x-ways forensics

磁盤克隆和鏡像功能，進行完整數據獲取

可分析 RAW/dd/ISO/VHD/VMDK 格式原始數據鏡像文件中的完整目錄結構，支持分段保存的鏡像文件

支持磁盤，RAID,扇區大小為8KB最大2TB的鏡像的完全訪問

支持對JBOD、RAID0、RAID 5、RAID 5EE, RAID 6, Linux軟RAID, Windows動態磁盤和LVM2等磁盤陣列

自動識別丟失/刪除的分區

支持FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDF文件系統

無需修改原始硬盤或鏡像糾正分區表或文件系統數據結構來解析文件系統

察看並獲取 RAM和虛擬內存中的運行進程

多種數據恢復功能，可對特定文件類型恢復

基於GREP符號維護文件頭簽名數據庫

支持20種數據類型解釋

使用模板查看和編輯二進制數據結構

數據擦除功能，可徹底清除存儲介質中殘留數據

可從磁盤或鏡像文件中收集殘留空間、空餘空間、分區空隙中信息

創建證據文件中的文件和目錄列表

能夠非常簡單地發現並分析ADS數據（NTFS交換數據流)

支持多種哈希計算方法 (CRC32, MD4, ed2k, MD5,SHA-1, SHA-256, RipeMD...)

強大的物理搜索和邏輯搜索功能，可同時搜索多個關鍵詞

在NTFS卷中為文件記錄數據結構自動加色

書籤和註釋

可以運行在Windows FE中等Windows環境

配合F-Response可進行遠程計算機分析

具有智能壓縮功能的高效磁盤鏡像

能夠讀取、創建.e01 證據文件，可對證據文件進行 256位AES加密

完整的案例管理功能

自動創建軟件操作日誌 (審計日誌)

數據寫保護功能，確保數據真實性

在網絡環境中具有遠程磁盤分析能力

支持 HFS, HFS+/HFSJ/HFSX, ReiserFS, Reiser4, XFS, UFS, UFS2文件系統

鼠標點擊即可生成一個基本的文件列表，可通過列表導航到已定義的文件系統數據結構，如：文件記錄，索引記錄，$LogFile，卷影複製，FAT目錄項，Ext節點，嵌入文件等

支持分區類型：蘋果格式MBR, GPT(GUID), Windows動態卷(MBR+GPT), LVM2 (MBR+GPT), 未分區 (軟盤/大容量軟盤)

Windows 2000, XP, Vista, 2003 Server, 2008 Server, Windows 7下的內存和內存鏡像分析

顯示文件所有者，NTFS文件權限，對象ID/GUID和特別屬性

NTFS壓縮效應補償和Ext2/Ext3塊分配邏輯

內置文件預覽功能，支持270種以上文件類型

查看Windows事件日誌文件（.EVT，.EVTX），Windows快捷方式（.LNK）文件，Windows預讀取文件，$LogFile, $UsnJrnl,還原點change.log，Windows任務計劃程序（.job），$EFS LUS， INFO2，還原點change.log.1，wtmp/utmp/btmp log-in records登錄記錄，MacOS X系統kcpassword，AOL-PFC，OutlookNK2自動完成文件，Outlook的WAB地址簿，IE瀏覽器travellog（又名RecoveryStore），IE瀏覽器index.dat歷史記錄和瀏覽器緩存數據庫，SQLite數據庫，如Firefox瀏覽歷史，Firefox下載，Firefox表單歷史，Firefox插件，Chrome的cookie，Chrome歷史歸檔，Chrome歷史記錄，Chrome登錄數據，Chrome網頁數據，Safari瀏覽器緩存，Safarifeeds，Skype聯繫人和文件傳輸的main.db數據庫等等

能夠收集IE瀏覽器的歷史和那些漂浮在空中或閒置空間在虛擬單個文件瀏覽器緩存中的index.dat記錄

提取元數據，並從各種文件類型的內部創建時間戳，並允許通過他們過濾，如MS Office，OpenOffice，StarOffice，HTML，MDI，PDF，RTF，WRI，AOL，PFC，ASF，WMV，WMA，MOV，AVI，WAV， MP4，3GP，M4V，M4A，JPEG，BMP，THM，TIFF，GIF，PNG，GZ，ZIP，PF，IEcookies，DMP內存轉儲，hiberfil.sys，PNF，SHD和SPL打印機後台的Tracking.log， MDB，MS Access數據庫，manifest.mbdx/.mbdb iPhone備份，...

能夠分析檢查抽取出的電子郵件數據，支持Outlook (PST/OST)注, ExchangeEDB, Outlook Express(DBX), AOL PFC, Mozilla(包括 Thunderbird), generic mailbox (mbox, Unix), MSG, EML

以縮略圖方式預覽圖片

自動生成HTML格式案件報告，可以用Word查看並編輯

在扇區視圖模式下，可同步顯示對應扇區的文件和目錄

強大的動態過濾功能，能以文件類型、哈希庫、時間、文件大小、註釋、報告表等方式組合進行文件過濾

導出案件文件時，可包含並創建相應文件的原始路徑，還可包含或排除文件殘留區數據，或將文件或殘留區數據單獨導出。

自動識別加密的MS Office 和PDF文件

可以從任何其他類型的文件中提取幾乎任何一種嵌入式文件（包括圖片），從JPEG和縮略圖緩存中提取縮略圖，從跳轉列表中提取.lnl快捷方式，從Windows.edb、瀏覽器緩存中提取各種數據，，從SQLite數據庫表中提取PLists，從OLE2和PDF文檔中的提取雜項元素等等

膚色圖片檢測功能，(根據膚色比例，以畫廊方式排序，加速對色情圖片、黑白圖片的搜索)

黑白或灰度圖片檢測

可被OCR的PDF文檔檢測

可根據用户定義的時間間隔從視頻文件中提取靜態圖片

內置 Windows 註冊表查看器(支持所有 Windows 版本)，並自動生成註冊表報告

可查看Windows 事件日誌文件

能夠以目錄方式逐級瀏覽壓縮文件中內容

可在所有文件、選中文件和壓縮文件、PDF, HTML, EML, ..., 等類型文件中進行搜索

在Unicode和各種代碼頁進行搜索和索引

使用AND,AND, NEAR, + 、- 等邏輯操作符進行搜索

可檢測硬盤HPA區域(host-protected areas )和ATA加密硬盤保護區域

依據內部哈希庫，可以快速定位特定類型文件

能夠導入 NSRL RDS 2.x, HashKeeper 和ILook格式的哈希庫

可創立用户專用哈希集

能夠解壓縮整個的hiberfil.sys文件和單獨塊 ^[2]