passmark osforensicss Pro
7.1 破解版- 軟件大小:156 MB
- 更新日期:2020-05-08
- 軟件語(yǔ)言:簡(jiǎn)體中文
- 軟件類別:文件管理
- 軟件授權(quán):免費(fèi)版
- 軟件官網(wǎng):未知
- 適用平臺(tái):WinXP, Win7, Win8, Win10, WinAll
- 軟件廠商:
軟件介紹人氣軟件相關(guān)文章網(wǎng)友評(píng)論下載地址
passmark osforensicss
Pro破解版提供證據(jù)收集功能,可以從用戶的電腦上恢復(fù)數(shù)據(jù),可以查看電腦隱藏的數(shù)據(jù),可以快速查詢硬盤文件、可以管理圖像、視頻、音頻等資源,方便用戶在查詢證據(jù)的時(shí)候獲得幫助,執(zhí)法人員可以通過(guò)本軟件快速掃描嫌疑人的電腦,快速提取自己需要的數(shù)據(jù),軟件界面功能非常多,提供幾十個(gè)常用的數(shù)據(jù)管理工具,支持自動(dòng)分類、處理案件、添加設(shè)備、法醫(yī)成像、系統(tǒng)信息、內(nèi)存查看器、用戶活動(dòng)、密碼、文件名搜索、刪除文件搜索、不匹配的文件搜索、原始磁盤查看器、注冊(cè)表查看器、網(wǎng)頁(yè)瀏覽器、創(chuàng)建索引等功能,如果你需要這款軟件就下載吧!
軟件功能
OSForensics包含用于搜索,收集,分析和恢復(fù)數(shù)字文物的模塊集合,這些文物可用作法庭上的法律證據(jù)。 OSForensics的主要功能概述如下。:
案例管理
此模塊用于將所有其他模塊的結(jié)果匯總到一個(gè)位置(案例)中,以便以后對(duì)結(jié)果進(jìn)行整體分析并報(bào)告結(jié)果。
自動(dòng)分類
Triaging為研究人員提供了一種自動(dòng)啟動(dòng)常見(jiàn)法證任務(wù)的簡(jiǎn)單方法,以便在有限的時(shí)間內(nèi)快速獲取最相關(guān)的證據(jù)數(shù)據(jù)。即使未經(jīng)法醫(yī)培訓(xùn)的人員在現(xiàn)場(chǎng)獲取可能具有潛在波動(dòng)性或危險(xiǎn)性的情報(bào),此功能也很有用。
文件名搜索
該模塊允許通過(guò)文件名搜索文件/目錄。
索引編制
索引允許在文件內(nèi)容中進(jìn)行全文搜索。還能夠在電子郵件存檔中搜索并將文本從未分配的磁盤扇區(qū)中拉出。
用戶活動(dòng)
該模塊使研究人員可以掃描系統(tǒng)以查看用戶活動(dòng)的證據(jù),例如訪問(wèn)的網(wǎng)站,USB驅(qū)動(dòng)器,無(wú)線網(wǎng)絡(luò)和最新下載的內(nèi)容。
刪除文件搜索
搜索并恢復(fù)最近從硬盤驅(qū)動(dòng)器中刪除的文件。
不匹配搜索
查找文件擴(kuò)展名不同于文件內(nèi)容建議的文件。例如。 .jpeg文件重命名為.txt文件。
內(nèi)存查看器
內(nèi)存查看器允許調(diào)查人員收集和分析易失性內(nèi)存存儲(chǔ)中的數(shù)字證據(jù)。由于內(nèi)存的非持久性,某些數(shù)字證據(jù)可能僅在實(shí)時(shí)系統(tǒng)上可用。
程序工件
程序工件查看器將Prefetch Viewer和AmCache Viewer分組為一個(gè)模塊。 “預(yù)取查看器”顯示由操作系統(tǒng)的“預(yù)取器”存儲(chǔ)的信息,其中包括運(yùn)行應(yīng)用程序的時(shí)間和頻率。 AmCache Viewer顯示來(lái)自AmCache配置單元的信息,其中包含有關(guān)程序可執(zhí)行文件和安裝的元信息。
原始磁盤查看器
原始磁盤查看器顯示磁盤的逐個(gè)扇區(qū)的原始內(nèi)容??梢允褂么四K識(shí)別和分析文件系統(tǒng)外部扇區(qū)中隱藏的數(shù)據(jù)。
注冊(cè)表查看器
注冊(cè)表查看器允許Windows注冊(cè)表配置單元(包括可以鎖定/使用文件的實(shí)時(shí)系統(tǒng))在OSForensics中打開和查看。
事件日志查看器
事件日志查看器允許查看Windows事件日志。該模塊允許對(duì)特定的日志文件采取各種操作,包括掃描,搜索,過(guò)濾,導(dǎo)出和時(shí)間線分析。
