Final Data 3.0 专业版与 X-Ways forensics 15 数据恢复效果测试

阅读最佳图文效果全文>>

这两天测试FinalData 3.0专业版的过程中，忽然想到了以前一直希望做的一件事，就是对比一下各个数据恢复软件、法证工具的各自优势。因此利用1GB的一个U盘作了一个测试， 保存了一些文件，在全部删除，分别利用FinalData 3.0专业版和X-Ways Forensics 15.2进行恢复，看看那个软件恢复的效果好。
不过，利用X-Ways Forensics和Finaldata比较，实在有些不够公平。FinalData只是一个几千元的民用小软件，只是进行数据恢复的，而X-Ways Forensics是专业的法证软件，法证功能强出不少。不过，好在这个测试只是对数据恢复功能的，别的功能暂不比较。等下次有时间，把 FinalForensics 3.0和X-Ways Forensics好好比较一下，再和Encase 6比较一下，看看其他方面的差别。
现在，看看我的测试结果吧。

1、在这个测试中，为了比较两个软件对删除文件、删除目录的恢复效果，我在u盘中复制了几个目录和一些文件。其中包含有word文档、excel文档、 jpeg图片、outlook express电子邮件等。同时为了比较对丢失文件的恢复功能，没有全部擦除u盘，因此原来的盘中还包含一些图片、视频、写字板文件。通过下图，可以看到 Finaldata 3.0专业版找到的文件和原始的目录结构。

2、同时利用Finaldata 3.0和X-Ways Forensics对该盘进行扫描，发现到丢失的目录和文件。两个软件发现的目录和文件完全相同。原始目录名丢失，无法恢复，但目录中的文件名称均可正常 显示。FinalData 能够以原始图标显示各种文件，看上去效果比X-Ways Forensics好一些。

3、转至另外一个丢失的目录，即196936目录，数据仍然一样。

4、在本例中，Excel文件共有6份，两个软件全部成功恢复。

5、对于pdf文件恢复，FinalData恢复回5个文件，而X-Ways Forensics 恢复回6个。经查看，X-Ways Forensics多恢复的文件中，有一个文件无法察看。其余文件均相同。

6、比较有意思的是对Word文件的恢复了。下面我们好好看一看。
通过下图，我们可以看到X-Ways Forensics软件正在预览显示一个Word文件，内容为案例文件说明。在X-ways Forensics中，这个文件没有自己的文件名，是X-Ways 通过文件签名从未分配空间搜索出来的，并自动给他分配的一个文件名。
而在FinalData 3.0中，这个内容相同的文件却有一个中文的文件名。而这个文件也是从未分配空间搜索出来的，本身不应该具有文件名了。这是怎么回事呢？难道 FinalData能够从别的地方发现文件名？从文件名这点上，FinalData还是比较不错的。

7、继续看下一个word文件。FinalData同样给另一个文件重新命名为JUJUMAO.doc。如果看看前面的Finaldata恢复的 excel文件，我们也可以发现Excel文件也都被重新命名了。进一步查看了一下这些文件的属性信息，发现JUJUMAO是这个文件的作者，Ghost 也是文件的作者，而案例文件说明是文件属性中的标题。原来FinalData可以根据文件属性自动给文件命名，可以直观地通过文件名知道恢复回文件的一些 信息。有助于区分文件。

8、下面的这个图片就能够说明问题了。察看FinalData 3.0的恢复结果，发现比X-Ways Forensics少了一个文件。这个u盘是我老师的，而且u盘以前被格式化过，这一篇文章被删除了很久了。X-Ways Forensics通过文件签名将他找了出来。但是FinalData没有把它找出来。这可是FinalData的失误了。通过扇区查了一下这个文件，文 件头保存的很好，不应找不出来呀？

9、用Finaldata 将所有的doc文件全部列出来，总计33个。

10、而用X-Ways Fornesics将所有的doc文件列出来，总计26个。数量要比FinalData少。
对比发现，FinalData发现的文件数量虽然多，但是有重复。不知道是否同时存在文件的副本，FinalData将副本全部恢复回来了？

