數位鑑識的新紀元
Windows 版本
完整的數位鑑識調查解決方案
 |
OSF 可以在 Windows 上或數位映像檔上提供了最快,最強大的檔案搜尋功能。
透過 OSF 的檢索引擎可在檔案內容中進行任何搜尋,功能如:關連性排名,日期範圍搜尋,搜尋不可拆開的關鍵字並似類似 Google 搜尋結果呈現。 |
 |
調查和搜尋數百種檔案格式,包含 Office 和 Acrobat 文件,影像檔案(OCR),e-mails(Outlook,Thunderbird,Mozilla等),附件,ZIP 檔案,甚至二進位檔案與未分配的群集區。 |
 |
搜尋和恢復用戶可能嘗試銷毀或已從垃圾桶中刪除的檔案。 |
 |
掃描電腦以找出近期活動的證據,包含瀏覽的網站,已連接的USB 裝置,無線網絡,最新下載,網站登入的帳號與密碼。 |
 |
OSF 提供強大的工具,可在運行的電腦上或鑑識映像擋執行密碼恢復與破解,包括:
OSF 也提供雜湊 (hashes) 破解工具,可配合彩虹表或字典進行暴力破解。 |
 |
OSF 可以揭露硬碟的 HPA 和 DCO 隱藏區域,這些區域可用於惡意意圖,包括隱藏非法資料。 |
 |
使用 OSF 讀磁碟取陰影複製。 這使您可以查看硬碟在過去某個時間點的內容,並查看與現在之間的變化。藉由該功能找出被修改的檔案,甚至已刪除的檔案。 |
鑑定可疑的檔案與活動
| 使用 OSF 通過比較雜湊值來確認檔案沒有被破壞或被篡改,或者確定未知檔案是否屬於已知檔案集。透過 MD5,SHA-1 和 SHA-256 雜湊值來驗證並匹配檔案。 找出檔案內容與附檔名不匹配的檔案。 |  |
| 建立並比較硬碟的數位簽名,以識別系統上的差異和更改。 OSF 允許您建立硬碟的數位簽名,並在建立數位簽名時保存相關系統上的檔案與目錄結構資訊。 |  |
| OSF 內建時間軸檢視功能,該圖表可提供一段時間內檔案和系統活動的視覺化呈現,協助鑑識人員確認發生重大活動的日期範圍,或建立以年,月或日的行為模式。 |  |
OSF 提供了一套完整的工具來分析檔案,電子郵件和系統資訊,包括:
-
- File viewer:呈現 16進位, 文字,圖像,數據元。
- Email biewer:可直接現從封存資料呈現資訊 。
- Registry biewer:提供簡易方式讀取登錄檔內容。
- File system browser:呈現 16進位, 文字,圖像,數據元。
- Raw disk viewer:原始硬碟檢視可瀏覽和搜索物理硬碟,分割區與映像檔上的資料。
- Web browser:可瀏覽與擷取線上網站資料供離線數位證據管理。
- ThumbCache viewer:瀏覽 Windows 縮圖快取資料庫,找出曾經在系統的檔案與圖檔資料。
- SQLite database browser:開啟與瀏覽 SQLite 資料庫檔案。
- ESEDB viewer:可檢視並分析微軟應用程式所採用的 ESE DB (.edb) 資料庫檔案。
- Prefetch viewer:檢視 Plist 檔案內容,主要為 MacOS, OSX 與 iOS 作業系統存儲設定使用。
- $Usnjrnl viewer:檢視儲存於 USN Journal 內的項目,主要用於追蹤 NTFS 檔案系統分區變更記錄。
管理數位調查
 |
OSForensics 可以安裝於 USB 裝置並透過 USB 上開機。在進行調查時可符合數位鑑識調查程序,避免汙染證據。 |
 |
將您的調查檔案匯出成可讀取且客製化的報告,並顯示與該案例相關的所有證據。 在調查的任何時候,對客戶或執法人員提供易閱讀的鑑識報告摘要。 |
 |
集中管理存儲設備,以便 OSF 快速讀取數位證據。 |
 |
|
 |
OSF 可以自動產生於調查過程中所進行的所有動作的安全審核軌跡。 |
 |
OSForensics 可以安裝並執行於 USB 隨身碟上。 可將調查直接帶到目標電腦,而不必擔心汙染數位證據。 |
專業可開機版的 OSForensics
專業可開機版的 OSForensics 提供更多免費版不支援的功能,如下:
|
 |