第五章   过滤

本说明中所有图片均出自X-ways Forensics 13.8 版。
 
在X-ways Forensics 中，可方便地对各种类型的数据文件进行过滤操作。

一、按文件名称过滤

    可以使用通配符，针对特定文件名称进行过滤。如搜索“*.DOC，*.HTM，收件箱*”等。使用通配符时，不能出现2个*。此种过滤方式，适用于对文件名，及单一文件类型过滤。速度快，准确率高。

    例：如果需要查找文件内容包含“陈立康”的Word文件，可首先过滤出*.DOC文档，然后全选、标记，并在标记文件中搜索关键词“陈立康”即可。

二、按文件类型过滤

可按照设定的文件分类，对不同类型的文件进行过滤。通过此过滤方式，可以容易地将办公文档、图形图像、压缩文件，以及各种重要数据，如注册表文件、互联网历史记录、回收站文件、打印池、Windows交换文件、日志等，快速过滤出来。

文件过滤类型可以自定义扩充与修改。文件名为：File Type Categories.txt。最新文件类型过滤文件www.china-forensic.com/xways/downloads/FileType.rar。

    使用方法：选择相应文件类型，点击激活。过滤前，应在磁盘快照中选择依据文件签名校验文件真实类型，才能够判断出文件的真实类型。

三、按签名状态过滤

进行完整磁盘快照后，X-ways可依据文件签名检测每一个文件的签名信息是否匹配。如果文件扩展名被改变，签名状态将显示为签名不匹配。通过选择过滤选项中的文件签名显示状态，可发现签名匹配、不匹配的文件。

缺省状态下，文件显示为“签名未校验”。通过文件签名校验文件类型后：如果文件非常小，状态被显示为“无关的”；如果文件扩展名和文件签名都未知，状态被显示为“不在列表中”；如果文件签名和文件扩展名一致，状态被显示为“签名匹配”；如果文件扩展名正确，但文件签名未知，状态显示为“签名未确认”；如果文件签名和文件扩展名不匹配，或没有文件扩展名，状态显示为“签名不匹配”。

三、按文件大小过滤

根据文件的实际大小过滤，不包含残留区数据。

   第一选项，用于设定小于一定容量文件，如可查找小于1.2MB的文件；

   第二选项，用于设定大于一定容量的文件，如可查找大于3.4KB的文件。

   两个选项同时使用，用于设定一定容量大小之间的文件。

四、按文件时间过滤

    创建时间：当前磁盘中的文件和目录的创建时间。

    修改时间：当前磁盘中文件和目录最后修改后的时间。

    访问时间：但前磁盘中文件和目录的最后读取或访问的时间。

    记录更新时间：NTFS或Linux文件系统中，文件和目录的最后修改时间。这是包含于文件元数据中的文件系统数据结构。

    删除时间：Linux系统下文件和目录的删除时间。

四、按文件属性过滤

A = 文档     R = 只读

H = 隐含     S = 系统

P = 连接点

C = 文件系统级压缩

c =  ZIP, RAR等文件中压缩

E = 文件系统级加密

e =  ZIP, RAR中加密文件

e? = 可能是压缩或加密的