文件系統(tǒng)瀏覽器
文件系統(tǒng)瀏覽器以分層方式顯示添加到案例中的所有設(shè)備,類似于Windows資源管理器。與資源管理器不同,將顯示特定于取證分析的其他信息。
SQLite數(shù)據(jù)庫(kù)瀏覽器
SQLite數(shù)據(jù)庫(kù)瀏覽器以有組織的方式顯示SQLite數(shù)據(jù)庫(kù)文件的內(nèi)容,從而簡(jiǎn)化了導(dǎo)航和搜索。
網(wǎng)頁(yè)瀏覽器
Web瀏覽器提供了具有取證功能的基本W(wǎng)eb查看器。這包括保存網(wǎng)頁(yè)的屏幕截圖并將其添加到當(dāng)前打開的案例的功能。
密碼
從各種來(lái)源恢復(fù)和解密密碼。
系統(tǒng)信息
可以查看和導(dǎo)出有關(guān)系統(tǒng)核心組件的詳細(xì)信息。
驗(yàn)證/創(chuàng)建哈希
創(chuàng)建文件或整個(gè)硬盤的哈希(SHA1,MD5,CRC32)。
哈希集
哈希集是一種快速識(shí)別已知安全或已知可疑文件的工具,以減少進(jìn)行進(jìn)一步耗時(shí)的分析的需求。
簽名
簽名是系統(tǒng)在不同時(shí)間點(diǎn)的目錄結(jié)構(gòu)的快照。可以比較簽名以識(shí)別已添加,刪除和更改的文件。
驅(qū)動(dòng)準(zhǔn)備
通過(guò)驅(qū)動(dòng)器準(zhǔn)備,可以在連接到系統(tǒng)的固定和可移動(dòng)驅(qū)動(dòng)器上執(zhí)行字節(jié)模式驗(yàn)證測(cè)試。
法醫(yī)成像
將磁盤的逐位副本保存到映像文件中。將映像文件還原回磁盤。創(chuàng)建感興趣的文件/目錄的邏輯映像。
引導(dǎo)虛擬機(jī)
引導(dǎo)包含功能性操作系統(tǒng)的磁盤映像作為虛擬機(jī),以重新創(chuàng)建目標(biāo)系統(tǒng)的實(shí)時(shí)桌面環(huán)境。
內(nèi)部查看器
內(nèi)部文件查看器允許從OSForensics內(nèi)部預(yù)覽最常用的文件格式,而無(wú)需打開外部應(yīng)用程序。
郵件瀏覽器
電子郵件查看器提供了一個(gè)簡(jiǎn)單的界面,用于通過(guò)法證功能瀏覽和分析電子郵件。
剪貼板查看器
剪貼板查看器在實(shí)時(shí)系統(tǒng)上顯示存儲(chǔ)在剪貼板中的內(nèi)容,包括剪貼板歷史記錄和固定的項(xiàng)目(如果啟用)。
縮略圖緩存查看器
縮略圖緩存查看器提取存儲(chǔ)在Windows的縮略圖緩存文件中的縮略圖以供查看??s略圖緩存文件可能包含已在系統(tǒng)上刪除的圖像的證據(jù)。
ESE數(shù)據(jù)庫(kù)查看器
ESE數(shù)據(jù)庫(kù)查看器顯示ESE數(shù)據(jù)庫(kù)文件中包含的表和記錄。各種Microsoft應(yīng)用程序(包括Windows Search和Microsoft Exchange Server)以ESE數(shù)據(jù)庫(kù)文件格式存儲(chǔ)具有潛在取證價(jià)值的數(shù)據(jù)。
UsnJrnl查看器
UsnJrnl查看器解析并顯示存儲(chǔ)在NTFS $ UsnJrnl卷更改日志中的日志記錄。此信息對(duì)于識(shí)別文件系統(tǒng)或$ MFT中不再存在的可疑文件(例如,惡意軟件)很有用。
Plist查看器
查看OSX和iOS通常用于存儲(chǔ)設(shè)置和屬性的Plist(屬性列表)文件的內(nèi)容。
Android工件
該模塊允許研究人員掃描Android案例設(shè)備和備份,以查看用戶活動(dòng)的證據(jù),例如訪問(wèn)的呼叫日志,網(wǎng)站,消息和聯(lián)系人。
軟件特色
1、在文件中搜索
如果基本文件搜索功能是不夠的,OSForensics還可以創(chuàng)建索引的文件在硬盤上,這使得快如閃電的搜索文本文件內(nèi)所載,技術(shù) Wrensoft廣受好評(píng)的縮放搜索引擎背后的技術(shù)。
2、搜索郵件
能夠搜索文件內(nèi)的一個(gè)附加功能是能夠搜索電子郵件歸檔,索引過(guò)程中可以打開和閱讀最流行的電子郵件格式的文件(PST), 并確定個(gè)人信息。
