X-Ways Forensics 入门教程

创建镜像文件过程中，将显示复制进度。

操作结束，将生成TXT格式操作日志，包含如磁盘参数、MD5值等信息。

第三章 基本操作

一、浏览所有文件

如果需要显示当前驱动器下所有文件，使用鼠标右键单击驱动器图标，选择右键菜单中的展开目录。文件浏览器中将显示所选驱动器下所有文件列表。 取消全部文件显示模式，使用鼠标左键单击驱动器图标。

二、文件浏览器菜单说明

过滤漏斗：过滤选项，灰色时表示未启用；蓝色时，表示应用了相应的过滤设置。本例中，由于对文件名称栏目进行了过滤操作，文件名称旁边出现了一个“蓝色漏斗”。

窗口文件数量：位于右上角，表示当前窗口显示出的文件数量及总计文件数量。本例中，由于应用了过滤操作，窗口右上角数字含义为：应用过滤后，有170份文件符合过滤要求，有686份文件被过滤掉。如果没有使用过滤，此处仅显示文件总数量，即856份文件。

选择文件数量：位于右下角，表示当前窗口选择的文件数量及容量。本例中，选择了5份文件，总计容量117KB。

文件标记：文件名称前面的小方框为标记选框。可以手工为文件逐一添加标记，也可以通过鼠标右键中标记命令为所有选择的文件添加标记。

注：对指定文件的导出、添加注释、添加报告分类、创建哈希集，均可通过鼠标右键来实现。 磁盘快照时间：磁盘快照是X-ways Forensics的一个重要功能，用于对当前驱动器中的所有数据进行快速解析，如计算哈希值、分析丢失数据、拆解压缩文件和电子邮件、加密文件检测等。当对当前使用的物理磁盘进行分析时，如C盘，磁盘的数据可能会随时发生改变，因此需要更新磁盘快照来保证案件中使用最新的数据。本例中，“20分钟前”表示当前案件数据是20分钟前制作的。可以通过F10更新磁盘快照。 三、更改文件浏览器显示内容

文件浏览器显示内容可以根据实际需要进行调整。通过Ctrl+F5，或菜单中|选项|目录浏览器|，调用目录浏览器过滤设置对话框。