软件说明
OSForensics允许您使用散列匹配、驱动签名比较、电子邮件、内存和二进制数据来识别可疑文件和活动。
它允许您通过高级文件搜索和索引快速从计算机提取取证证据,并使这些数据得到有效管理。
产品特征
发现取证更快
•更快地查找文件,按文件名、大小和时间搜索
•使用缩放搜索引擎在文件内容中进行搜索
•通过Outlook、ThunderBird、Mozilla等电子邮件存档搜索
•恢复和搜索已删除的文件
•揭露网站访问、下载和登录的最近活动
•收集详细的系统信息
•从Web浏览器恢复密码、解密办公文档
•发现和揭示硬盘中的隐藏区域
•浏览磁盘副本以查看文件的过去版本
识别可疑文件和活动
•使用MD5、SHA-1和SHA-256散列验证和匹配文件
•查找其内容与其扩展名不匹配的错误文件
•创建和比较驱动器签名以识别差异
•时间轴查看器提供了系统活动随时间的可视化表示
•文件查看器,可以显示流、十六进制、文本、图像和元数据
•电子邮件查看器,可以直接从存档显示邮件
•注册表查看器,允许轻松访问Windows注册表配置单元文件
•文件系统浏览器,用于在物理驱动器、磁盘和图片上进行支持的文件系统的类似浏览器导航
•原始磁盘查看器,用于导航和搜索物理驱动器,磁盘和图像上的原始磁盘字节
•Web浏览器,用于浏览和捕获在线内容以进行离线证据管理
•ThumbCache查看器,用于浏览Windows缩略图缓存数据库以查找可能曾在系统中存在的图像和文件的证据
•SQLite数据库浏览器查看和分析SQLite数据库文件的内容
•ESEDB查看器查看和分析ESE DB(.edb)数据库文件的内容,这是各种Microsoft应用程序使用的通用存储格式
•预取查看器,用于标识在系统上运行的应用程序的时间和频率,并由O / S的预取器重新排列
管理数字调查
•案例管理使您能够聚合和组织结果和案例项目
•HTML案例报表提供与案例关联的所有结果和项目的摘要
•集中管理存储设备,方便访问所有OSForensics的功能
•驱动映像以创建、恢复存储设备的精确副本
•从单个磁盘映像重建RAID阵列
•在USB闪存驱动器上安装OSForensics,以提高可移植性
•保持在调查过程中进行的确切活动的安全日志
Professional 和 Bootable Editions
OSForensics的专业和可引导版本有许多功能,包括;
•导入和导出散列集
•可定制的系统信息收集
•对通过OSForensics管理的案例数量没有限制
•在一个操作中恢复多个已删除的文件
•列出和搜索备用文件数据流
•按颜色对图像文件进行排序
•磁盘索引和搜索不限于固定数量的文件
•网络截图没有水印
•文件解密的多核加速
•可自定义的系统信息收集
•查看NTFS目录条目以标识潜在的隐藏或删除的文件
可启动版包含所有专业功能,以及在没有有效操作系统的系统上运行的能力。