x-ways-forensics

X-Ways Forensics

Software integrado de informática forense.

X-Ways Forensics es un entorno de trabajo avanzado para examinadores forenses informáticos y nuestro producto estrella. Se ejecuta bajo Windows XP / 2003 / Vista / 2008/7/8 / 8.1 / 2012/10 *, 32 Bit / 64 Bit, estándar / PE / FE. (Windows FE se describe aquí, aquí y aquí.) En comparación con sus competidores, X-Ways Forensics es más eficiente de usar después de un tiempo, por mucho que no tenga mucha hambre de recursos, a menudo se ejecuta mucho más rápido, encuentra archivos eliminados y busca resultados que los competidores se perderán, ofrece muchas características que los demás carecen, ya que un producto alemán es potencialmente más confiable, tiene una fracción del costo, no tiene requisitos de hardware ridículos, no depende de configurar una base de datos compleja, etc. ! X-Ways Forensics es totalmente portátil y funciona con una memoria USB en cualquier sistema Windows sin instalación si lo desea. Descargas e instalaciones en cuestión de segundos (solo unos pocos MB de tamaño, no GB). X-Ways Forensics se basa en el editor de disco y hexadecimal WinHex y forma parte de un modelo de flujo de trabajo eficiente en el que los examinadores forenses informáticos comparten datos y colaboran con los investigadores que usan X-Ways Investigator.

X-Ways Forensics comprende todas las características generales y especializadas conocidas de WinHex, como …

Clonación e imagen de disco
Capacidad para leer particiones y estructuras de sistemas de archivos dentro de archivos de imagen sin formato (.dd), imágenes ISO, VHD, VHDX, VDI y VMDK
Acceso completo a discos, RAID e imágenes de más de 2 TB de tamaño (más de 232 sectores) con tamaños de sector de hasta 8 KB
Interpretación integrada de los sistemas JBOD, RAID 0, RAID 5, RAID 5EE y RAID 6, RAID de software de Linux, discos dinámicos de Windows y LVM2
Identificación automática de particiones perdidas / eliminadas
Soporte nativo para FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3®, CDFS / ISO9660 / Joliet, UDF
Superposición de sectores, p. con tablas de partición corregidas o estructuras de datos del sistema de archivos para analizar completamente los sistemas de archivos a pesar de la corrupción de datos, sin alterar el disco o la imagen original
Acceso a la memoria lógica de los procesos en ejecución.
Varias técnicas de recuperación de datos, tallado de archivos rápido y potente
Base de datos de firmas de encabezado de archivo bien mantenida basada en notación GREP
Intérprete de datos, conociendo 20 tipos de variables.

X-Ways Investigator

X-Ways Investigator es una potente aplicación de investigación / análisis de documentos / generación de informes para las fuerzas del orden, las agencias de inteligencia y el sector privado. Se ejecuta bajo Windows. Fue diseñado para investigadores especializados en áreas como contabilidad, leyes de construcción, lavado de dinero, corrupción, homicidio, pornografía infantil, etc., también para analistas de investigación, agentes, abogados, paralegales, fiscales, auditores internos y externos, para análisis parte de informática forense y descubrimiento electrónico. X-Ways Investigator se basa en X-Ways Forensics y es un subconjunto de los mismos. Su interfaz de usuario simplificada ofrece muchas menos opciones técnicas y menos funcionalidad técnica que WinHex y X-Ways Forensics, para que los investigadores puedan concentrarse mejor en el asunto en cuestión.

X-Ways Investigator es parte de una cierta filosofía: dividir la carga de trabajo en trabajo preparatorio realizado por especialistas en informática forense (examinadores forenses informáticos) con X-Ways Forensics y el trabajo de investigación realizado por investigadores puede ser un cambio fundamental, acelerar enormemente el proceso forense y mejorar su calidad. Reduce la carga de trabajo de los especialistas en informática al permitir que los investigadores se hagan cargo mucho antes. Más información sobre X-Ways Investigator, el modelo de colaboración y los beneficios de los contenedores de archivos de evidencia aquí.

