X-Ways Forensics

ПРОГРАММНЫЙ ПРОДУКТ
X-Ways Forensics

ООО "Судебные Технологии" (Forensic Technologies Ltd.) является единственным в РФ официальным партнером немецкой фирмы X-Ways Software Technology AG и предлагает заказчикам программные продукты X-Ways Forensics, X-Ways Investigator, WinHex и др.

X-Ways Forensics представляет собой продвинутую программную среду для экспертов-криминалистов и является флагманским продуктом X-Ways. Базирующийся на hex редакторе он обеспечивает также и возможность одному IT эксперту работать совместно с несколькими следователями, не являющимися узкими и глубокими IT специалистами, позволяя им проводить окончательное расследование дел с помощью дополнительной программы X-Ways Investigator.

  X-Ways Forensics - это расширенная рабочая среда для компьютерных криминалистов. Используется ведущими мировыми судебными лабораториями, правоохранительными органами,  военными и частными организациями, работающим в области экспертизы компьютеров.

Основные черты и особенности продукта X-Ways Forensics:
• Клонирование диска и создание имиджей.
• Исследование структуры каталога внутри исходных (.dd) файлов имиджа, даже составленного из нескольких сегментов.
• Полный доступ к дискам, RAID массивам и имиждам размером более 2 TB (белее 232 секторов) с размером сектора до 4 KB.
• Встроенная интерпретация RAID 0 и RAID 5 систем и динамических дисков.
• Поддержка FAT, NTFS, Ext2/3/4, CDFS, UDF в собственной системе команд.
• Просмотр и дампинг физической RAM и виртуальной памяти текущих процессов.
• Различные методы восстановления и карвинга файлов.
• База данных подписей заголовков файлов, основанная на гибкой GREP системе.
• Очистка жесткого диска для создания "форенсик" стерильного носителя.
• Выборка неактивного пространства, свободного пространства, пространства между партициями и исходного текста из диска и имиджа.
• Создание каталогов файлов и разделов для любых носителей данных.
• Легкая детекция и доступ к ADS (alternate data streams, механизму файловой системы NTFS, позволяющему хранить, в дополнение к обычным файлам NTFS, вспомогательные служебные именованные наборы данных)
• Вычисление хешей для файлов (CRC32, MD4, ed2k, MD5, SHA-1, SHA-256, RipeMD, ...).
• Возможности эффективного физического и логического поиска по разным условиям одновременно.
• Рекурсивный просмотр всех существующих и удаленных файлов во всех подкаталогах.
• Автоматическая расцветка записей структуры файлов в NTFS.
• Закладки/примечания.
• Bates-нумерация файлов.
• ... ...а также:
• Полный набор для ведения дела.
• Автоматический аудит (ведение лог файла).
• Защита от записи для гарантии достоверности данных.
• Возможность удаленного доступа и анализа дисков через сеть (добавляется в качестве опции).
• Дополнительная поддержка для файловых систем HFS, HFS+, ReiserFS, Reiser4 и многих вариантов UFS1 и UFS2.
• Поддержка типов разделов: Windows dynamic disks (MBR и GPT), Apple в дополнении к MBR, GPT (разбиение на разделы GUID), а также и Superfloppy (не разбитые на разделы).
• Способность читать и записывать файлы доказательств .e01 (имиджи EnCase), опционно с настоящим шифрованием (256-bit AES, т.е. не "простая" защита паролем), и очень гибким сжатием.
• Возможность копировать относящиеся к делу файлы в контейнер файлов доказательств, в котором сохраняются почти все оригинальные метаданные, а также выбранные данные и файлы обмена между следователями, прокурорами, адвокатами и т.д.
• Очень мощный анализ локальной RAM или дампов память Windows 2000, XP, Vista, 2003 Server, 2008 Server.
• Показ авторов файлов, права доступа к файлам NTFS, обеты ID/GUID, специальные атрибуты.
• Удобная навигация назад-вперед от одного каталога к другому, многократные шаги, восстановления критериев сортировки, фильтрация и дефильтрация, выборка.
• Галерея просмотра изображений.
• Просмотр календаря.
• Предпросмотр файлов, интегрированный вьюер для 270+ типов файлов.
• Сохраняет путь по которому файлы уже были просмотрены в течение расследования.
