index.html）或联系 [email protected] 了解购买信息。如有XWF相关问题，欢迎评论区或私信留言讨论！
本文主要是针对比赛题目进行分析和解题思路分享，只进行知识分享，不具一定的实战能力，后台不解答涉及可能侵害他人权利的问题，切勿用于违法犯罪活动。如果有工作方面的解答需求，敬请私信联系。

在X-Ways Forensics中，有一个专为取证设计的功能（有很多取证功能，但这个总体来看最特殊），叫包含报告表（Report table associations），在20.7版本后被称为标签（Labels）。从它的名字不难看出，是和软件生成的报告相关的，但是在新版本中，因为名称的变更，此概念的范围得到扩大。个人认为新的名称能更好地被用户理解，并且能鼓励用户不仅将其用于生成报告表，还用于更加细致地分析、归类、过滤相关文件。

下图是官方公告中的描述：

如果您的软件是20.7及以上版本的（或者您的软件是2022年11月15日之后发布的），那么您能看到的应该就是标签；如果是20.6及以下的，则显示为包含报告表，但由于国内一般不使用XWF生成的报告，您最好将其理解为标签。笔者手中的软件版本较老，因此在后面的教程中，软件会显示为包含报告表。

如果您的XWF中没有显示标签列，请使用鼠标左键单击红框区域，然后在弹出来的窗口中设置需要显示的列：

单击后，会弹出目录浏览及过滤设置，列宽以像素为单位 窗口：

单击红框标记的列表名称就能决定是否显示；框中的数字代表该列表的宽度，以像素为单位，您可以在目录浏览器或者事件列表中拖动控制大小，也可以输入分辨率；选中某个名称右边的圆圈，即蓝色框标记的部分，然后再点击右上角用绿色框标记的上下按钮，可以调整列顺序。

初探标签——尝试生成一份报告

我认为，在认识这个功能前，我们还是有必要了解报告表是怎么工作的，以及包含报告表/标签是怎么发挥作用的。所以接下来我们先看看应该如何生成一份报告。

首先，依然是新建案件、添加检材、进行磁盘快照，然后我们根据过滤器和分析结果对文件进行过滤、查看、分析，于是我们找到了一系列涉案文件：

磁盘快照完成后，我们递归浏览所有文件。由于本虚拟案例需要标记出所有和羊相关的图片，所以我们先批量过滤出常用图片，然后从大到小排序，并切换到略缩图模式快速定位涉案文件：

找到部分涉案文件后，我们使用空格键标记这个文件：

自动选中后，我们点击鼠标右键，选择报告表关联：

由于我们进行了比较彻底的磁盘快照，磁盘快照已经为我们添加了一些标签，但是我们暂时不需要看这些，我们需要为我们选中的图片添加标签，所以我们选择新建(N)...：

用户可以一次性创建多个标签，但是在此我们先只新建一个：

选择好之后，点击最下方的创建，即可为选中的文件添加标签。如果只需要添加一个标签，也可以双击该标签。

在选择标签时，可以选中多个标签，这样能同时给一个文件添加多个标签，用于表示这个文件的不同属性、性质。比如对于上述文件列表中的喜洋洋与灰太狼.mp3，本来是个jpg文件，却拥有mp3的后缀，所以我们可以为这种明显不正常的拓展名再添加一个标签：故意修改拓展名。如下图所示：

然后这个文件就拥有了多个标签：

细心的读者可能发现了，这个窗口内还有很多功能没有讲到，先不急，之后我会对部分进行讲解。对我们找到的部分涉案文件（为什么是部分，因为这个镜像中还有很多加密、隐写的文件，需要进一步分析才能得到），我们先创建一个报告。我们点击案件窗口的文件 -> 创建报告：

于是我们可以发现，在报告列表中，出现了我们之前创建的 包含报告表/标签 项目：

报告部分此处不会细讲，我们就做最简单的，把我们手动标记的文件添加到报告表，并生成报告，生成后的报告长这样：

进一步探索运用标签功能

大概了解报告后，我们继续回到标签功能上。

为了进一步展示此功能，我创建了大量标签，如下图所示：

我们发现，在我们标签的右边，有使用蓝色字体提示的快捷键，这个表示我们可以用 Ctrl + 数字 的方式，快速为文件添加标签；也可以用 Alt + 数字 的方式，取消掉某个具体的标签。添加删除单个标签的快捷键的范围为1~9，如果您记得住，就可以快速为文件添加相应的标签。如果按下Ctrl + 0，则会一次性删除所有标签。