這允許一個(gè)快速的系統(tǒng)上發(fā)現(xiàn)的任何電子郵件的文本內(nèi)容搜索。
4、恢復(fù)已刪除的文件
文件已被刪除后,甚至一度扔進(jìn)回收站,它往往仍然存在,直到另一個(gè)新的文件在硬盤驅(qū)動(dòng)器取代它的位置, OSForensics可以追 蹤到這個(gè)的ghost文件數(shù)據(jù),并試圖將其恢復(fù)到可用狀態(tài)的硬盤驅(qū)動(dòng)器上。
5、查看活動(dòng)的記憶體
看看什么是目前的系統(tǒng)主內(nèi)存直接,嘗試發(fā)現(xiàn)密碼和其他敏感信息,否則將無(wú)法訪問(wèn)。
選擇檢測(cè)系統(tǒng)的活動(dòng)進(jìn)程的列表, OSF也可以其內(nèi)存轉(zhuǎn)儲(chǔ)到磁盤上的文件,以備后查。
6、提取的登錄名和密碼
恢復(fù)從最近訪問(wèn)過(guò)的網(wǎng)站的用戶名和密碼,在常見(jiàn)的網(wǎng)頁(yè)瀏覽器,包括IE瀏覽器,火狐,Chrome瀏覽器 和Opera。
安裝方法
1、打開osf.exe軟件直接將其安裝,點(diǎn)擊接受協(xié)議
2、軟件的安裝地址是C:\Program Files\OSForensics
3、設(shè)置軟件的快捷方式名字,點(diǎn)擊下一步
4、軟件啟動(dòng)圖標(biāo)設(shè)置,點(diǎn)擊下一步
5、顯示軟件即將安裝的界面,點(diǎn)擊install
6、軟件正在安裝,等待安裝結(jié)束吧
7、提示安裝完畢界面,點(diǎn)擊finish結(jié)束安裝
8、將64/32位補(bǔ)丁復(fù)制到安裝地址替換主程序就可以完成激活
9、打開passmark osforensicss就可以正常使用,顯示很多功能
10、如果你會(huì)使用這款軟件就找到對(duì)應(yīng)的功能吧,也可以點(diǎn)擊右上角“help”查看教程
官方教程
新建哈希
文件的來(lái)源。 根據(jù)數(shù)據(jù)庫(kù)的范圍,它可以像“Bob's PC”一樣具體,也可以像整個(gè)組織一樣廣泛。
“新建哈希集”窗口允許用戶輸入用于生成新哈希集的屬性。單擊“哈希集”主窗口中的“新建集”按鈕可以訪問(wèn)此窗口。
當(dāng)前數(shù)據(jù)庫(kù)
哈希集所屬的數(shù)據(jù)庫(kù)的名稱。
起源
屬于哈希集的文件的來(lái)源。根據(jù)數(shù)據(jù)庫(kù)的范圍,它可以像“鮑勃的PC”一樣具體,也可以像整個(gè)組織一樣廣泛。
產(chǎn)品類別
文件關(guān)聯(lián)的產(chǎn)品類型。例如。文字處理器,圖像編輯器,操作系統(tǒng)。
制造商
哈希集中文件的原始創(chuàng)建者。例如。蘋果,微軟,谷歌
設(shè)定類型
文件集的分類。例如。安全,惡意軟件,盜版,可信任
操作系統(tǒng)
文件關(guān)聯(lián)的操作系統(tǒng)。
集合名稱
哈希集的名稱。哈希集名稱應(yīng)簡(jiǎn)要描述哈希集的內(nèi)容。例如。 Windows XP系統(tǒng)文件,病毒,藍(lán)圖。
哈希集查看器
哈希集查看器窗口允許用戶查看有關(guān)現(xiàn)有哈希集的詳細(xì)信息。 可以通過(guò)雙擊哈希集或通過(guò)在“哈希集”主窗口中右鍵單擊上下文菜單來(lái)訪問(wèn)此窗口。
該表包含哈希集中的文件列表和相應(yīng)的哈希值。
哈希集查找
在“文件名搜索”或“不匹配搜索”模塊中,可以對(duì)找到的文件進(jìn)行查找,以查看它們是否存在于當(dāng)前哈希數(shù)據(jù)庫(kù)中。這可以通過(guò)右鍵單擊列表并選擇“在哈希集中查找”來(lái)完成。
根據(jù)您是對(duì)單個(gè)文件還是對(duì)多個(gè)文件執(zhí)行此操作,您將獲得不同的界面。但是,在這兩種情況下,文件都會(huì)在原始列表中標(biāo)記為是否找到匹配項(xiàng)。
單文件哈希查找
查找結(jié)果顯示在表中,列出了在活動(dòng)數(shù)據(jù)庫(kù)的哈希集中找到的所有匹配項(xiàng)。
綠色元素表示匹配。
多個(gè)文件哈希查找
當(dāng)一次哈希比較多個(gè)文件時(shí),與哈希集中包含的條目匹配的文件將顯示在列表視圖中。
