中的所支持的压缩文件、电子邮件及附件、删除的数据解开及恢复出来，古经快照处理后得到的数据要比未进行磁盘快照的文件数量多。此时进行过滤和搜索，会得到更准确的结果。

每个任务前面的方框，经选取后显示绿色对勾。

每个任务后面的方框，表示完成状态。绿色对勾表示全部完成；实心绿框表示已完成了部分，但尚未全部完成。

开始进行磁盘快照，选中相应的选项，点击确定即可。 任务说明：

依据文件系统搜索并恢复目录及文件：将当前磁盘中的删除、丢失文件全部恢复。 通过文件签名搜索并恢复文件：根据文件签名值搜索特定类型格式文件，如：可以仅搜索并恢复doc格式文件。

计算哈希值：自动计算所有文件的哈希值。目录、0字节文件没有哈希值。算法支持MD5、SHA-1、SHA-256。

依据哈希库对比哈希值：如果已经拥有完整的哈希库，可在计算文件哈希值过程中，将哈希值与哈希库中值比对，以确定文件哈希分类。例如，通过此选项排除已知的Windows系统文件。

依据文件签名校验文件真实类型：可判断doc、jpg格式文件是否被改名或伪装。 分析ZIP和RAR等压缩文件中的数据：将压缩文件释放，并以虚拟目录形式浏览。 导出电子邮件正文和附件：拆解电子邮件，将邮件正文与附件以虚拟形式显示。 查找嵌入在正文内的图片：可以将WORD、PPT等复合文件中的图片抽取出来。 肤色图片和黑白图片检测：用于检测包含人体肤色特征的图片和其他黑白文字图片。 加密文件检测：用于检测特定类型加密文件，如加密的DOC、XLS文件。首先，通过熵值检测，自动对大于255 字节的文件进行检测。如果熵值超过设定值，文件属性标记为\，表明应仔细检查该文件。例如：PGP Desktop, BestCrypt 或DriveCrypt 加密文件。熵值检测不适用于ZIP, RAR, CAB, JPG, MPG 和SWF 等文件。其次、可检测特定类型加密文件，如doc (MS Word 4至2003版)，xls (MS Excel 2至2003版)，ppt和pps (MS PowerPoint 97-2003)，mpp (MS Project 98-2003)，pdf (Adobe Acrobat)。如果为加密文件，文件属性显示 \。

更新快照：将当前案件中磁盘数据保持最新状态。更新快照后，上述所有操作及搜索记录等将全部被清空。

完成磁盘快照之后，如右图显示案件中数据增多，这时才能继续进行过滤、搜索等操作。

第五章 过滤

本说明中所有图片均出自X-ways Forensics 13.8 版。

在X-ways Forensics 中，可方便地对各种类型的数据文件进行过滤操作。

一、按文件名称过滤

可以使用通配符，针对特定文件名称进行过滤。如搜索“*.DOC，*.HTM，收件箱*”等。使用通配符时，不能出现2个*。此种过滤方式，适用于对文件名，及单一文件类型过滤。速度快，准确率高。

例：如果需要查找文件内容包含“陈立康”的Word文件，可首先过滤出*.DOC文档，然后全选、标记，并在标记文件中搜索关键词“陈立康”即可。 二、按文件类型过滤

可按照设定的文件分类，对不同类型的文件进行过滤。通过此过滤方式，可以容易地将办公文档、图形图像、压缩文件，以及各种重要数据，如注册表文件、互联网历史记录、回收站文件、打印池、Windows交换文件、日志等，快速过滤出来。

文件过滤类型可以自定义扩充与修改。文件名为：File Type Categories.txt。最新文件类型过滤文件www.china-forensic.com/xways/downloads/FileType.rar。

使用方法：选择相应文件类型，点击激活。过滤前，应在磁盘快照中选择依据文件签名校验文件真实类型，才能够判断出文件的真实类型。 三、按签名状态过滤

进行完整磁盘快照后，X-ways可依据文件签名检测每一个文件的签名信息是否匹配。如果文件扩展名被改变，签名状态将显示为签名不匹配。通过选择过滤选项中的文件签名显示状态，可发现签名匹配、不匹配的文件。

缺省状态下，文件显示为“签名未校验”。通过文件签名校验文件类型后：如果文件非常小，状态被显示为“无关的”；如果文件扩展名和文件签名都未知，状态被显示为“不在列表中”；如果文件签名和文件扩展名一致，状态被显示为“签名匹配”；如果文件扩展名正确，但文件签名未知，状态显示为“签名未确认”；如果文件签名和文件扩展名不匹配，或没有文件扩展名，状态显示为“签名不匹配”。

三、按文件大小过滤

根据文件的实际大小过滤，不包含残留区数据。

第一选项，用于设定小于一定容量文件，如可查找小于1.2MB的文件；