在这个窗口的左边，有两个按钮可以控制标签的顺序，如下图：

这个顺序能决定在标签列或者详细信息中优先显示哪些标签，但不能更改其快捷键，也不会影响文件被打上了哪些标签（仅在20.0版本中测试），如下图：

如果我们删除掉一个标签，那么涉及的文件中，这个标签也会被去掉。比如，此处删掉了 有隐写措施 标签，会发现文件的标签中，这个标签被去掉：

对各类文件进行标记后，我们可以通过对标签进行过滤，分类别地显示我们需要的文件。比如，我们想过滤同时具有以下标签的图片 涉案图片：羊 和 需要询问嫌疑人查证，我们就可以按住 Ctrl键，选中这两个标签，然后在下方选择 AND 条件，并点击激活：

这样我们就得到了需要的文件（其他标签同理）：

对大量文件添加标签后，再进行分析时，这种过滤会非常有用，能大幅提高分析和分类的效率，便于在后期快速定位我们需要的文件。

XWF对标签的标记

添加标签后，会在文件名处显示诸如以下那样的标记，标记越多，代表包含的标签越多。标签为绿色，代表为用户手动添加；标签为灰色，代表XWF自动添加；标签为棕色，代表由Excire添加。如下图所示：

在较新版本中，XWF引入了 Excire 取证工具，能对图片进行分析、分类。关于Excire，可以参见：使用 X-Ways Forensics Excire 照片分析模块进行照片分析，。用户可以选择将分析结果输出到标签、注释还是元数据中，如下图所示，下图是磁盘快照中图片分析功能的相关选项：

如果选择添加到标签，那么在磁盘快照完成后，就能根据这些标签来筛选文件。此外，也可以根据文件名后面的标记数量来大致推测图片内容的复杂程度（复杂程度越高，标记往往越多，因为里面可能会识别出大量相关的标签）。像这种就是比较多的，也许、可能、maybe有点什么东西：

用户也可以对Excire识别出的标签进行过滤、分析。

此外，如果某个文件匹配到了哈希库，软件也会在标签中对其进行标记：

（关于Excire部分，感谢读者供图）

与证据容器相关的标签选项

将文件添加到证据容器时，可以选择是否将文件中的标签添加到容器里面。这个选项是个三态复选框，如果完全选中，将会把所有标签添加进去；如果半选中，则仅包括人为创建的；如果不选中，则不包括这些标签。

之后使用XWF或XWI打开证据容器时，就能看到之前添加的标签：

此外，在将文件添加到证据容器时，也可以选择 记录证据文件管理器并添加至报告表，选中后，如果成功添加了该文件，则会单独给该文件创建一个标签，标签名对应证据容器名称：

下图演示标签名称基于证据容器的名称：

使用标签进行多用户协同

请记住上面提到的证据容器，还会用到。

在XWF官方的设想里，一次取证分析可能涉及多人，不同分析员的智能不同，有些分析员可能精通XWF，而其他的一些可能是精通别的一些领域的，比如数据分析、图像处理等，如果希望分发检材，可以分发整个案件，但是官方建议仅把部分需要分发的文件通过证据容器分发给其他用户。随后，其他用户可以在自己的软件（XWF或XWI，甚至XWI CTR）里面打开并处理这些容器，尤其是可以添加额外的标签，比如：

最后，如果需要汇总所有人的分析成果，就可以使用案件的 导出报告表关联 或者 导出标签 功能（右键案件列表中的案件名称）将标签导出：

然后汇总的人就可以在案件中将这些被导出的标签文件导出，导入时需要选择其所在的文件夹，并且添加成功后这些文件会被删除。导入后，我们就能看到其他用户添加的标签了：

并且也能直接看到其他用户创建的标签，之后可以继续使用这些标签：

此外，用户也可以在案件属性中设置多用户支持选项：

这几个选项能影响标签后面方括号及方括号中内容的显示，比如是否显示其他用户，显示其他用户的全名还是缩写等。

后记

关于包含报告表和标签，笔者也是在一次偶然之中领悟到了强大之处，因为之前一直都认为报告表功能并无大用。现在，标签列是我分析页面中的常驻列，并且往往处在较为靠前的位置。虽然在国内的取证场景中，较少出现多用户协同分析、来回倒腾镜像和容器的情况，但是对于个人分析时的过滤和标注，个人认为是非常有帮助的，这也是XWF的一个强大之处，虽然怎么看都不太适合于国内的取证场景，但往往能很好地完成相关工作，并且提升取证效率。但是说回来依旧是XWF的老问题，功能过于强大，部分功能略显复杂，甚至被埋没在其他功能中，但是我相信随着用户熟练程度的增加，随着用户对XWF的精细设置，XWF只会越来越好用，也会越来越贴合用户自己的使用习惯。让我们在学习之路上共勉！