適用于新的或有經(jīng)驗(yàn)的調(diào)查人員���,F(xiàn)orensic Explorer結(jié)合了靈活和易于使用的GUI與先進(jìn)的排序,過濾�����,關(guān)鍵字搜索����,數(shù)據(jù)恢復(fù)和腳本技術(shù)。
適用于新的或有經(jīng)驗(yàn)的調(diào)查人員,F(xiàn)orensic Explorer結(jié)合了靈活和易于使用的GUI與先進(jìn)的排序����,過濾,關(guān)鍵字搜索�,數(shù)據(jù)恢復(fù)和腳本技術(shù)?��?焖偬幚泶罅繑?shù)據(jù)�、自動(dòng)化復(fù)雜的調(diào)查任務(wù)���、生成詳細(xì)的報(bào)告并提高生產(chǎn)效率�����。管理調(diào)查的各個(gè)方面����,包括:
- 文件系統(tǒng)分析
- 關(guān)鍵詞和索引搜索
- 實(shí)時(shí)引導(dǎo)虛擬化
- 電子郵件
- 登記處
- 報(bào)告
主要特點(diǎn)
- Forensic Explorer包含Mount Image Pro的獨(dú)立許可證�����。
- 無重大版本升級(jí)成本(有效維護(hù)允許訪問最新版本)�����。
此軟件功能包括:
反病毒:
內(nèi)置Cisco Clam反病毒軟件。
書簽:
標(biāo)記��、標(biāo)記或分類潛在證據(jù)�����。
病例管理:
創(chuàng)建�、保存和加載案例文件�����。
數(shù)據(jù)訪問:
以文件�、文本或十六進(jìn)制級(jí)別訪問物理或圖像媒體的所有區(qū)域。查看和分析系統(tǒng)文件�、文件和磁盤空閑、交換文件�、打印文件、引導(dǎo)記錄��、分區(qū)��、文件分配表���、未分配的群集等����。
數(shù)據(jù)雕刻:
內(nèi)置數(shù)據(jù)雕刻工具,可雕刻300多種已知文件類型�����。
數(shù)據(jù)視圖:
強(qiáng)大的數(shù)據(jù)視圖包括:
- 文件列表:按屬性對(duì)文件進(jìn)行排序和多個(gè)排序����,包括擴(kuò)展名、簽名�、哈希、路徑以及創(chuàng)建��、訪問和修改日期���。
- 磁盤:通過圖形視圖導(dǎo)航磁盤及其結(jié)構(gòu)��。放大和縮小以圖形方式映射磁盤使用情況��。
- 圖庫:縮略圖照片和圖像文件�。
- 顯示:顯示300多種文件類型���?����?s放���、旋轉(zhuǎn)��、復(fù)制、搜索�。播放視頻和音樂。
- 文件系統(tǒng)記錄:輕松訪問和解釋FAT和NTFS記錄����。
- 文本和十六進(jìn)制:以文本或十六進(jìn)制訪問和分析數(shù)據(jù)。使用數(shù)據(jù)檢查器自動(dòng)解碼值��。
- 文件范圍:通過開始和結(jié)束扇區(qū)運(yùn)行����,快速定位磁盤上文件的位置。
- 字節(jié)圖和字符分布:使用字節(jié)圖和ASCII字符分布檢查單個(gè)文件���。
電子郵件:
電子郵件支持PST���、OST�����、EDB和MBOX格式���。電子郵件的完整關(guān)鍵字和索引搜索功能。
導(dǎo)出:
將文件導(dǎo)出到磁盤�����,或直接導(dǎo)出到.L01法醫(yī)證據(jù)文件�。
圖形用戶界面:
在多個(gè)監(jiān)視器上分離自定義工作空間的拖放視圖。保存并加載個(gè)人工作空間配置��,以滿足調(diào)查需求���。
散列:
將哈希集應(yīng)用于案例�����,以識(shí)別或排除已知文件���。散列單個(gè)文件進(jìn)行分析���。
- 加密:MD5,SHA1����,SH256,CRC
- 相似性:模糊����,微分
- ProjectVic,ProjectVic
索引:
內(nèi)置DTSearch索引功能�。
關(guān)鍵詞搜索:
使用文本���、正則表達(dá)式或十六進(jìn)制表達(dá)式對(duì)整個(gè)媒體進(jìn)行群集�����、扇區(qū)或字節(jié)級(jí)關(guān)鍵字搜索���。
語言:
Forensic Explorer符合Unicode標(biāo)準(zhǔn)。調(diào)查人員可以搜索和查看母語格式的數(shù)據(jù)�����,如荷蘭語或阿拉伯語。
語言GUI:
FEX GUI語言可以在安裝時(shí)設(shè)置為EN���、DE�����、ES��、FR�、ID����、TR、ZH(語言選項(xiàng)在注冊(cè)表中設(shè)置)����。
元數(shù)據(jù):
提取和報(bào)告文件元數(shù)據(jù),包括EXIF�、GPS、MS Office等�����。
安裝(MIP):
將法醫(yī)圖像文件作為Windows驅(qū)動(dòng)器號(hào)裝入(Mount image Pro)。完全訪問已刪除��、系統(tǒng)��、未分配等�。完全CLI功能。
RAID:
使用物理或取證成像的RAID介質(zhì)�����,包括軟件和硬件RAID��、JBOD��、RAID 0�、RAID 5、RAID 6���。
恢復(fù):
恢復(fù)已刪除的文件夾和分區(qū)。
注冊(cè)表:
打開并檢查Windows注冊(cè)表配置單元���。篩選�����、分類和關(guān)鍵字搜索注冊(cè)表項(xiàng)���。自動(dòng)化注冊(cè)表分析��。