11、FinalData对于Office文件的破损率可以进行检测，如果破损率低，可以在恢复同时进行格式修复。

12、FinalData专业版具有电子邮件恢复功能。通过启动电子邮件恢复，可以将磁盘中的Outlook Express和Ms Outlook的邮件自动找回来。本例中，我直接选择了其中的收件箱，并通过“恢复选定邮件”功能察看邮件。

13、FinalData自动把dbx邮箱打开，可以直接察看邮箱中的邮件。这个功能可真是不错。几千元的软件具有这种功能可是非常不错了。这都是上万元的法证软件才有的功能呀！Encase都不能这么察看邮件吧。

14、可以更清楚地察看邮件内容和邮件原始内容。并以eml格式将文件保存出来。非常好的功能。

15、但是X-Ways Foensics没有发现出u盘中的视频文件，而FinalData却将视频文件找了出来。X-Ways 怎么能够出现这样的失误呢？


小结：

今天，通过这个测试，可以大致有如下结论：
1、两个软件在数据恢复功能方面，各有优势，也各有不足。X-Ways Forensics 通过文件签名方式多发现了一份Word文件，FinalData多发现了视频文件。看来不能完全迷信某一个软件，一定要配合使用。以后再多做一些测试，看看有没有新的发现。

2、FinalData的操作简单，基本不用学习，对于普通用户更容易使用。而X-Ways Forensics要能够熟练操作，达到上述结果，至少需要学习1天吧。

3、FinalData作为一个民用软件，具有上述功能，还可以对电子邮件、数据库、Index.dat上网纪录进行察看，的确是超值。而X-Ways Forensics和其他法证工具也不具备对数据库的分析处理和恢复功能。看来FinalData 3.0专业版值得计算机取证人士使用。

VFC 1.2.4.3 虚拟磁盘/镜像加载仿真工具测试

查看本文：百度博客“图文版”

对于磁盘镜像、Encase证据文件、dd镜像文件，有些时候调查员希望能够利用第三方工具对证据文件进行分析，因此Mount Image Pro， Smart Mount这类的镜像文件加载工具就非常有用了。他们可以把镜像文件重新虚拟为逻辑磁盘或物理磁盘，可以通过Windows直接察看其中的内容，或使用FinalData 3.0，Winhex15.2 这类的数据恢复、磁盘编辑工具对其中的删除数据进行恢复。

但有些时候，调查员不满足于仅仅通过浏览器的方式察看磁盘和证据文件内容，而希望通过虚拟机加载镜像文件中的操作系统，以察看Windows启动的过程，这时候VFC这种虚拟仿真工具就非常有用了。


VFC是英国MD5公司推出的一个虚拟仿真工具，可以利用VMware Player加载物理硬盘，也可以配合Smart Mount或Mount Image Pro，首先将镜像文件加载为虚拟的硬盘，然后再利用VFC和VMplayer进行虚拟启动。这个工具使用非常简单，效果也不错。


1、使用VFC，首先需要安装VMware DiskMount和VMware Player。

2、启动VFC后，插入软件锁，即可看到软件正式版的界面。当前最新版本为VFC 1.2.4.3。调用物理磁盘，可以选择Physical/Mounted Disk。Mounted Disk就是被Mount Image Pro或Smart Mount加载的证据文件镜像。


3、可以看到当前系统中可以发现的物理磁盘，选择所需要的磁盘即可。

4、选择的物理磁盘内包含有多个分区，选择需要利用VMware加载的可引导分区。

5、选择Generate Virtual Machine，利用VFC创建一个虚拟机文件。

6、虚拟机创建成功后，Launch Virtual Machine按钮变为可用，选择Launch Virtual Machine。

7、VmWare Player启动，加载vfc所创建的证据文件/物理磁盘虚拟机，可看到系统状态。

利用Smart Mount和Mount Image Pro，不会改变原是证据文件内容。而直接利用物理磁盘，则有可能造成数据改变。因此建议使用虚拟加载软件，而不要直接对证据硬盘进行操作。