通過(guò)在右鍵菜單中選擇“將列表導(dǎo)出為文本...”,可以將匹配文件的列表導(dǎo)出為文本文件。
創(chuàng)建簽名
創(chuàng)建簽名模塊用于創(chuàng)建簽名文件。 這用于在特定時(shí)間點(diǎn)創(chuàng)建系統(tǒng)目錄結(jié)構(gòu)的快照。
可以使用默認(rèn)選項(xiàng)創(chuàng)建簽名,只需指定一個(gè)起始目錄并單擊“開始”按鈕即可。 單擊“配置...”按鈕以打開“創(chuàng)建簽名配置”窗口,可以找到用于簽名生成的高級(jí)選項(xiàng)。
創(chuàng)建簽名后,將提示用戶保存文件簽名。 即使簽名很大,保存也只需幾秒鐘。
單擊“停止”按鈕可以隨時(shí)取消簽名創(chuàng)建過(guò)程。
簽名文件創(chuàng)建配置窗口
簽名文件創(chuàng)建配置窗口允許對(duì)簽名創(chuàng)建過(guò)程進(jìn)行更高級(jí)的配置。通過(guò)單擊“創(chuàng)建簽名”主窗口中的“配置...”按鈕可以訪問(wèn)此窗口。
目錄清單
可以在此處配置要包括在簽名中/從簽名中排除的目錄。創(chuàng)建簽名時(shí),應(yīng)遞歸掃描每個(gè)包含目錄,并將其包含在簽名文件中。遞歸過(guò)程中將跳過(guò)排除的目錄。請(qǐng)注意,如果列表中的包含目錄在列表中包含另一個(gè)包含目錄,則公用文件將在簽名文件中包含兩次。
您可以包括來(lái)自注冊(cè)表的路徑,目錄選擇下拉列表包含可以添加的注冊(cè)表根鍵??梢耘c文件系統(tǒng)路徑相同地包含/排除注冊(cè)表子路徑。
其他設(shè)定
計(jì)算哈希
選中此框可為簽名中的每個(gè)文件計(jì)算SHA1或MD5哈希。這將增加簽名創(chuàng)建過(guò)程的第二步,比簡(jiǎn)單掃描花費(fèi)更多的時(shí)間,因?yàn)楹灻械拿總€(gè)文件都需要從硬盤驅(qū)動(dòng)器中完整讀取。默認(rèn)情況下禁用此選項(xiàng)。
創(chuàng)建注冊(cè)表路徑的簽名時(shí),這將哈希存儲(chǔ)在注冊(cè)表值中的數(shù)據(jù)。注冊(cè)表的散列比文件系統(tǒng)的性能損失要小得多,因?yàn)閿?shù)據(jù)少得多。
忽略修復(fù)點(diǎn)
選中此框可忽略重新分析點(diǎn)。重新解析點(diǎn)存在于NTFS驅(qū)動(dòng)器上,并顯示為普通文件夾。但是,它們充當(dāng)文件系統(tǒng)不同部分之間的鏈接。 Windows在其初始安裝中會(huì)創(chuàng)建許多此類重新解析點(diǎn)。默認(rèn)情況下啟用此選項(xiàng)。建議選中此選項(xiàng)。否則,掃描過(guò)程可能最終會(huì)多次包含同一文件。
忽略Windows臨時(shí)文件夾
忽略以下已知Windows臨時(shí)文件夾的硬編碼列表。默認(rèn)情況下啟用此選項(xiàng)。
“ \ AppData \ Local \ Microsoft \ Windows \ Temporary Internet Files”
“ \ AppData \ Local \ Temp”
“ \ AppData \ Roaming \ Microsoft \ Windows \ Cookies”
“ \ Users \ All Users \ Microsoft \ Search \ Data \ Temp”
“ \ Users \ All Users \ Microsoft \ Search \ Data \ Applications \ Windows \ Projects \ SystemIndex \ Indexer”
“ \ ProgramData \ Microsoft \ Search \ Data \ Applications \ Windows \ Projects \ SystemIndex \ Indexer”
“ \ ProgramData \ Microsoft \ Search \ Data \ Temp”
“ \ Windows \ Temp”
“ \ Windows \ Prefetch”
“ \ Windows \ System32 \ WDI”
“ \ Windows \ System32 \ LogFiles”
