收藏本站

取证中国

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 4620|回复: 18
收起左侧

[取证工具] 我为什么选择并义无反顾地支持X-ways Forensics?

  [复制链接]
发表于 2015-7-1 01:02:16 | 显示全部楼层 |阅读模式
本帖最后由 spriteguo 于 2015-7-1 02:30 编辑

    在电子取证方面,我一样是和大家一样从小白走过来的。这里想和大家分享一下我从事电子数据取证20年来的一些心得,愿年轻人能够踩着老人的肩膀更快地成长起来。

    当91年接触计算机的时候,当时最好的计算机的CPU是80286,刚问世的是386SX。而学完了取证基础知识后,回到单位却没有一台电脑能够练习。可是,没想到,后来从单位库房里面意外地找到了一台堆积在角落中的台式电脑:IBM PC/XT,抱出来仔细地检查了一番,发现导致这台“豪华”设备无人问津的原因,是机器的操作系统竟然没有。计算机启动不了,单位里不熟悉计算机的人都认为这是机器坏了,没人会修理。但是,在我手里,这台电脑成了我后来1年的所有乐趣的源泉。手里当时有5寸盘的IBM PCDOS 3.1,MSDOS 3.0(当时IBM的DOS版本好像总会高一点)的安装盘,启动计算机,然后几个命令(format c:/s  or Sys c:),计算机就能够启动了。配置一下autoexec.bat和config.sys,10MB的硬盘和128KB的内存,运行的很好啊。那时候没什么中文的APP,著名的程序只有WordStar,WordPerfect,Lotus123,Symphony,MSword都是后来才出现的。UCDOS、金山WPS等更是等了几年。当时最通用的办公设备"四通“文字处理机时那些年的标准OA设备,直到UCDOS这样的中文系统的出现,才掀起了计算机中文文字处理的热潮。现在还有谁记得当时处理中文一定要计算机中插入汉卡,杀毒要插入病毒卡,要不你就使用很多软盘存储的中文字库。估计这些也就是我这个年代的人才会记得了吧。

    既然做取证,当时最关心的就是磁盘编辑、数据恢复、文件内容的查看、关键词搜索。当时对取证还没有什么概念呢。第一个基础的超级大牛软件就是PCTools,可以对磁盘进行十六进制编辑,底层修改磁盘的数据,因此可以实现手动的数据恢复。就和大家第一次用Winhex的十六进制编辑功能修复FAT找回文件一样,欣喜无比。但是当时没有Winhex。我用Pctools和另外一个著名的工具NU(Norton Utility,后来工具没了,但是造就了诺顿防病毒软件),不断体验着手动进行数据恢复的喜悦。当时还不叫取证,也没有这个名词。

    现在回想,沉浸在手工操作的时间真是漫长啊。从91年,到2001年,十年来,中国没有出现好的取证分析软件。直到大约02或03年(具体时间真忘了),我看到了国内第一款公开销售的取证分析软件FTK 1.2,硬盘快速拷贝设备时Solo 2. 接着看到了Logibue的 M5000和随机著名国内的Forensic MD5拷贝机。FTK 当时使用的还是并口的加密狗,为了给单位省钱,合作研发了一个加密狗共享器(当时流行的都是打狗,呵呵),可以几个人同时使用FTK。当时被FTK的功能触动了。真是一个自动化分析数据的好软件。然后主动汉化了这个软件,使了有2年。感谢当时的FTK,当时一个非常优秀的软件。可能不久,美亚成立了,引入了Encase。和雪峰交流了学习了Encase,但是总是学不会。真是郁闷。当时网上流传有刚出现的Xways 11.X的版本,下载来使用了一下,没有摸到头绪,放弃了。由于当时FTK的自动化分析很好,很欣赏,坚持使用了一段。

    2005年,希望引入国际更多的新工具和新设备,创办了CCFC峰会(当时叫CFAT会议)。2005年的会议中,嘉宾们介绍了solo3,i2,Encase,Nuix等取证工具。2006/2007年,我又联系了Stefan,Winhex和Xways的作者,请他来国内参加峰会,我给他做了几次翻译,接着参加了他在香港举办的3天的x-ways培训课程。通过学习和翻译,切实地发现了这个软件实在的强大,而且又是如此地简单好用。通过培训,我明白了应该怎么讲授这个软件,怎么能够让初学者免去我初学的痛苦,可以在1天之内熟悉所有操作,3天之内精通这个软件,接下来一辈子忘不了这个软件的使用方法。那年,FTK开始走入误区,3.0版本的出现让很多原来的用户对这个软件丧失了信心,因为它对计算机的要求太高了,而能够达到要求的计算机价格也太昂贵了。