Final Forensics 3.0 中文版基本功能预览

很多人都听说到了FinalData公司推出了新的专业法证分析工具FinalForensics 3.0，但是没有多少人见过这个软件的真正界面。最近，基本完成了汉化工作，还有一些小问题需要检查，但基本不影响正常使用。下面把主要的功能给大家介绍一下。

查看图文版

1、启动画面，显示软件版本
2、创建案件，输入案件信息
3、添加需要分析的物理设备，选择数据分析方式。
也可以打开以下几种格式证据文件：
4、开始扫描磁盘数据，查找删除的数据，进行文件类型、签名分析等。
进一步扫描
5、分析结果，显示出分析结果，包括各种类型文件数量、分类结果。
6、通过文件签名真实类型过滤文件
7、FinalForensics 分析本机内存储的重要类型文件
8、解析压缩文件，并可以查看压缩文件内数据
9、对本机内即时通讯历史纪录进行分析，直接察看数据内容。
10、分析Ie历史记录
11、关键词搜索

12、
13、

X-Ways Forensics 中的文件签名库和文件类型库

有朋友问"无法调用15.2版中的File Type Categories.txt"的解决方法。由于不知道他出现问题的具体情况，所以没有办法准确解答。

图文版: X-Ways Forensics 中的文件签名库和文件类型库

关于文件签名库的更详细说明，请看本人撰写的X-Ways Forensics /winhex 高级应用:理解文件签名库和文件类型库


目前X-Ways Forensics 15.2版本下，文件签名库和文件类型库有了区别。特别是文件签名库被区分为File Type Signatures Search.txt，(“通过文件签名搜索并恢复文件”时使用)和File Type Signatures Check Only.txt，（用于“依据文件签名校验文件真实类型”）。



File Type Categories.txt是用于解释文件扩展名的所属文件类型和分类的，如doc，表示为Office办公文档，属于“文字处理类”。此文件内容原本是英文的，用户可以自行翻译。只是注意不要破坏原有的文件格式就可以了。修改后，需要重新启动才可以调用修改后的File Type Categories.txt文件。


WinHex /X-Ways Forensics 预定义了各种文件签名类型，用户可以修改已经定义好的文件类型，也可以添加自己定义的文件类型。


可以修改 "File Type Signatures Search.txt"中的定义值，也可以是其他的同样格式的文件，名称为 "File Type Signatures *.txt"。修改的文件签名库或文件类型库可以同样被正常加载，也可以防止在升级时被新版本的文件覆盖。只有文件名中包含 "search"，才可以用于文件签名的搜索，否则只能用于磁盘快照中的文件签名校验。目前版本15.2可以支持 4096 个文件签名定义 (1024 个可用于搜索)。

如果你修改了这些文件，一定要以原始文件格式保存，不要仅仅以普通文本格式保存，必须以tab分隔符的文本格式保存，否则X-Ways Forenscis会无法识别文件格式和其中的文件扩展名定义。

X-Ways Forensics / Winhex 快速入门

这个快速入门本人已经写完很久了，准备随着新版本推出逐步更新, 加入一些最新功能介绍。喜欢X-Ways Forensics的朋友们可以关注一下。

图文版:X-Ways Forensics/Winhex 快速入门


第一章 配置软件


X-way Forensics软件可以通过setup.exe安装配置后使用，也可以通过运行xwforensics.exe直接使用。具体使用方法可根据用户习惯来选择。但通常来说，直接运行最为方便。

软件使用中，保存有X-way Forensics软件临时文件和案例文件的分区将作为默认的数据输出路径，即只有该分区被允许写入数据。因此，在选择X-way Forensics软件使用分区时，需要考虑好下一步数据分析的实际情况。建议选择容量较大，数据较少的分区。

