第二章   创建案件

本说明中所有图片均出自X-ways Forensics 13.8 版。
 
一、创建新案件

开始数据分析，首先要创建案例，并将需要分析的存储介质或者镜像文件加载到案例中。X-ways Forensics软件本身不会使数据内容产生变化。

在案件数据对话框中，可输入案件名称、案件描述、调查员、机构地址等辅助信息。案件名称应使用英文或数字，否则案例日志和报告中无法出现屏幕快照图片。

为保障数据分析中显示的时间正确，需在显示时区中设置正确的时区信息。

案件创建日期将由X-ways Forensics依据系统时钟自动创建。请确保当前计算机系统时间设置准确。
 

二、添加数据

创建案件后，需要添加所需获取/分析的目标。可以添加物理存储设备，如磁盘、光盘、USB移动存储设备等，也可添加E01、DD磁盘镜像，以及X-ways 自有的证据文件格式。

三、创建磁盘镜像

创建磁盘镜像，需在扇区察看方式下，选择菜单中  | 文件| 创建磁盘镜像|。

        
选择镜像文件格式，如E01磁盘镜像，并指定保存位置。

创建镜像文件过程中，将显示复制进度。

操作结束，将生成TXT格式操作日志，包含如磁盘参数、MD5值等信息。