在前几天发布的20.9 Beta版中,X-Ways添加了一项个人认为比较重要的功能——E01镜像的现代压缩功能。启用此选项后,X-Ways制作的镜像将使用新的压缩算法对原始数据进行压缩,镜像速度更快,得到的镜像文件更小,后续的数据随机读取速度更快。经过测试,启用此选项得到的E01镜像体积确实要小于之前的版本X-Ways制作的镜像。新的镜像格式只有20.9及后续版本的X-Ways才能识别,且EnCase、FTK等其他软件暂时也无法识别。如果制作镜像后续不需要与他人进行交换,X-Ways… 取证杂谈 1 year 6 months ago
电子数据取证时间问题之filetime时间戳手工解析 取证杂谈 1 year 7 months ago filetime时间戳是Windows中使用最广泛的时间格式,回收站中记录的文件删除时间,快捷方式文件中记录的文档打开时间,都是这种格式。
电子数据取证时间问题之时间是怎么存储的? 取证杂谈 1 year 8 months ago 取证要解决的无非是弄清楚什么人在什么时间在什么地方做了什么事,也就是4W(Who,When,Where,What)问题。
X-Ways Forensics处理Linux软RAID 取证杂谈 2 years 1 month ago 第八届全国取证赛马上就要开始了,不少人都在摩拳擦掌积极备赛。今天突然有人问我Linux 软RAID的相关问题
发现每年的美亚杯出题团队都挺喜欢用X-Ways的[呲牙]今年的检材中,出现了两个xmet文件,说明出题人自己用X-Ways加载镜像验证过[调皮]为了提高E01文件的加载速度,X-Ways会自动在镜像文件所在目录或案例目录(取决于设置)中生成xmet格式的文件保存E01镜像的元数据 取证杂谈 3 years 1 month ago 发现每年的美亚杯出题团队都挺喜欢用X-Ways的[呲牙]今年的检材中,出现了两个xmet文件,说明出题人自己用X-Ways加载镜像验证过[调皮]为了提高E01文件的加载速度,X-Ways会自动在镜像文件所在目录或案例目录(取决于设置)中生成xmet格式的文件保存E01镜像的元数据
Windows11要求硬件必须有TPM2.0,以后Windows很可能也会和Android、iOS、macOS一样全盘加密。对普通用户来说,系统更安全了,对取证工作者来说,却喜忧参半。 取证杂谈 3 years 5 months ago