使用软件前，请预先X-ways目录下建立如下三个文件夹，分别用于保存案例文件、镜像文件和临时文件。文件夹名称也可自定义。

Mount Image Pro V2.6 测试

图文版见:Sprite's Baidu Blog

2009-02-16 12:38

澳大利亚GetData公司推出的Mount Image Pro目前已经到了2.6版。新版本比过去的版本更加好用。这个软件主要用于加载多种格式的证据文件/镜像文件，以便用户可以使用第三方工具对数据进行进一步分析/恢复删除等操作。下面简单演示一下，大家可以了解一下MIP2 这个工具的基本使用方法。

1、软件启动，可以看到MIP的软件logo

2、没有软件狗的情况下，软件显示为试用/评估版

3、插入软件狗后，无需重新启动软件，直接变为正式版。

4、点击Mount可以直接选择镜像文件。目前支持的镜像格式有Encase、Smart、DD镜像、ISO镜像。


选择镜像文件，本例为Encase E01镜像文件。


5、选择加载选项（盘符等），即可成功加载镜像文件。


6、也可能同时加载多个镜像文件。
需要浏览镜像中的数据，可以选择某个镜像文件，点击鼠标右键，选择Explore，即可通过Windows 打开该镜像。


7、可以看到每一个镜像文件中的信息，包含镜像创建时间、创建工具软件等。

8、卸载镜像，选择鼠标右键，unmount image或unmount all 即可。

9、软件信息

这个软件就是这个简单。感兴趣的朋友可以下载一个演示版试用一下。

SAFE boot disk----基于Windows的取证光盘即将推出

SAFE boot disk----基于Windows的取证光盘即将推出
2009-02-17 10:42

ForensicSoft公司 (http://www.forensicsoft.com) 近日发布了 SAFE 法证证启动光盘，据其称是世界上第一个基于Windows的具有写保护功能的启动光盘。正式版本将于2009年3月份开始发售，现在可以下载并测试BETA版 SAFE 启动光盘，下载地址：http://www.forensicsoft.com.



SAFE 启动光盘可以启动所有基于Intel架构的计算机，并从物理层上对所有内置硬盘实施写保护。启动光盘的功能不仅仅是防止自动加载硬盘，或以只读模式加载硬盘，而是具备像Helix或其他Linux "法证" 启动光盘一样的功能。用户可以通过一键操作，即可启动或取消写保护功能。

SAFE 基于正版Windows (Windows PE 2.0)，可以运行各种您常用的 Windows 取证工具，如FTK， EnCase， X-Ways，FinalForensics等等。可以对各种RAID 服务器、笔记本计算机、工作站硬盘进行磁盘镜像，速度可达4GB/分钟。想象一下，您将不再因为缺少RAID控制器的驱动而无法获取RAID阵列数据，也可以直接将数据直接获取至 NTFS 或压缩格式 NTFS分区中，不再因必须将数据写入FAT32、EXT2 或其他 Linux 文件系统而烦恼。


Windows 驱动程序 The most common problem with 基于Linux系统的启动光盘的最常见的问题，就是通常不包括RAID阵列和其他磁盘控制器的驱动。有时即便有了驱动程序，很多非LINUX用户也很难自行将驱动程序添加到自己的Linux启动光盘中。现在，Windows驱动已经基本包含了所有 Intel架构的 RAID 和磁盘控制器。SAFE 可以加载所有已有的 Windows 驱动，并可以在需要的时候通过很简单的方法安装其他的 Windows 驱动。.

支持NTFS 文件系统 DOS 或 Linux OS 启动光盘都无法将镜像文件写入采用NTFS文件系统的硬盘，因此调查员不得不将磁盘镜像写入FAT32分区中。利用SAFE，调查员可以可充分利用大容量NTFS分区和大文件的优势。同时利用NTFS分区，SAFE 还可以节省调查员的大量时间和精力。

SAFE 写保护技术 具有防止软件写操作的SAFE Block XP已经内置在 SAFE 启动光盘中。这意味着在利用SAFE启动光盘启动计算机的过程中，所有与该计算机连接的磁盘、闪存都被自动实施写保护。而且，这是一种真正的写保护措施，而不是像其他Linux启动光盘采用的逻辑只读或防止磁盘自动加载方式。

