第三章   基本操作

本说明中所有图片均出自X-ways Forensics 13.8 版。
 
一、浏览所有文件

如果需要显示当前驱动器下所有文件，使用鼠标右键单击驱动器图标，选择右键菜单中的展开目录。文件浏览器中将显示所选驱动器下所有文件列表。

取消全部文件显示模式，使用鼠标左键单击驱动器图标。

二、文件浏览器菜单说明

过滤漏斗：过滤选项，灰色时表示未启用；蓝色时，表示应用了相应的过滤设置。本例中，由于对文件名称栏目进行了过滤操作，文件名称旁边出现了一个“蓝色漏斗”。

窗口文件数量：位于右上角，表示当前窗口显示出的文件数量及总计文件数量。本例中，由于应用了过滤操作，窗口右上角数字含义为：应用过滤后，有170份文件符合过滤要求，有686份文件被过滤掉。如果没有使用过滤，此处仅显示文件总数量，即856份文件。

选择文件数量：位于右下角，表示当前窗口选择的文件数量及容量。本例中，选择了5份文件，总计容量117KB。

文件标记：文件名称前面的小方框为标记选框。可以手工为文件逐一添加标记，也可以通过鼠标右键中标记命令为所有选择的文件添加标记。

注：对指定文件的导出、添加注释、添加报告分类、创建哈希集，均可通过鼠标右键来实现。

磁盘快照时间：磁盘快照是X-ways Forensics的一个重要功能，用于对当前驱动器中的所有数据进行快速解析，如计算哈希值、分析丢失数据、拆解压缩文件和电子邮件、加密文件检测等。当对当前使用的物理磁盘进行分析时，如C盘，磁盘的数据可能会随时发生改变，因此需要更新磁盘快照来保证案件中使用最新的数据。本例中，“20分钟前”表示当前案件数据是20分钟前制作的。可以通过F10更新磁盘快照。

三、更改文件浏览器显示内容

    文件浏览器显示内容可以根据实际需要进行调整。通过Ctrl+F5，或菜单中|选项|目录浏览器|，调用目录浏览器过滤设置对话框。

    设置显示宽度：

数字=0，表示不显示该栏目

数字>0，表示该栏目实际显示的宽度

    本例中，文件名称栏目宽度为176点，文件类型栏目为65点，路径等项目为0，表示不显示。

    当需要显示更多未列出的栏目，如路径、哈希值等，可将该栏目数值从0更改为50。数值可暂时设定，之后可利用鼠标将栏目调整至满意宽度。如需隐藏某栏目，将该数值更改回0即可。

四、过滤

当使用某过滤条件时，例如：对文件名进行过滤，查找所有DOC文档，只需点击文件名称右侧的漏斗，输入过滤条件*.DOC，点击激活即可显示过滤结果。文件名过滤支持多语种字符。如需取消某过滤条件，点击禁用即可。

   五、图例说明

  在文件浏览器中，会有一些不同的文件及图标显示方式，具体含义可以对照图例说明察看相应说明。

本例中，password-123456.doc显示为绿色，文件属性为e!A，对照图例说明，可知该文件为加密文件。当对该文件添加注释后，文件名后显示出一个红色三角。15.DOC文件类型显示为蓝色JPG，表示该文件为签名不匹配文件。

通过“磁盘快照”功能，可将当前案件中所有这些类别的文件判断出来。

   六、文件预览

   X-ways内置了强大的文件察看器，可以支持400种以上文件格式的查看。点击预览，即可逐一察看文件内容。

   
如果还没有对案件数据进行磁盘快照，当浏览文件时，X-ways将自动对文件签名、加密等状态进行检测。