“ \ Windows \ System32 \ spool”
“ \ Windows \ System32 \ config”
“ \ Windows \ System32 \ winevt \ Logs”
包括已刪除的文件
掃描已刪除的文件(以及用于NTFS驅(qū)動(dòng)器的$ I30松弛條目),并將文件包括在簽名文件中。啟用此選項(xiàng)將減慢簽名創(chuàng)建過(guò)程。
將文件包含在Zip中/包括郵件存檔中的電子郵件
選擇這些選項(xiàng)將使簽名創(chuàng)建功能檢查zip文件或電子郵件存檔的內(nèi)容。在電子郵件的情況下,將存儲(chǔ)額外的元數(shù)據(jù)(即往返地址)。電子郵件附件也將作為單獨(dú)的條目添加。請(qǐng)注意,這些選項(xiàng)是遞歸的,如果zip文件中包含zip文件,或者電子郵件中包含電子郵件歸檔,則也將對(duì)其進(jìn)行檢查。如果同時(shí)選擇了這兩個(gè)選項(xiàng),則將檢查與電子郵件相關(guān)的zip以及zip中的電子郵件存檔。對(duì)于遞歸進(jìn)行的深度沒(méi)有固定的限制。
跟蹤硬鏈接
選擇此選項(xiàng)將使簽名創(chuàng)建功能跟蹤每個(gè)文件的硬鏈接。硬鏈接是文件的文件系統(tǒng)表示形式,通過(guò)它多個(gè)路徑引用同一卷上的單個(gè)文件。啟用后,僅將第一次遇到的文件添加到文件總大小中。隨后遇到與文件的硬鏈接不會(huì)增加文件的總大小。啟用此選項(xiàng)將減慢簽名創(chuàng)建過(guò)程。僅支持NTFS上的文件夾。
比較簽名
比較簽名模塊用于比較兩個(gè)先前創(chuàng)建的簽名,以便識(shí)別兩個(gè)時(shí)間點(diǎn)之間目錄結(jié)構(gòu)的差異。差異包括新文件,已修改文件和已刪除文件。
舊/新簽名
要比較的簽名文件的文件路徑。這兩個(gè)簽名的時(shí)間順序較早的應(yīng)為“舊簽名”,以便區(qū)別的術(shù)語(yǔ)正確。
信息
打開“簽名信息”窗口,該窗口顯示相應(yīng)簽名文件的詳細(xì)信息。
忽略設(shè)備名稱
選中此選項(xiàng)以比較簽名文件,而不考慮文件路徑中設(shè)備名稱的差異(例如,“ C:”,“ D:”,“ winxp:”)。
配置...
打開一個(gè)配置對(duì)話框,該對(duì)話框允許用戶調(diào)整簽名比較設(shè)置。
哈希集
單擊此按鈕使用比較中的差異列表創(chuàng)建哈希集。
出口
單擊此按鈕將簽名比較的結(jié)果保存到CSV文件。
相比
單擊此按鈕可以在簽名文件之間進(jìn)行比較。
簽名信息窗口
簽名信息窗口顯示有關(guān)簽名文件的詳細(xì)信息。通過(guò)單擊“比較簽名”主窗口中簽名文件上的“信息”按鈕,可以訪問(wèn)此窗口。
文件
簽名文件的文件路徑。
創(chuàng)立日期
創(chuàng)建簽名文件的日期和時(shí)間。
SHA1
簽名的內(nèi)部SHA1哈希。請(qǐng)注意,由于SHA1哈希存儲(chǔ)在簽名本身中,因此在簽名文件上運(yùn)行哈希函數(shù)將不會(huì)生成相同的哈希。但是,在加載簽名后會(huì)重新計(jì)算并檢查哈希,如果簽名已被修改,則會(huì)出現(xiàn)錯(cuò)誤。
簽名中包含的目錄
創(chuàng)建簽名文件時(shí)包含/不包含的目錄列表。
散列
此字段將指定針對(duì)此簽名中的條目計(jì)算的哈希類型(如果有)。
文件總數(shù)
此簽名中的條目總數(shù)。
文件總大小
此簽名中所有條目的累積大小。
忽略修復(fù)點(diǎn)
如果選中,則重新簽名點(diǎn)在創(chuàng)建簽名文件時(shí)將被忽略。
忽略Windows臨時(shí)文件夾
如果選中,則在創(chuàng)建簽名文件時(shí)將忽略已知的Windows臨時(shí)文件夾。
包括已刪除的文件
簽名創(chuàng)建過(guò)程是否包括已刪除的文件(以及NTFS驅(qū)動(dòng)器的$ I30松弛條目)。
在Zip文件中包含文件
簽名創(chuàng)建過(guò)程是否將文件包含在zip文件中。
包括郵件檔案中的電子郵件/包括電子郵件附件
簽名創(chuàng)建過(guò)程是否包括來(lái)自郵件存檔內(nèi)部的電子郵件和附件。
