X-Ways Forensics法证授权版是功能强大的综合取证分析工具！是基于WinHex开发的功能集成强大的计算机取证、数据分析环境解决方案！集综合取证、快速分析等功能于一身，能够更快更好的恢复已删除的文件，很多其他同类型软件无法搜索到的它都能够很好的找到，并具有更简单方便的操作，也不需要进行复杂的数据库设置，轻松提高效率不在话下，具有简单的用户界面，不管是作为证据文件查看器，还是作为一个案件调查、文件分析、创建报告的强大平台都十分的给力，全新版本，不用安装，不用激活，完美解锁法证授权版功能，简体中文界面更利于使用！

1、免激活，硬核破解BYOD加密狗激活，解锁全部法证授权版功能

2、该软件19.9 版本开始不再采用许可文件，而是采用BYOD加密狗

3、切换简体中文：打开软件后点击菜单 Help -》Setup -》中文

1、X-Ways Forensics包含WinHex的所有基本功能和一些特有功能。具体为：

磁盘克隆和镜像功能，进行完整数据获取

可分析RAW/dd/ISO/VHD/VHDX/VDI/VMDK格式原始数据镜像文件中的完整目录结构，支持分段保存的镜像文件

可读取磁盘、RAIDs以及超过2TB大的镜像文件(超过232个扇区)扇区最大为8KB

内置解析磁盘阵列JBOD、RAID 0、RAID 5、RAID 5EE,RAID 6,Linux软件磁盘阵列、windows动态磁盘以及LVM2逻辑卷管理器。

自动识别丢失的/已删除的分区

支持FAT12,FAT16,FAT32,exFAT,TFAT,NTFS,Ext2,Ext3,Ext4,Next3®,CDFS/ISO9660/Joliet,UDF文件系统

支持扇区叠加分析,例如，即使在数据损坏的情况下，也能通过更正的分区表或文件系统数据结构对文件系统进行完整解析，而不改变原始磁盘或镜像

察看并完整获取内存转储，并能获取虚拟内存中的运行进程

使用多种数据恢复技术，能快速发现需要恢复的数据，并支持碎片级数据恢复

文件头数据库支持GRPE检索

能分析20种不同类型的数据

通过模板查看并编辑二进制数据结构

数据擦除功能，可彻底清除存储介质中残留数据

可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙以及通用文本中的信息

创建证据文件中的文件和目录列表

能够非常简单地发现并分析ADS数据（NTFS备用数据流)

支持多种哈希计算方法(CRC32,MD4,ed2k,MD5,SHA-1,SHA-256,RipeMD,...)

强大的物理搜索和逻辑搜索功能，可同时搜索多个关键词

可以在子目录中反复查看现有文件和已删除的文件

自动用彩色显示NTFS文件结构

书签和注释

能在符合法证要求的Windows FE环境中运行，比如，有限制的分类/查看

非常便携，U盘即插即用，无需安装，支持任何一个操作系统

能与F-Response配合使用，分析远程计算机

...

2、此外:

支持HFS,HFS+/HFSJ/HFSX,ReiserFS,Reiser4,XFS,UFS,UFS2文件系统,APFS

能快速获取磁盘镜像，还提供生成镜像压缩程度的选项

能够读写.e01格式的证据文件，可选择对证据文件进行256位AES加密(注：并非仅仅采用口令保护方式)

能创建Skeleton镜像和Cleansed镜像（更多信息）

能够拷贝相关文件至证据文件管理器文件中，如：可将相关证据文件保存至管理器中，管理并选择性的共享给不同的需求者

完整的案例管理功能

自动创建软件操作日志(审计日志)

数据写保护功能，确保数据真实性

可以任意添加对网盘的远程分析功能（更多信息）

能分析、过滤所有卷影副本（但不包括重复数据），找到快照属性等

点击鼠标即可查看文件列表。轻松浏览文件系统的数据结构，例如，文件记录，索引记录，$LogFile,卷影副本,FAT目录项,Ext*inode等。

支持分区类型:苹果格式，MBR,GPT(GUID),Windows动态卷(MBR+GPT),LVM2(MBR+GPT),未分区(软盘/大容量软盘)

能对Windows 2000，XP，Vista，2003 server，2008 server，Windows 7的本地内存或内存转储进行主内存分析，功能非常强大

显示文件的所有者，NTFS文件权限，对象ID/GUID以及特殊属性

弥补NTFS压缩时所造成的数据丢失和文件雕复时的Ext2/Ext3区分配逻辑

前后目录和多个步骤之间可以快速切换、并可快速导航回到排序选项、过滤器激活（停止）、选择的界面

内置缩略图图片浏览

内置日历浏览

自动进行文件签名、特征比对

内置文件预览功能，支持270种以上文件类型

能够直接从程序中打印相同的文件类型，该程序首页包含所有元数据

能查看Windows事件日志文件(.evt,.evtx),Windows快捷方式文件(.lnk),Windows预读文件,$LogFile,$UsnJrnl,系统还原点change.log,Windows Task Scheduler(.job),$EFS LUS,INFO2,系统还原点change.log.1,wtmp/utmp/btmp登陆信息,MacOS X kcpassword,AOL-PFC,Outlook NK2自动完成，Outlook WAB地址簿,Internet Explorer浏览记录(a.k.a.RecoveryStore),Internet Explorer index.dat历史和浏览器缓存数据库,SQLite数据库例如Firefox历史记录,Firefox下载,Firefox表单历史,Firefox签名,Chrome cookies,Chrome历史归档,Chrome历史,Chrome登陆信息,Chrome网络数据,Safari缓存,Safari feeds,Skype的main.db数据库（包括联系人和文件传输记录,...

