一般使用X-ways司法分析軟件案件加載證據(jù)文件或磁盤以后，首先要對(duì)磁盤進(jìn)行磁盤快照，經(jīng)過磁盤快照以后，它會(huì)把案件中的壓縮文件、電子郵件以及附件解開，刪除的數(shù)據(jù)恢復(fù)出來。經(jīng)過磁盤快照的數(shù)據(jù)會(huì)比未經(jīng)過磁盤快照時(shí)的文件數(shù)量更多，此時(shí)進(jìn)行搜索得到的結(jié)果也會(huì)更準(zhǔn)確

依據(jù)文件系統(tǒng)搜索并恢復(fù)目錄及文件：將當(dāng)前磁盤中的刪除、丟失文件全部恢復(fù)。

通過文件簽名搜索并恢復(fù)文件：根據(jù)文件簽名值搜索特定類型格式文件，如：可以僅搜索并恢復(fù)doc格式文件。

計(jì)算哈希值：自動(dòng)計(jì)算所有文件的哈希值。目錄、0字節(jié)文件沒有哈希值。算法支持MD5、SHA-1、SHA-256。

依據(jù)哈希庫對(duì)比哈希值：如果已經(jīng)擁有完整的哈希庫，可在計(jì)算文件哈希值過程中，將哈希值與哈希庫中值比對(duì)，以確定文件哈希分類。例如，通過此選項(xiàng)排除已知的Windows系統(tǒng)文件。

依據(jù)文件簽名校驗(yàn)文件真實(shí)類型：可判斷doc、jpg格式文件是否被改名或偽裝。

分析ZIP和RAR等壓縮文件中的數(shù)據(jù)：將壓縮文件釋放，并以虛擬目錄形式瀏覽。

導(dǎo)出電子郵件正文和附件：拆解電子郵件，將郵件正文與附件以虛擬形式顯示。

查找嵌入在正文內(nèi)的圖片：可以將WORD、PPT等復(fù)合文件中的圖片抽取出來。

膚色圖片和黑白圖片檢測：用于檢測包含人體膚色特征的圖片和其他黑白文字圖片。

加密文件檢測：用于檢測特定類型加密文件，如加密的DOC、XLS文件。首先，通過熵值檢測，自動(dòng)對(duì)大于255

字節(jié)的文件進(jìn)行檢測。如果熵值超過設(shè)定值，文件屬性標(biāo)記為"e?" ，表明應(yīng)仔細(xì)檢查該文件。例如：PGP Desktop,

BestCrypt 或DriveCrypt 加密文件。熵值檢測不適用于ZIP, RAR, CAB, JPG, MPG 和SWF

等文件。其次、可檢測特定類型加密文件，如doc (MS Word 4至2003版)，xls (MS Excel

2至2003版)，ppt和pps (MS PowerPoint 97-2003)，mpp (MS Project

98-2003)，pdf (Adobe Acrobat)。如果為加密文件，文件屬性顯示 "e!" 。

更新快照：將當(dāng)前案件中磁盤數(shù)據(jù)保持最新狀態(tài)。更新快照后，上述所有操作及搜索記錄等將全部被清空。