第四章   磁盘快照

本说明中所有图片均出自X-ways Forensics 13.8 版。
 
创建案件，载入E01证据文件后，一般应首先进行磁盘快照。由于磁盘快照过程将会把案件中的所支持的压缩文件、电子邮件及附件、删除的数据解开及恢复出来，古经快照处理后得到的数据要比未进行磁盘快照的文件数量多。此时进行过滤和搜索，会得到更准确的结果。

    每个任务前面的方框，经选取后显示绿色对勾。

    每个任务后面的方框，表示完成状态。绿色对勾表示全部完成；实心绿框表示已完成了部分，但尚未全部完成。

    开始进行磁盘快照，选中相应的选项，点击确定即可。

    任务说明：

    依据文件系统搜索并恢复目录及文件：将当前磁盘中的删除、丢失文件全部恢复。

    通过文件签名搜索并恢复文件：根据文件签名值搜索特定类型格式文件，如：可以仅搜索并恢复doc格式文件。

    计算哈希值：自动计算所有文件的哈希值。目录、0字节文件没有哈希值。算法支持MD5、SHA-1、SHA-256。

    依据哈希库对比哈希值：如果已经拥有完整的哈希库，可在计算文件哈希值过程中，将哈希值与哈希库中值比对，以确定文件哈希分类。例如，通过此选项排除已知的Windows系统文件。

    依据文件签名校验文件真实类型：可判断doc、jpg格式文件是否被改名或伪装。

    分析ZIP和RAR等压缩文件中的数据：将压缩文件释放，并以虚拟目录形式浏览。

    导出电子邮件正文和附件：拆解电子邮件，将邮件正文与附件以虚拟形式显示。

    查找嵌入在正文内的图片：可以将WORD、PPT等复合文件中的图片抽取出来。

    肤色图片和黑白图片检测：用于检测包含人体肤色特征的图片和其他黑白文字图片。

    加密文件检测：用于检测特定类型加密文件，如加密的DOC、XLS文件。首先，通过熵值检测，自动对大于255 字节的文件进行检测。如果熵值超过设定值，文件属性标记为"e?" ，表明应仔细检查该文件。例如：PGP Desktop, BestCrypt 或DriveCrypt 加密文件。熵值检测不适用于ZIP, RAR, CAB, JPG, MPG 和SWF 等文件。其次、可检测特定类型加密文件，如doc (MS Word 4至2003版)，xls (MS Excel 2至2003版)，ppt和pps (MS PowerPoint 97-2003)，mpp (MS Project 98-2003)，pdf (Adobe Acrobat)。如果为加密文件，文件属性显示 "e!" 。

    更新快照：将当前案件中磁盘数据保持最新状态。更新快照后，上述所有操作及搜索记录等将全部被清空。

        完成磁盘快照之后，如右图显示案件中数据增多，这时才能继续进行过滤、搜索等操作。