启动后，如果调查员希望将证据文件镜像写入至一个磁盘，可以简单地解除所需磁盘的写保护，但同时可保证其他磁盘继续处于写保护状态中。如果调查员只是需要预览或进行关键词搜索，那么您无序改变任何选项，启动后所有存储介质都将一直处于写保护状态中。

使用熟悉的Windows法证工具 很多法证调查员不得不使用Linux 启动光盘来完成一些法证需要，而且不得不使用 DD、 DCFLDD、 MD5SUM、 SHA1SUM 和很多其他不熟悉、不喜欢的 Linux 工具。现在利用 SAFE 启动光盘，调查员可以使用他们在 Windows 环境中喜爱的各种法证工具。


案件日志. SAFE 内置了日志功能，可以创建调查员的工作日志，包含系统属性和所执行的各种操作步骤。

内置工具. SAFE的 Windows环境中已经内置了一些工具，可以用于浏览、查看、预览，同时包含一些简单的法证功能。

FinalData 3.0 数据恢复工具汉化结束

去年峰会后，开始帮助Finaldata公司翻译最新的数据恢复软件Finaldata 3.0。这个软件大家应该是非常熟悉了。使用之后，感觉很像一个简单的计算机取证软件，因为它增加的数据的预览功能，可以在恢复数据前对图片、ppt、文本等进行察看，确定恢复的文件是否可以读取、有没有被破坏。

图文版：察看作者百度博客


经典的界面没有什么变化，但是功能有所增强，支持了Vista下的数据恢复，支持的文件格式、种类更多，速度也有所提升。对于一个几百、几千元的数据恢复工具来说，这已经非常不错了。

最新的Finaldata目前有几个版本：标准版、企业版、企业网络版、专业版。现在，几个版本已经都翻译结束了，应该不久就会上市了。

又完成了一个众所周知的工具的汉化，希望能对国内用户有所帮助。


FinalData 3.0功能演示

一，安装

二、运行

Finaldata 3.0以向导方式帮助用户进行数据恢复、电子邮件恢复、文件修复等工作，操作更加简单。

三、恢复删除/丢失的数据


四、文件过滤，可以定义显示所有文件，还是显示特定类型的文件


五、文件预览，可以预先察看选择恢复数据的内容

六、Office 文档修复

七、恢复删除的电子邮件，目前支持多种格式邮箱

八、高级数据恢复，传统的Finaldata界面

查看本图片原文:请访问作者Baibu' Blog

Sprite's Baidu Blog

俄罗斯电子邮件分析工具：Outlook Express Analyzer 和 Outlook Analyzer Pro

这是俄罗斯的朋友Yuri发布的新的电子邮件解析工具。这两个工具名为 Belkasoft Outlook Express Analyzer 和 Belkasoft Outlook Analyzer Pro。区别在于第一个只能分析 Outlook Express邮件，第二个可以用于打开 Outlook 2003/2007 、Outlook Express邮件。

利用这两个工具，也无需安装 Outlook 和 Outlook Express，也无需邮箱帐户名和口令即可直接打开PST和DBX邮件。此工具不需要任何写操作，因此如果进行法证分析，可以直接与各种写保护配合使用。同时，软件带有 Encase 驱动支持。

需要了解更多的信息，可以从 http://belkasoft.com/boa/en/Outlook_Analyzer.asp. 下载免费试用版。

新增的Outlook 分析功能可以支持Outlook附件的导出。如果一封信中带有附件，那么这封信的图标被显示为曲别针，和Outlook 的标准显示方式一样。分析附件，可以直接右键点击此封邮件，并选择默认的软件打开附件进行查看，也可以将所有邮件导出，这样所有附件都会保存到相应的文件夹中。

目前，这两个工具已经被加入 Belkasoft Forensic Studio 套装中，可以处理各种类型的即时通讯、多种浏览器历史纪录、和Outlook 2003/2007 、Outlook Express邮件。这样看来，这款俄罗斯法证分析工具已经越来越成熟了，可以帮助数据分析师们进行法证分析。