一般使用X-ways司法分析軟件案件加載證據文件或磁盤以后，首先要對磁盤進行磁盤快照，經過磁盤快照以后，它會把案件中的壓縮文件、電子郵件以及附件解開，刪除的數據恢復出來。經過磁盤快照的數據會比未經過磁盤快照時的文件數量更多，此時進行搜索得到的結果也會更準確

依據文件系統搜索并恢復目錄及文件：將當前磁盤中的刪除、丟失文件全部恢復。

通過文件簽名搜索并恢復文件：根據文件簽名值搜索特定類型格式文件，如：可以僅搜索并恢復doc格式文件。

計算哈希值：自動計算所有文件的哈希值。目錄、0字節文件沒有哈希值。算法支持MD5、SHA-1、SHA-256。

依據哈希庫對比哈希值：如果已經擁有完整的哈希庫，可在計算文件哈希值過程中，將哈希值與哈希庫中值比對，以確定文件哈希分類。例如，通過此選項排除已知的Windows系統文件。

依據文件簽名校驗文件真實類型：可判斷doc、jpg格式文件是否被改名或偽裝。

分析ZIP和RAR等壓縮文件中的數據：將壓縮文件釋放，并以虛擬目錄形式瀏覽。

導出電子郵件正文和附件：拆解電子郵件，將郵件正文與附件以虛擬形式顯示。

查找嵌入在正文內的圖片：可以將WORD、PPT等復合文件中的圖片抽取出來。

膚色圖片和黑白圖片檢測：用于檢測包含人體膚色特征的圖片和其他黑白文字圖片。

加密文件檢測：用于檢測特定類型加密文件，如加密的DOC、XLS文件。首先，通過熵值檢測，自動對大于255

字節的文件進行檢測。如果熵值超過設定值，文件屬性標記為"e?" ，表明應仔細檢查該文件。例如：PGP Desktop,

BestCrypt 或DriveCrypt 加密文件。熵值檢測不適用于ZIP, RAR, CAB, JPG, MPG 和SWF

等文件。其次、可檢測特定類型加密文件，如doc (MS Word 4至2003版)，xls (MS Excel

2至2003版)，ppt和pps (MS PowerPoint 97-2003)，mpp (MS Project

98-2003)，pdf (Adobe Acrobat)。如果為加密文件，文件屬性顯示 "e!" 。

更新快照：將當前案件中磁盤數據保持最新狀態。更新快照后，上述所有操作及搜索記錄等將全部被清空。