跟蹤硬鏈接
簽名創(chuàng)建過(guò)程是否跟蹤硬鏈接。如果跟蹤了硬鏈接,則只會(huì)將文件的第一次匹配記錄在文件大小中,并且每次后續(xù)遇到的文件都會(huì)將文件大小標(biāo)記為0,以不增加文件總大小。
簽名技術(shù)細(xì)節(jié)
以下是有關(guān)簽名和文件列表如何處理某些特殊情況的注釋列表。
電子郵件日期/時(shí)間
對(duì)于電子郵件,創(chuàng)建日期是發(fā)送日期,修改日期是接收日期。
單個(gè)電子郵件容器
僅包含單個(gè)電子郵件(即eml,msg)的文件仍會(huì)在簽名中獲得兩個(gè)條目。一個(gè)用于文件本身,另一個(gè)用于電子郵件。這是由于某些共享數(shù)據(jù)可能不同的事實(shí)。文件本身以及發(fā)送和接收消息的時(shí)間都有日期/時(shí)間。文件大小和哈希也將有所不同,請(qǐng)參見(jiàn)下文。
電子郵件的文件大小
電子郵件文件大小的計(jì)算公式為:
郵件標(biāo)題+郵件HTML內(nèi)容+郵件純文本內(nèi)容+郵件RTF內(nèi)容+任何附件的大?。ㄈ绻С郑?/p>
出于大小目的,除RTF以外的所有字段均被視為雙字節(jié)unicode。 RTF保留其原始的單字節(jié)格式。
容器中所有電子郵件的總大小將與文件的大小不同,在某些情況下,總大小會(huì)更大。這是消息HTML的人工產(chǎn)物,純文本內(nèi)容始終被視為雙字節(jié),而在內(nèi)部它可能已存儲(chǔ)為UTF-8或某些其他壓縮格式。
電子郵件附件限制
MBOX附件限制為50MB。如果附件大于此附件,則不包含在簽名/文件列表中,也不算作郵件哈希/文件大小的一部分。
絕不支持DBX附件。
電子郵件哈希
生成哈希時(shí),會(huì)為電子郵件生成兩個(gè)單獨(dú)的哈希。第一個(gè)存在于與普通哈希相同的字段中,是內(nèi)容的哈希,它構(gòu)成了上述電子郵件文件大小中所述的消息文件大小。
第二個(gè)哈希是僅消息內(nèi)容的哈希。 has是根據(jù)三個(gè)可能的內(nèi)容字段之一計(jì)算的。如果存在多個(gè)內(nèi)容類型,則按以下優(yōu)先級(jí)順序選擇它們。
純文本具有最高優(yōu)先級(jí),它被視為雙字節(jié)unicode,并且在散列之前刪除所有空格,換行符,制表符和回車符。
HTML具有第二高的優(yōu)先級(jí),它被視為未經(jīng)修改的雙字節(jié)哈希。
RTF是最低優(yōu)先級(jí),它被哈希為一個(gè)單字節(jié)字符串。
刪除的文件哈希
支持為已刪除文件中的內(nèi)容計(jì)算哈希($ I30松弛條目除外)。但是,請(qǐng)注意,已刪除的文件群集可能已被覆蓋和/或分配給另一個(gè)文件,從而導(dǎo)致計(jì)算的哈希值與原始文件不同。
大型Zip文件
不支持大于4GB的Zip存檔。僅頂級(jí)zip將被添加到簽名,而不是zip中的任何文件。
跟蹤硬鏈接
僅支持駐留在NTFS上的選定文件夾位置。
驅(qū)動(dòng)準(zhǔn)備
該模塊提供三種不同的功能。 首先,它可以測(cè)試驅(qū)動(dòng)器的可靠性,從而有可能在將任何故障驅(qū)動(dòng)器投入使用之前將其識(shí)別出來(lái)進(jìn)行調(diào)查。 其次,它可以將驅(qū)動(dòng)器的所有字節(jié)設(shè)置為指定的字節(jié)模式(并確認(rèn)該字節(jié)模式已寫入整個(gè)驅(qū)動(dòng)器),以確保兩次調(diào)查之間不會(huì)污染數(shù)據(jù)。 最后,它可以將驅(qū)動(dòng)器格式化為NTFS或FAT32文件系統(tǒng),以準(zhǔn)備進(jìn)行調(diào)查。
驅(qū)動(dòng)器清單
驅(qū)動(dòng)器列表顯示6列:
?驅(qū)動(dòng)器:顯示磁盤卷和/或物理驅(qū)動(dòng)器號(hào)??赡苓€會(huì)顯示卷名稱,磁盤類型,大小和文件系統(tǒng)類型。
?進(jìn)度:測(cè)試,歸零或驗(yàn)證的進(jìn)度,或文件系統(tǒng)格式的百分比。
?“磁盤測(cè)試”:測(cè)試完成或測(cè)試通過(guò)或失敗時(shí)顯示“進(jìn)行中”。