在可用空间或虚拟文件中的闲置空间中收集Internet Explorer历史记录和浏览器缓存index.dat

能从各种类型的文件中提取元数据和内部生成的时间戳，例如：MS Office,OpenOffice,StarOffice,HTML,MDI,PDF,RTF,WRI,AOL PFC,ASF,WMV,WMA,MOV,AVI,WAV,MP4,3GP,M4V,M4A,JPEG,BMP,THM,TIFF,GIF,PNG,GZ,ZIP,PF,IE cookies,DMP memory dumps,hiberfil.sys,PNF,SHD&SPL printer spool,tracking.log,.mdb MS Access database,manifest.mbdx/.mbdb iPhone备份,...

记录并追踪已浏览的文件

把源文件链接到外部文件，例如，原文件的翻译版、解密版或更改后的版本

能够分析检查抽取出的电子邮件数据，支持Outlook(PST/OST)注,Exchange EDB,Outlook Express(DBX),AOL PFC,Mozilla(包括Thunderbird),generic mailbox(mbox,Unix),MSG,EML

生成一个功能强大的事件列表，生成该列表的时间戳来自：所有支持的文件系统，操作系统（包括事件日志，注册表，回收站等），文件内容（例如，邮件头，exif时间戳，GPS时间戳，最后打印时间；浏览器数据库，skype聊天记录，通话记录，文件传输记录，创建的账户信息……）

在分析中引入时间的纬度，按照时间顺序展示事件发展延伸的整个过程。在时间线中，事件以图形显示，可方便地查看某活动在哪个时间段活跃，哪个时间段不活跃。只需点击鼠标即可快速过滤某个时间段的事件

拥有基于签名和专门算法的文件类型自动验证功能

可标记文件，并将所标记的文件添加至自定义案件报告中

自动生成HTML格式案件报告，可以用Word查看并编辑

案件报告中可关联文件注释或过滤信息

软件窗口左侧显示目录数结构，能够浏览并标记相关目录及子目录

在扇区视图模式下，可同步显示对应扇区的文件和目录

强大的动态过滤功能，能以文件类型、哈希库、时间、文件大小、注释、报告表等方式组合进行文件过滤

通过递归浏览功能，同时显示所有目录下的文件和删除数据

能从硬盘或者硬盘镜像中复制文件，内容可包含相应文件的完整路径，还可包含或排除文件闲置区域的数据，或将文件闲置区域的数据单独导出或全部导出。

自动识别加密的MS Office和PDF文件

能从其他任何类型的文件中提取几乎任何一种嵌入式的文件（包括图片），从JPEGs和thumbcaches中提取缩略图,从跳转列表中提取.lnk快捷方式,从Windows.edb中提取各种数据,从SQLite中提取浏览器缓存、PLists和表单记录,从OLE2和PDF文档中提取各种数据,...

肤色图片检测功能，(根据肤色比例，以图片集方式排序，加速对儿童色情图片、黑白图片的搜索)

检测黑白或灰度的图片，这可能是扫描到的文件或数字化存储的传真

能检测到可以用OCR识别的PDF文档

能通过MPlayer或Forensic Framer，根据用户自定义的时间间隔，从视频文件中提取静态图像，这样就能在必须查看不恰当或非法内容时大大减少要查看的数据

内置Windows注册表查看器(支持所有Windows版本)，并自动生成注册表报告

能够以目录方式逐级浏览压缩文件中内容

易用的逻辑搜索功能，可在所有文件、选中文件和压缩文件、PDF,HTML,EML,...,等类型文件中进行搜索,可选项有：GREP,用户自定义的“全字匹配”。

强大的搜索及搜索结果预览功能，支持关键字临近的上下文预览。如：可搜索Documents and Settings目录下，最后访问时间为2004年，包含关键词A,B,D的doc和ppt文件

在Unicode和各种代码页中进行搜索和索引

高度灵活的索引算法，并可在索引结果中搜索固定复合词

AND，fuzzy AND，NEAR+和–逻辑运算符组合使用，搜索结果

能将搜索结果导出为HTML，并高亮显示文件内容以及文件元数据

可检测并排除硬盘HPA区域和ATA加密硬盘保护区域，并连续标注

依据内部哈希库，可以快速定位特定类型文件

能够导入NSRL RDS 2.x,HashKeeper和ILook格式的哈希库

可创立用户专用哈希集

能够解压缩整个hiberfil.sys文件和单独的xpress块

X-Tensions API(编程接口)，添加您自己的功能或者现有的功能

无需设置并链接复杂的数据库，避免了竞争产品无法再次打开你的案件的风险

分析外部程序的界面,例如PhotoDNA(for law enforcement only),能识别已知的图片(即使图片以不同格式保存或已经改动)并把图片的类别(“CP”,“relevant”,“irrelevant”)报告给X-Ways Forensics

闪电小编说明：