【Myhex的过滤条件】

来源：https://flowus.cn/share/a4740dbd-a371-4c2a-9657-8643262fe96a

喜欢X-Ways/Winhex的人，一定对文件过滤情有独钟。在所有取证软件中，X-Ways的过滤是最简单、明了和直接的。最新版本Myhex和鉴证大师都采用了同样的文件过滤方法。郭老师今天整理了一些最新的过滤条件，将在下一个Myhex更新版本中一起发送给大家使用。先看看今天郭老师的整理结果。

**1、过滤条件：APP痕迹-WPS-WPS本地备份**
这个过滤条件是用于查看镜像中存在的**“WPS自动备份文件”**。大家自己可能都不知道WPS“**帮助“**咱们在硬盘中备份了多少数据。郭老师用Myhex过滤了一下自己的硬盘，竟然找到191个文件，涉及的文件扩展名有.WPS、.ET、.PPTX、.DOCX等很多，文件也都是郭老师最近编辑过的文档。

**2、过滤条件：APP痕迹-WPS-WPS云备份**
WPS总是希望用户注册、登录，启用云同步，然后就会帮用户把数据同步到云盘，本地文档也变成云文档。大家选择“WPS网盘”，就可以看到自己最近访问的、被WPS云同步的数据。

利用Myhex的“**APP痕迹-WPS-WPS云备份**”这个过滤条件，可以把缓存在用户本地的云文档快速过滤出来。查看过滤结果发现，WPS云文档在本地依然存在缓存痕迹。图中是郭老师昨天编辑过的文档，这些文档除了保存在郭老师自己的移动硬盘中之外，还被WPS自动被存入到云备份中，且另外还在本地硬盘中存在云缓存副本。

**3、保存一个过滤条件：APP痕迹-WPS-WPS日志**
WPS为防止程序出错文档崩溃，会存在一种BKL文件，记录了用户最后一次打开和编辑过的文档的名称。
知道如何找到这个文件后，我们可以自己创建一个过滤条件，证明过滤条件无误后，选择Myhex右上角的“磁盘”图标来保存过滤条件。保存后的过滤条件就可以永远使用了。

看完郭老师准备的这些过滤条件后，大家觉得Myhex的过滤功能如何呢？下一周把macOS和Linux过滤条件完成后分享给大家。最近准备考试、做题、竞赛、实际案件的朋友，都可以试试。

原文始发于微信公众号（电子物证）：【Myhex的过滤条件】