?Write / Verify Pattern:寫/驗(yàn)證或完成時(shí)通過(guò)或失敗,則顯示進(jìn)行中。
?格式:格式化或通過(guò)或完成后失敗,則顯示進(jìn)行中。
?狀態(tài):當(dāng)前活動(dòng)或結(jié)果的簡(jiǎn)短摘要。
通過(guò)選擇驅(qū)動(dòng)器列表中的多行,可以一次操作多個(gè)磁盤(最多100個(gè)磁盤)。您可以隨時(shí)使用“停止”按鈕停止操作。
如果自O(shè)SForensics啟動(dòng)以來(lái)已將其他驅(qū)動(dòng)器添加到系統(tǒng),則可以使用“刷新驅(qū)動(dòng)器列表”按鈕刷新可以測(cè)試的驅(qū)動(dòng)器列表。
驅(qū)動(dòng)器準(zhǔn)備選項(xiàng)
路測(cè)
此測(cè)試不會(huì)測(cè)試整個(gè)驅(qū)動(dòng)器,因?yàn)樵诖蠖鄶?shù)情況下,這將花費(fèi)很多小時(shí)。而是,為了提供最快的測(cè)試,同時(shí)提供最大的驅(qū)動(dòng)器測(cè)試覆蓋范圍,該測(cè)試直接而不是通過(guò)文件系統(tǒng)(例如,文件系統(tǒng))將測(cè)試數(shù)據(jù)寫入和讀取到驅(qū)動(dòng)器。 NTFS。該測(cè)試將測(cè)試驅(qū)動(dòng)器的起點(diǎn),驅(qū)動(dòng)器的終點(diǎn)以及之間的隨機(jī)樣本。測(cè)試的隨機(jī)樣本階段將繼續(xù)進(jìn)行,直到大約測(cè)試了10%的磁盤為止。這樣,驅(qū)動(dòng)器測(cè)試將刪除驅(qū)動(dòng)器上的文件系統(tǒng)信息(例如NTFS)和數(shù)據(jù)。此測(cè)試需要管理員權(quán)限。
快速行駛測(cè)試:選擇此項(xiàng)后,測(cè)試將保持約3分鐘。
可以測(cè)試的驅(qū)動(dòng)器顯示在物理驅(qū)動(dòng)器列表中。唯一允許測(cè)試的驅(qū)動(dòng)器是固定驅(qū)動(dòng)器和可移動(dòng)驅(qū)動(dòng)器。無(wú)法測(cè)試系統(tǒng)驅(qū)動(dòng)器(即“ C:”)。
將數(shù)據(jù)模式寫入整個(gè)驅(qū)動(dòng)器
此操作使硬盤驅(qū)動(dòng)器上的每個(gè)字節(jié)均設(shè)置為指定值(默認(rèn)為零)。在新的調(diào)查中使用驅(qū)動(dòng)器時(shí),有效地清空磁盤并消除數(shù)據(jù)交叉污染的任何可能性。完成寫模式過(guò)程后,“驗(yàn)證模式”操作可以通過(guò)從磁盤讀回所有數(shù)據(jù)并檢查每個(gè)字節(jié)值是否為指定的字節(jié)值來(lái)確保該過(guò)程成功,
由于此功能作用于整個(gè)驅(qū)動(dòng)器,因此可能需要一些時(shí)間,具體取決于驅(qū)動(dòng)器的大小。
格式化驅(qū)動(dòng)器
此操作將設(shè)置分區(qū)并格式化驅(qū)動(dòng)器??赡艽嬖诘娜魏我郧暗姆謪^(qū)或文件系統(tǒng)將被刪除,并替換為包含NTFS或FAT32文件系統(tǒng)的單個(gè)卷。僅在總大小不超過(guò)2 TB的驅(qū)動(dòng)器上允許使用FAT32。如果未選擇“快速格式化”,則該卷的可用磁盤空間將被寫入零。
“將驅(qū)動(dòng)器準(zhǔn)備日志寫入驅(qū)動(dòng)器根目錄”選項(xiàng)將寫入測(cè)試的簡(jiǎn)短文本日志以及在準(zhǔn)備驅(qū)動(dòng)器期間選擇的選項(xiàng)。只有格式化成功并且可以訪問(wèn)該卷時(shí),才能寫入驅(qū)動(dòng)器日志。
打開磁盤管理器
在測(cè)試驅(qū)動(dòng)器或?qū)懭氩Ⅱ?yàn)證數(shù)據(jù)模式之后,將需要格式化驅(qū)動(dòng)器。 “打開磁盤管理器”選項(xiàng)將打開Windows磁盤管理器,以允許根據(jù)需要對(duì)驅(qū)動(dòng)器進(jìn)行分區(qū)和格式化。
開始/停止