X-Ways Investigator viene a menos de la mitad del precio de X-Ways Forensics, y está disponible un considerable descuento por volumen para cantidades más altas. ¡Recomendamos X-Ways Investigator a las organizaciones que ya usan X-Ways Forensics, no necesariamente como un producto independiente! También lo recomendamos como plataforma de revisión de datos de evidencia que ya se han procesado con X-Ways Forensics. Si antes de comprar desea saber con precisión cómo se ve la interfaz de usuario de X-Ways Investigator y qué puede hacer, habilite la GUI de X-Ways Investigator en la ventana de diálogo Opciones generales en X-Ways Forensics. El grado en que la interfaz de usuario se reduce y simplifica es en gran medida personalizable. X-Ways Investigator no viene con su propio manual y ayuda del programa, sino que se utiliza el manual y la ayuda de WinHex / X-Ways Forensics.

WinHex

WinHex: Software informático forense y de recuperación de datos,
Editor hexadecimal y editor de disco
Windows XP / 2003 / Vista / 2008/7/8 / 8.1 / 2012/10, 32 bits / 64 bits *
WinHex es en su núcleo un editor hexadecimal universal, particularmente útil en el ámbito de la informática forense, la recuperación de datos, el procesamiento de datos de bajo nivel y la seguridad informática. Una herramienta avanzada para el uso diario y de emergencia: inspeccione y edite todo tipo de archivos, recupere archivos borrados o datos perdidos de discos duros con sistemas de archivos corruptos o de tarjetas de cámaras digitales. Las características dependen del tipo de licencia (comparación de tipo de licencia), entre ellas:

Editor de discos para discos duros, disquetes, CD-ROM y DVD, ZIP, Smart Media, Compact Flash, …
Soporte nativo para FAT12 / 16/32, exFAT, NTFS, Ext2 / 3/4, Next3®, CDFS, UDF
Interpretación integrada de sistemas RAID y discos dinámicos.
Varias técnicas de recuperación de datos.
Editor de RAM, que proporciona acceso a la RAM física y a la memoria virtual de otros procesos
Intérprete de datos, conociendo 20 tipos de datos.
Edición de estructuras de datos utilizando plantillas (por ejemplo, para reparar la tabla de particiones / sector de arranque)
Concatenando y dividiendo archivos, unificando y dividiendo bytes / palabras pares e impares
Analizando y comparando archivos
Funciones de búsqueda y reemplazo particularmente flexibles
Clonación de disco (bajo DOS con réplica X-Ways)
Genere imágenes y copias de seguridad (opcionalmente comprimidas o divididas en archivos de 650 MB)
Interfaz de programación (API) y scripting
Cifrado AES de 256 bits, sumas de comprobación, CRC32, hashes (MD5, SHA-1, …)
Borre (limpie) archivos confidenciales de forma segura, limpie el disco duro para proteger su privacidad
Importar todos los formatos de portapapeles, incl. Valores hexadecimales ASCII
Convierte entre binario, hexadecimal ASCII, Intel Hex y Motorola S
Conjuntos de caracteres: ANSI ASCII, IBM ASCII, EBCDIC, (Unicode)
Cambio instantáneo de ventanas. Impresión. Generador de números aleatorios.
Admite archivos de cualquier tamaño. Muy rapido. Fácil de usar. Amplia ayuda del programa.

X-Ways Imager

Herramienta de imagen de disco forense. Versión simplificada del software forense informático X-Ways Forensics con solo la funcionalidad de imagen de disco y poco más (ver más abajo). X-Ways Imager se introdujo originalmente en 2009 sobre la base de una solicitud de una agencia en los Estados Unidos, que durante las pruebas de rendimiento descubrió que X-Ways Forensics era mucho más rápido que otras herramientas de imagen, especialmente cuando se usaba junto con bloqueadores de escritura de hardware. Otra prueba realizada por una agencia similar en Australia también confirmó importantes ventajas de velocidad sobre el producto de la competencia. 28 de noviembre de 2011: X-Ways Forensics / X-Ways Imager demostró ser aproximadamente dos veces más rápido que los productos de la competencia (los sospechosos habituales) en una prueba realizada por el equipo de desarrollo de F-Response para adquisiciones remotas. (publicación de blog) 14 de julio de 2013: X-Ways Forensics / X-Ways Image fue dos o tres veces más rápido que los productos de la competencia aquí.