報(bào)告:
帶有預(yù)定義報(bào)告模板的自定義報(bào)告生成器�����。
腳本編寫:
內(nèi)置強(qiáng)大的Delphi腳本語言���。內(nèi)置腳本用于:
- 元數(shù)據(jù)
- 登記處
- 膚色
- 時(shí)間線
網(wǎng)絡(luò)服務(wù):
使用可部署的網(wǎng)絡(luò)服務(wù)連接并檢查遠(yuǎn)程驅(qū)動(dòng)器。
卷影副本:
輕松添加和分析卷影復(fù)制文件����。了解有關(guān)Forensic Explorer卷影復(fù)制卷的詳細(xì)信息。
簽名:
Forensic Explorer可以自動(dòng)驗(yàn)證案件中每個(gè)文件的簽名�����,并識(shí)別那些不匹配的文件擴(kuò)展名�。
分類:
自動(dòng)分類并報(bào)告常見的法醫(yī)搜索標(biāo)準(zhǔn)。
虛擬實(shí)時(shí)啟動(dòng):
使用VirtualBox或VMWare虛擬化Windows和MAC取證映像和物理磁盤�。
系統(tǒng)要求
Forensic Explorer軟件包括Mount Image Pro(Mount Image Pro是作為單獨(dú)的獨(dú)立產(chǎn)品安裝的)。建議在滿足以下最低系統(tǒng)要求的情況下運(yùn)行Forensic Explorer和Mount Image Pro:
- 英特爾®Core i7或i9
- 16 GB內(nèi)存
- 64位Windows 10
- 以本地管理員用戶身份安裝和運(yùn)行���。
虛擬實(shí)時(shí)引導(dǎo)需要VirtualBox或VMWare作為虛擬化過程的一部分�。
激活
- Forensic Explorer和Mount Image Pro通過Wibu Codemeter(www.wibu.com)USB加密狗激活(加密狗可以包含一個(gè)或多個(gè)許可證)。加密狗可以是本地的���,也可以是遠(yuǎn)程的(通過IP地址訪問)�。
- 支持網(wǎng)絡(luò)許可�����,例如��,單個(gè)加密狗包含多個(gè)許可證���,可根據(jù)需要激活實(shí)驗(yàn)室計(jì)算機(jī)�����。
支持的文件格式
Forensics Explorer支持分析以下圖像格式:
- AFF v4
- Apple DMG
- DD(RAW�����、BIN、IMG)
- EnCase®(E01�����、L01、Ex01)
- FTK®(E01���、AD1格式)
- ISO(CD和DVD圖像文件)
- Macquisition
- NUIX File Safe(MFS01)
- Oxygen Backups(OCB)
- ProDiscover®
- SMART®
- 虛擬磁盤映像(VDI)
- 虛擬硬盤(VHD����、VHDX)
- VMWare®(VMDK)
- XWays(E01�、CTR)
- ZIP
支持的文件系統(tǒng)
Forensic Explorer支持以下分析:
- Windows FAT12/16/32、exFAT�����、NTFS��、�����,
- Macintosh HFS�、HFS+、APFS
- EXT 2/3/4
- 硬件和軟件RAID:JBOD�、RAID 0、RAID 5���、RAID 6
加密支持
解鎖以下內(nèi)容(需要密碼或恢復(fù)密鑰):
處理
截圖
證據(jù)模塊
添加和管理證據(jù)源���,包括設(shè)備��、取證圖像����、文件和遠(yuǎn)程數(shù)據(jù):
文件系統(tǒng)模塊
文件系統(tǒng)模塊是進(jìn)行大量分析的地方�����。使用過濾�����、排序和數(shù)據(jù)視圖(顯示視頻視圖)快速定位證據(jù):
報(bào)告模塊
快速生成可另存為模板并用于未來調(diào)查的復(fù)雜報(bào)告:
購買和授權(quán)常見問題解答
許可證類型
Forensic Explorer許可證是永久許可證*�。許可證不會(huì)過期。
購買包括12個(gè)月的軟件維護(hù)和支持(SMS)����。SMS提供定期軟件更新和技術(shù)支持。
Wibu碼表激活加密狗(Wibu加密狗)
該軟件由Wibu加密狗上的許可證激活���。Wibu加密狗可以持有一個(gè)或多個(gè)許可證��。它可以是:
- 本地連接(即插入正在使用的計(jì)算機(jī))��;或
- 連接到遠(yuǎn)程計(jì)算機(jī)并通過網(wǎng)絡(luò)訪問����。
許可證管理
Wibu加密狗許可證使用GetData License Manager軟件進(jìn)行管理�。許可證管理器用于:
- 查看許可證信息。
- 向Wibu加密狗添加許可證���。
- 重命名加密狗��。
- 應(yīng)用固件更新�����。
GetData產(chǎn)品中安裝了Wibu CodeMeter軟件的精簡(jiǎn)版���。Windows CodeMeter用戶運(yùn)行時(shí)的完整版本可從Wibu網(wǎng)站獲得。它可用于:
- 將計(jì)算機(jī)和加密狗配置為許可證服務(wù)器����;
- 配置用作網(wǎng)絡(luò)客戶端的計(jì)算機(jī);
- 重命名加密狗�、應(yīng)用固件更新和其他維護(hù)功能���。