• Возможность исследования электронной почты из Outlook (PST, OST), Outlook Express (DBX), Mozilla (including Netscape and Thunderbird), AOL PFC, исходного (generic) почтового ящика (mbox, Berkeley, BSD, Unix), Eudora, PocoMail, Barca, Opera, Forte Agent, The Bat!, Pegasus, PMMail, FoxMail, maildir folders (локальные копии)
• Автоматическая расширенная верификация типа файла, основанная на подписях и специальных алгоритмах.
• Возможность прикреплять ярлыки файлам и добавлять отмеченные файлы в таблицы отчетов.
• Автоматизированные отчеты, которые могут быть импортированы и в дальнейшем обработаны другими приложениями, распознающими HTML, такими как MS Word.
• Возможность связанных комментариев о файлах для включения в отчет или для фильтрации.
• Дерево каталогов в окне программы слева, возможность исследовать и отмечать каталоги пользователя включая подкаталоги.
• Синхронизация просмотра секторов со списками файлов и деревом каталогов.
• Мощный динамический фильтр, основанный на истинном типе файла, набора хэшей, временных меток, примечаний, таблиц отчета...
• Возможность выделять файлы от имиджа или диска включая их полный путь, включая или исключая потерянные (слэк) файлы или только слэк.
• Компенсация эффектов сжатия для NTFS и Ext2/Ext3 логики распределения блоков в вырезке файлов.
• Автоматическая индекация защифрованных файлов MS Office и PDF документов.
• Поиск картинок, включенных в документы (например, MS Office, PDF) автоматически.
• Определения цвета оболочки (например, просмотр галереи отсортированной по процентам цвета оболочки сильно ускоряет поиск следов детской порнографии).
• Возможность извлекать картинки из видео файлов с определенным пользователем интервалом, используя М-плейер или Форенсик Фреймер, чтобы значительно уменьшить количество данных, когда необходимо проверить неподходящий или незаконный контент.
• Внутренний вьюер для файлов Регистра Windows (всех версий Windows); автоматизированный отчет Регистра.
• Вьюер для лог файлов событий Windows, ярлыков Windows (.lnk файлов), файлов Windows Prefetch, файлов $LogFile, $UsnJrnl, ...
• Извлечение метаданных и внутреннее создание временных меток различных типов файлов и тем самым возможность фильтрации, например, MS Office, MDI, PDF, RTF, WRI, AOL PFC, ASF, WMV, WMA, MOV, AVI, WAV, MP4, 3GP, M4V, M4A, JPEG, THM, TIFF, GIF, PNG, GZ, ZIP, IE Cookies-файлы, SHD & SPL файлы буфера принтера.
• Просмотр списков содержимого архивов непосредственно в каталоге браузера, даже в рекурсивном просмотре.
• Логический поиск, во всех или только в выбранных файлах/каталогах, фрагментированных последовательностях кластеров, в сжатых файлах, опционно декодирование текста в PDF, XML, ...
• Мощный поиск хит-листингов с контекстным предпросмотром, например, подобно "поиск всех всех хитов для условий поиска A, B, и D в .doc и .ppt файлах в \Documents and Settings с последней датой обращения в 2004”.
• Поиск и индексация в Unicode и в других кодировках.
• Очень гибкий алгоритм индексации, поддержка слитно составленных слов.
• Логически объединенный поиск хитов с AND, не четко определенным AND, операторами + и -.
• Определение областей HPA (host-protected areas)
• Проверка файлов на совпадение
• Возможность импорта набора хэшей NSRL RDS 2.x, HashKeeper, и ILook
• Создание собственных наборов хэшей.
• Возможность декомпрессии целостных файлов hiberfil.sys и индивидуальных xpress chunk.
• [...]
• Уменьшенный и упрощенный интерфейс пользователя доступен для следователей, не являющихся "продвинутыми" IT специалистами, что обеспечивается вдвое дешевым продуктом X-Ways Investigator.

Продукты X-Ways являются самыми продвинутыми и мощными из всех программ для анализа и экспертизы цифровых данных, имеющихся на рынке. Они с успехом используются не только государственными организациями многих стран, но и такими ведущими компаниями, как Microsoft Corp., Hewlett Packard, Deloitte & Touche, KPMG Forensic, Ernst & Young, Toshiba Europe, Ericsson, National Semiconductor, Siemens AG, Lockheed Martin, BAE Systems...

Лицензия на продукты X-Ways доступна только государственным организациям.