    和Stefen在香港时候聊天,他问我是否愿意帮助汉化X-ways Forensics软件,是否愿意帮他在中国销售这个软件。我说好啊,试试看。于是x-ways 从13.0版本开始出现了中文版,在后面的汉化过程中,我不断地去琢磨每一个英文词汇的最佳表达方式,如何能让取证人员真正理解其中的每个词汇。到现在18.2版本了,每一个版本的更新,都是经过我对词汇的不断推敲而发布的。其中一段比较松心,导致词汇有些不准确。但是18.0开始,我又努力去修订了很多的表达语句,感觉现在的版本更亲近了很多。大家从Xways/Winhex的帮助文件中,至今也开一看到Sprite Guo这个名字。虽然当时翻译了很多软件,包括Nuix(FBI),Oxygen,Finaldata,MacForensicslab,Elcomsoft,Passware等很多,但是花费我最多精力的还是X-Ways这个软件。始终研究最多的也是X-Ways这个独特的分析软件。

    Encase当时最大的优点就是可以编脚本,有本事的人可以通过脚本实现所谓的高级功能。但是,我一直学不会Encase,也最终放弃了Encase。X-Ways最好的地方就是操作方法始终不变。还有强大的十六进制查看和编辑,以及我翻译的一个术语“磁盘快照”,一种对各种数据进行自动解析的功能。Xways的磁盘快照功能不断地提升,从最初的依据文件系统恢复,文件签名恢复,哈希计算和比对,邮件解析,图片检测,到今天的各种特殊文件的解析,全文索引,时间提取,不断的强大,每天都在强大。我用我十年前学会的方法,一直在熟练地使用这个软件,一直在享受它的日益增加的强大的解析功能。我后来发现,真是不敢想象没有Xways的日子。没有这个软件,我似乎什么都做不了。

    在不断的言传身授和不断交流中,我周围的朋友都开始使用Xways,这个软件在中国也不断地增加用户量。特别是帮助Stefan解决了很多的中文查看和搜索问题,以及中文系统中的稳定性后,Xways处理中文近乎完美。
    利用这个软件,我和我的朋友们,处理了大量的案件,并在众多的好评之中,这个软件基本被认为是取证分析工具中的的一个功能、性价比俱佳的好产品。Stefan严谨的开发态度,每个月持续的产品升级,以及x-wasy堪称优秀的数据恢复水平,不断被中国用户所认可。

     我选择X-Ways,是因为这个软件不会挑剔我的计算机的运算能力和内存大小,是因为他可以支持对各种分区和文件的恢复,是他可以自动地解析各种数据。你只要拥有足够的知识,你可以利用它做到你想做的所有的事情。如果你的知识不够,它也能帮你尽可能地展示更多的隐藏在文件表面之下的更多的信息。后面的文章,Sprite将借助课件形式,给大家介绍X Ways的基本使用方法。如果希望快速学会这个软件,更好地完成分析鉴定工作,可以来和我交流。我可以帮助你了解有关软件的操作方法和技巧。我不会的东西,还有Stefan可以帮助大家啊。

2015年7月1日于广州

回复

使用道具 举报

发表于 2015-7-1 09:20:11 | 显示全部楼层
感觉郭总的经历就是电子取证在中国的发展史啊,嗯,Finaldata、Winhex、Elcomsoft,简直膜拜了,,
回复 支持 反对

使用道具 举报

发表于 2015-7-1 09:50:54 | 显示全部楼层
郭总威武!
回复

使用道具 举报

发表于 2015-7-2 20:51:51 | 显示全部楼层
印象比较深的是Winhex可以自动识别出磁盘16进制原始数据中的时间,会用特殊颜色标注,鼠标移上去会直接显示可视化时间,这在文件底层分析中很实用
回复 支持 反对

使用道具 举报

发表于 2015-7-8 10:13:14 | 显示全部楼层
郭总的深切体会也为我们带来这么好的产品,但同时能否为国内用户争取到实惠的产品价格呢。
回复 支持 反对

使用道具 举报

发表于 2015-7-8 11:54:44 | 显示全部楼层
静坐学习中
回复 支持 反对

使用道具 举报

发表于 2015-7-21 23:07:10 | 显示全部楼层
我比郭总晚1年,92年接触计算机,那时候已经有386DX了,但机房里还都是286。
回复 支持 反对

使用道具 举报

发表于 2015-7-21 23:15:58 | 显示全部楼层
WPS求伯君,王码DOS王永民,晓军2.13吴晓军,CCED朱崇君,UCDOS鲍岳乔,KV系列王江民,一直是我的偶像啊!
回复 支持 反对

使用道具 举报

发表于 2015-7-21 23:21:48 | 显示全部楼层
Sunrise 发表于 2015-7-21 23:15
WPS求伯君,王码DOS王永民,晓军2.13吴晓军,CCED朱崇君,UCDOS鲍岳乔,KV系列王江民,一直是我的偶像啊!: ...

暴露年龄了
回复 支持 反对

使用道具 举报

发表于 2015-7-22 08:57:14 | 显示全部楼层
加油,郭总,公司上市时请客啊
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|    

GMT+8, 2017-10-19 20:30

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表