X-Ways Imager 是一种精简版的 X-Ways Forensics 计算机取证软件,专注于磁盘成像功能。它最初于 2009 年应美国机构的要求推出,该机构在性能测试中发现 X-Ways Forensics 比其他成像工具快得多,尤其是在与硬件写入阻止程序一起使用时。类似的测试在澳大利亚的机构中也证实了这一点。在 F-Response 进行的远程采集测试中,X-Ways Forensics/X-Ways Imager 的速度是竞争产品的两到三倍,再次证明了其出色的性能。
例如,X-Ways Imager 可以直接从 USB 设备运行,无需安装,完全便携。这与一些竞争产品不同,后者声称适合实时获取,但实际上会安装到系统中,占用约 45 MB 的驱动器空间,并在执行后秘密移除。因此,请不要被第三方磁盘映像软件所迷惑。
X-Ways Forensics 和 X-Ways Imager 的智能压缩算法在速度和压缩率之间提供了卓越的平衡。它们不会盲目压缩几乎无法压缩的数据,从而节省了分析软件在解压缩时的时间,避免了某些其他工具的低效操作。
通过 X-Ways Forensics 制作的图像允许 X-Ways Forensics 将磁盘区域清零为稀疏区域,这样软件可以完全跳过这些区域,无需读取或解压缩数据。这在处理大容量硬盘时节省了大量时间。此外,X-Ways Imager 还具备高级功能,如可选排除可用驱动器空间和反向成像,使其成为市场上最好的磁盘映像软件之一。
X-Ways Imager 还可以重建几乎所有类型的基于磁盘的 RAID 系统(如 JBOD、RAID 0、RAID 5、RAID 6),并对这些系统进行映像或克隆。
以下是软件中的可用命令:
各部门的内容以十六进制和文本列显示。目录浏览器显示物理磁盘上的分区。用户可以对整个物理磁盘或单个分区进行映像或克隆,并创建原始图像或 .e01 证据文件。技术细节报告也会在映像创建时输出。用户可以将图像从一种格式转换为另一种格式,并选择性地省略不需要的可用空间,以节省时间和驱动器空间。对于严重损坏的硬盘,可以添加额外的填充,以防止计算机在某个扇区冻结或崩溃。X-Ways Imager 支持检测和采集 HPA 或 DCO 区域。
X-Ways Imager 无法创建证据文件容器、骨架图像或已清理的图像。这些功能以及其他已知的 X-Ways Forensics 功能在 X-Ways Imager 中不可用。然而,X-Ways Imager 是 F-Response 的理想附加工具,允许远程磁盘映像和 RAM 转储。