创建镜像文件过程中,将显示复制进度。
操作结束,将生成TXT格式操作日志,包含如磁盘参数、MD5值等信息。
第三章 基本操作
一、浏览所有文件
如果需要显示当前驱动器下所有文件,使用鼠标右键单击驱动器图标,选择右键菜单中的展开目录。文件浏览器中将显示所选驱动器下所有文件列表。 取消全部文件显示模式,使用鼠标左键单击驱动器图标。
二、文件浏览器菜单说明
过滤漏斗:过滤选项,灰色时表示未启用;蓝色时,表示应用了相应的过滤设置。本例中,由于对文件名称栏目进行了过滤操作,文件名称旁边出现了一个“蓝色漏斗”。
窗口文件数量:位于右上角,表示当前窗口显示出的文件数量及总计文件数量。本例中,由于应用了过滤操作,窗口右上角数字含义为:应用过滤后,有170份文件符合过滤要求,有686份文件被过滤掉。如果没有使用过滤,此处仅显示文件总数量,即856份文件。
选择文件数量:位于右下角,表示当前窗口选择的文件数量及容量。本例中,选择了5份文件,总计容量117KB。
文件标记:文件名称前面的小方框为标记选框。可以手工为文件逐一添加标记,也可以通过鼠标右键中标记命令为所有选择的文件添加标记。
注:对指定文件的导出、添加注释、添加报告分类、创建哈希集,均可通过鼠标右键来实现。 磁盘快照时间:磁盘快照是X-ways Forensics的一个重要功能,用于对当前驱动器中的所有数据进行快速解析,如计算哈希值、分析丢失数据、拆解压缩文件和电子邮件、加密文件检测等。当对当前使用的物理磁盘进行分析时,如C盘,磁盘的数据可能会随时发生改变,因此需要更新磁盘快照来保证案件中使用最新的数据。本例中,“20分钟前”表示当前案件数据是20分钟前制作的。可以通过F10更新磁盘快照。 三、更改文件浏览器显示内容
文件浏览器显示内容可以根据实际需要进行调整。通过Ctrl+F5,或菜单中|选项|目录浏览器|,调用目录浏览器过滤设置对话框。
相关推荐:
loading