RA, RAM, RM), Quicktime (MOV), Windows Media (ASF) 和 MPEG (MPG)，对 FAT12, FAT16, FAT32, 和 NTFS 支持较好。

   Davory不只支持对硬盘、软盘、CD和DVD进行数据恢复，还可支持CF卡、SM卡、记忆棒等等。Davory 能够对某种类型的文件进行恢复，如JPEG或MSOffice文件，也可以对特定文件名进行恢复，如 Invoice*.doc。只需点击几下鼠标即可完成恢复工作。非常方便和快捷。
 

下载演示版本  更多信息  

X-Ways Security

    数字时代的碎纸机。 如果需要保护公司、机构中的各种保密信息，或者需要保护个人的隐私信息，X-Ways Security 专业数据擦除工具是一个非常好的选择。为达到最大程度的安全性，X-Ways Security提供了多达9种的数据擦除方法和美国国防部5220.22-M 操作手册中指定的(DoD)硬盘擦除标准。

• 彻底删除指定的机密文件，确保无法恢复。
• 擦除空余空间，清除残留区，消除删除文件后遗留的敏感数据，如暂存文件等。
• 清除原来使用过的可能包含有文件名称和其他信息的 NTFS 文件记录。
• 彻底擦除逻辑驱动器或物理驱动器，可用于清除存储介质中的原有信息，以便于在不同环境下重新用于数据获取，满足取证需求。
• 下载数据安全可靠: 拷贝机密数据，无需担心残留区问题。...

下载演示版本  更多信息  

Evidor

    Evidor 是一套证据收集软件，专为律师、律师事务所、法律和IT安全部门、私人调查机构、执法部门的需求而设计。

功能

    Evidor 能够在硬盘中搜索特定关键字，并显示这些字符在计算机存储介质中出现的频率及位置。它不仅在现有可见文件（已分配空间，包括Windows交换文件等）中搜索，同时还可以在未分配空间、残留区中进行搜索。这意味，Evidor 甚至可以从被删除的（未被覆盖的、物理上还存在的）文件中发现数据。注：Evidor无法访问远程网络硬盘。

电子证据获取和发现

    所有调查员、律师都可以利用 Evidor 简单、方便地查找并收集电子证据。Evidor 同时是在民事案件中，一方对另一方计算机进行调查的最简便工具。 Evidor 可以作为现场使用的，电子证据发现工具，而且不会泄漏无关信息、保密信息，不会给当事人增添人员、时间和费用等额外负担。Evidor 软件就像一个自动的取证分析员，帮你节省了人工分析的大量时间。Evidor 软件功能强大，搜索速度快，能针对诉讼需求，提供可信赖的、可重现的、中立的、简单明确的结果。 

IT 安全部门

    Evidor 同时也是一个非常优秀的工具软件，它可以证明计算机存储介质中是否包含保密信息，检测并发现是否存在安全漏洞。 利用Evidor，你可以发现一些本应加密的、安全删除的、不应继续存在的残留数据，有些甚至是完整的原始数据。 

更多信息

X-Ways Replica

文X-Ways Replica是一个基于DOS环境下的磁盘克隆工具，随Evidor和X-Ways Forensics一同销售。

更多信息  

X-Ways Captures

    X-Ways Captures是一套专业的计算机取证工具，用于在证据采集阶段，获取正在运行的Windows 和 Linux 系统下数据。 X-Ways Capture 将正在运行状态下计算机中的所有数据采集到外置USB硬盘中，这样，在目标系统被获取的当时，一些处于解锁状态下的、原来被加密保护的数据，可以被成功获取下来。 当你发现某些硬盘数据被加密时，可以利用 X-Ways Capture数据获取软件，配合热插拔移动硬盘，制作硬盘镜像，避免徒手而归! 此外，你可以利用X-Ways Capture 软件所获取的内存数据中发现有价值的口令信息。

• 通过多种方法搜索已知或未知加密软件，并生成报告。
• 检测发现活动状态的 ATA 加密硬盘保护。
• 获取物理内存和虚拟内存中所有正在运行的进程。
• 完整获取当前系统所有的存储介质，可以以raw images 或.e01证据文件格式保存(物理镜像获取)。即可以强行采用此种获取方式，也可根据软件对加密方式的自动检测结果决定采用何种拷贝方法。
• 将所有磁盘、目录下的可读文件拷贝至目标磁盘 (逻辑拷贝)，即可以强行采用此种获取方式，也可根据软件对加密方式的自动检测结果决定采用何种拷贝方法。 
• 所有执行步骤和配置可由用户预先自定义，并可以随时启用或停止。
• 用户可自行添加、扩充 X-Ways Capture 软件所能检测的加密软件种类。
• 软件工作同时自动创建操作日志。

    如果当前系统内驻留有加密软件，如PGP Desktop 、BestCrypt 等软件，X-Ways Capture可以根据加密程序的名称和以及文件签名把它们检测出来。加密后的虚拟磁盘，当前可能正处于解锁状态，逻辑盘符可见，因此可以利用?#36923;辑拷贝?#26041;式，成功地将加密的文件拷贝出来。利用同样方法可以解决NTFS/EFS加密文件。对于一些专用硬盘加密软件，如 SecureDoc、CompuSec等，X-Ways Capture软件可以被自动检测出来。如果系统当时处于解锁状态，可以采用物理镜像方式成功获取未加密硬盘数据。

更多信息

F-Response

   通过与X-Ways Forensics软件配合，可对企业局域网内的任意一台或所有计算机进行调查，实现在线分析和取证。F-Response可以利用调查员计算机直接访问远程计算机中的磁盘，并可将物理硬盘显示在X-Ways Forensics软件当中。F-Response 完全以只读方式连接硬盘，不会造成远程计算机数据改动。

    使用F-Response需要单独的软件锁。 目前该软件分三个版本：

    Field Kit: 一次可以分析一台远程计算机，软件锁需要插在远程计算机上。
    Consultant: 利用一个软件锁可以同时分析多台计算机。
    Enterprise: 没有界面，用于企业中所有计算机，脚本方式安装

更多信息

Winhex

著名的十六进制编辑器，国内外使用者极多。具有磁盘编辑、内存数据编辑、数据恢复等多种功能。目前有个人版、专业版、专家版、法证版等。

更多信息