Программа X-Ways Forensics - это функционально продвинутая программная среда.
Программа работает под Windows 2000/XP/2003/Vista /2008/7, 32 Bit/64 Bit. По сравнению со своими конкурентами программный продукт X-Ways Forensics работает быстрее, не столь ресурсоемкий при наличии мощнейшего функционала.
Клонирование и создание образа диска
Возможность читать разделы и файловые системы в образе Raw(.dd), ISO и VHD
Полный доступ к дискам, RAID массивам и образам, размеры которых превышают 2TB -более 232 секторов с размером сектора до 8KB.
Встроенная интерпретация JBOD, RAID 0 или RAID 5 систем, динамических дисков
Встроенная поддержка FAT12, FAT16, FAT32, ExFAT, TFAT, NTFS, Ext2, Ext3, Ext4,Next3 ®, CDFS/ISO9660/Joliet, UDF
Просмотр и дамп физической памяти RAM, виртуальной памяти запущенных процессов
Различные методы восстановления данных, включая мощный файл карвинг
Актуальная база данных подписи заголовка файла, основанная на GREP
Интерпретатор данных, распознающий 20 типов
Просмотр и редактирование бинарных данных, используя шаблоны
Стирание информации с жесткого диска для создания “стерильной” среды
Обнаружение потерянного пространства (slack space), свободного места и пространства между разделами
Быстрое обнаружение и доступ к NTFS альтернативным потокам данных (ADS)
Расчет хэш значений для файлов различными алгоритмами (CRC32, MD4, ed2k, MD5, SHA-1, SHA-256, RipeMD)
Мощные логические и физические методы поиска данных, используя многокритериальные условия
Рекурсивный обзор всех существующих и удаленных файлов во всех директориях
Автоматическое выделение цветом на основе структуры файловой записи в NTFS
Закладки / аннотации
Работает в WinFE, загружаемой среде Windows
Быстрое создание образа с функцией интеллектуального сжатия
Возможность чтения и записи файла улик EnCase . E01 c поддержкой шифрования 256-bit AES.
Автоматизированное ведение логов
Защита от записи для предотвращения изменения данных
Возможность удаленного анализа дисков в сети (опция)
Дополнительная поддержка для файловых систем HFS, HFS + / HFSJ / HFSX, ReiserFS, Reiser4,UFS1 и UFS2
Поддерживаемые типы разделов: Windows динамические диски (MBR и GPT), Apple поддерживаются в дополнение к MBR, GPT (GUID разделов), а также неразмеченный раздел
Возможность копирования соответствующих файлов в файл-контейнеры с уликами, где они сохраняют почти все свои оригинальные метаданные файловой системы.
Очень мощный анализ основной памяти RAM или дампов памяти в Windows 2000, XP, Vista, 2003 Server, 2008 Server, Windows 7
Показывает владельцев файлов, права доступа NTFS файлов, идентификаторы объектов / GUID, специальные атрибуты
Удобная навигация по директориям
Возможность просмотра картинок, календаря
Предварительный просмотр файла: возможна поддержка 270 типов файлов
Помечает файлы, которые были уже просмотрены в ходе процесса исследования
Предусмотрена возможность исследования Outlook (PST, OST), Exchange EDB, Outlook Express (DBX), Mozilla (включая Thunderbird), AOL PFC, ящик (mbox, Berkeley, BSD, Unix), Eudora, PocoMail, Barca, Opera, Forte Agent, The Bat!, Pegasus, PMMail, FoxMail, папки почтовой директории (локальные копии)
Автоматическая проверка типов файлов на основе сигнатур и специальных алгоритмов
Возможность помечать файлы и добавлять их в отчет
Создаваемые автоматизированные отчеты могут быть импортированы в приложения, которые понимают HTML, например, такие как MS Word
Синхронизация секторов со списком файлов или каталогом
Мощные динамические фильтры, основанные на типах файлов, наборах хэшей, метках.размеров файлов, комментариях, табличного отчета, содержащего критерии поиска.
Автоматическое определение зашифрованных файлов MS Office и PDF
Автоматическое нахождение картинок, содержащихся в документах (например, MS Office, PDF)
Функция определения цвета кожи ускоряет поиск, например, детской порнографии
Возможность извлечения фотографий из видео файлов в определенные пользователем интервалы времени, используя MPlayer или Forensic Framer, чтобы значительно уменьшить объем обрабатываемых данных
Встроенная программа для просмотра файлов реестра Windows (все версии Windows) с настраиваемыми пользовательскими отчетами.
Встроенная программа для просмотра журналов событий Windows, файлы (. evt. evtx), файлы-ярлыки (. lnk-файлы), Windows Prefetch файлы, $ LogFile, $ UsnJrnl, точки восстановления change.log
Извлекает метаданные и внутренние метки создания различных типов файлов: MS Office, OpenOffice, StarOffice, HTML, MDI, PDF, RTF, WRI, AOL PFC, ASF, WMV, WMA, MOV, AVI, WAV, MP4, 3GP, M4V, M4A, JPEG, BMP, THM, TIFF, GIF, PNG, GZ, ZIP, PF, IE cookies, DMP –дамп пямяти, hiberfil.sys, PNF, SHD & SPL printer spool, tracking.log
Список содержимого архивов непосредственно в каталоге браузера
Логический поиск в выбранных файлах/директорий, только после фрагментированные цепочки кластеров, в сжатых файлах, декодирования текста в PDF, XML
Гибкий алгоритм индексации, поддерживающий составные части слов
Логический поиск ,используя оператор “and”
Обнаружение областей (HPA), также известное как ATA-защищенные области
Возможность импорта NSRL RDS 2.x, HashKeeper, ILook наборов хэшей
Создание собственных наборов хэшей
Возможность распаковки всех файлов hiberfil.sys
X-Tensions API – добавление собственного функционала или автоматизация существующего
Возможность использовать сторонние программы для анализа картинок, например, DoublePic