X-Ways Imager puede ejecutarse directamente, por ejemplo, desde un dispositivo USB si lo desea, sin instalación, es decir, totalmente portátil, al igual que WinHex y X-Ways Forensics. Totalmente diferente de un producto de la competencia que afirma que es adecuado para la adquisición en vivo, pero en realidad se instala en la carpeta temporal del sistema en vivo, sobrescribiendo ~ 45 MB de espacio en el disco, y se retira clandestinamente de allí después de la ejecución. No se deje engañar por el software de imagen de disco de terceros.

La inteligencia de la compresión es otro factor importante. Los algoritmos de compresión en X-Ways Forensics y X-Ways Imager ofrecen una adaptabilidad sin igual y una gran variedad de compromisos entre velocidad y tasa de compresión. No comprimen ciegamente datos casi incompresibles hasta la muerte, lo que obliga al software de análisis a perder tiempo descomprimiendo los datos, aunque la ganancia de compresión fue insignificante, a diferencia de otras herramientas de imagen de disco realmente malas que pierden su tiempo y no se nombrarán aquí.

Las imágenes creadas por X-Ways Forensics y X-Ways Imager también permiten a X-Ways Forensics tratar las áreas de disco originalmente cerradas como escasas, es decir, permitir que el software omita totalmente estas áreas, ni lea ni descomprima los datos comprimidos en la imagen, mucho menos analizar la versión descomprimida de los datos, por ejemplo, al tallar archivos o ejecutar búsquedas de palabras clave. Esto puede ahorrar mucho tiempo con los enormes discos duros actuales si su espacio no se utiliza por completo. Además, hay características avanzadas como la exclusión opcional de espacio libre en el disco y la imagen inversa que hacen de X-Ways Imager el quizás el mejor software de imagen de disco del mercado.

Además, X-Ways Imager puede reconstruir prácticamente todas las variantes concebibles de sistemas RAID basados ​​en disco fallidos como JBOD, RAID 0, RAID 5, RAID 6 y más si conoce los parámetros correctos, y puede crear imágenes o clonar el RAID. Basado en disco significa que los componentes de los RAID son discos duros físicos / SSD, no particiones / volúmenes lógicos.

Los siguientes comandos de menú en el software están disponibles:

Herramientas | Disco abierto

Archivo | Crear imagen de disco (excepto la capacidad de omitir archivos excluidos)

Herramientas | Herramientas de disco | Clonar disco

Herramientas | Calcular Hash

Especialista | Reconstruir sistema RAID

El contenido de los sectores se muestra en una columna hexadecimal y de texto. El navegador del directorio muestra las particiones en discos físicos. Puede crear imágenes o clonar discos físicos completos o particiones individuales, es decir, copiarlos por sectores y crear imágenes en bruto o archivos de evidencia .e01. El llamado informe de detalles técnicos también se emite en esa ocasión. Puede convertir imágenes de un formato a otro. El espacio libre se puede omitir opcionalmente si no necesita adquirirlo, para ahorrar mucho tiempo y conducir espacio. Las imágenes sin formato también se pueden rellenar al revés si tiene problemas con los discos duros gravemente dañados que se congelan o bloquean su computadora cuando llega a un determinado sector. Detección y adquisición de áreas HPA o DCO compatibles. Casi todas las demás funciones y elementos de visualización conocidos de X-Ways Forensics están en gris / no están disponibles en X-Ways Imager. En particular, X-Ways Imager no puede crear contenedores de archivos de evidencia o imágenes de esqueleto o imágenes limpiadas.

F-Response es un producto complementario ideal que permite a X-Ways Forensics analizar de forma remota discos y RAM. ¡Y a la inversa, X-Ways Imager es un producto complementario ideal para F-Response que también le permite capturar imágenes de discos remotos y volcar RAM remota!