啟動(dòng)將在選定的驅(qū)動(dòng)器上啟動(dòng)選定的操作。如果選擇的話,操作順序?yàn)椤膀?qū)動(dòng)器測(cè)試”->“寫入模式”->“驗(yàn)證模式”->“格式”->“寫入日志”。您可以選擇另一項(xiàng)操作以開始連續(xù)的一鍵測(cè)試。啟用“錯(cuò)誤停止”時(shí)。如果上一步發(fā)生錯(cuò)誤,各個(gè)驅(qū)動(dòng)器將停止準(zhǔn)備工作,并且不會(huì)繼續(xù)進(jìn)行下一步。其他驅(qū)動(dòng)器將繼續(xù)正常運(yùn)行,直到完成。
停止將表示所有正在進(jìn)行的操作已停止(例如,驅(qū)動(dòng)器測(cè)試,寫入/驗(yàn)證數(shù)據(jù)模式或格式化)。
建立影像
OSForensics允許用戶獲取活動(dòng)系統(tǒng)或添加到機(jī)箱中的任何設(shè)備的分區(qū),磁盤和卷的精確副本。這對(duì)于從USB運(yùn)行OSForensics時(shí)的實(shí)時(shí)采集特別有用。但是,如果要從非實(shí)時(shí)系統(tǒng)復(fù)制驅(qū)動(dòng)器,請(qǐng)參閱OSFClone。
創(chuàng)建磁盤映像使用Windows內(nèi)置的Volume Shadow Copy服務(wù)。這使OSForensics可以復(fù)制正在使用的驅(qū)動(dòng)器,而不會(huì)因讀取當(dāng)前正在寫入的文件而導(dǎo)致數(shù)據(jù)損壞。這對(duì)于Windows正在不斷修改的映像系統(tǒng)驅(qū)動(dòng)器尤其重要。卷影副本啟動(dòng)后,驅(qū)動(dòng)器的快照狀態(tài)將在該時(shí)間點(diǎn)凍結(jié),因此,即使重要的證據(jù)被后臺(tái)的另一個(gè)進(jìn)程刪除,它也仍會(huì)出現(xiàn)在生成的圖像文件中。
如果卷影復(fù)制服務(wù)不可用,則OSForensics會(huì)嘗試鎖定驅(qū)動(dòng)器以防止任何其他程序?qū)ζ溥M(jìn)行寫入。如果無(wú)法做到這一點(diǎn),則會(huì)出現(xiàn)警告。沒(méi)有卷影或鎖的情況下復(fù)制的驅(qū)動(dòng)器在完成時(shí)易于創(chuàng)建損壞的映像。
一旦創(chuàng)建了驅(qū)動(dòng)器映像,便可以通過(guò)將其添加到機(jī)箱中或通過(guò)OSFMount進(jìn)行安裝來(lái)對(duì)其進(jìn)行分析。
源盤
要為其創(chuàng)建映像的分區(qū),磁盤,卷或設(shè)備。請(qǐng)注意,只有具有驅(qū)動(dòng)器號(hào)的分區(qū)才能進(jìn)行影子復(fù)制。
圖像文件
將圖像文件保存到的位置。還將在此位置創(chuàng)建一個(gè)具有相同名稱的.info文件。在指定要保存的圖像文件路徑后,根據(jù)所使用的文件擴(kuò)展名,圖像文件格式應(yīng)顯示在下方。
壓縮等級(jí)
如果圖像文件格式支持壓縮,則可以指定圖像文件的以下壓縮級(jí)別之一:無(wú),快速或最佳。
描述
圖像的簡(jiǎn)單描述,該圖像將存儲(chǔ)在隨附的.info文件中。
位置/地點(diǎn)
有關(guān)獲取磁盤的位置的描述。這將存儲(chǔ)在信息文件中。
哈希函數(shù)/輔助哈希函數(shù)
指定用于哈希的哈希函數(shù)。還可以指定輔助哈希函數(shù)來(lái)同時(shí)計(jì)算哈希值。
完成后驗(yàn)證圖像文件
選中此復(fù)選框可根據(jù)源磁盤哈希值來(lái)驗(yàn)證映像文件哈希值。這可能需要與初始成像一樣長(zhǎng)的時(shí)間,從而使整個(gè)過(guò)程的時(shí)間加倍。
禁用卷影復(fù)制
映像過(guò)程將不會(huì)嘗試使用Windows Volume Shadow Service執(zhí)行復(fù)制。
完成后將圖像元數(shù)據(jù)文件附加到案例
成像過(guò)程完成后,提示用戶將圖像驗(yàn)證文件(.info.txt)附加到大小寫。
狀態(tài)
成像過(guò)程的當(dāng)前狀態(tài)。在可用時(shí)還顯示持續(xù)時(shí)間。請(qǐng)注意,持續(xù)時(shí)間僅適用于該特定步驟或過(guò)程。
復(fù)制方式
用于創(chuàng)建磁盤映像(卷影副本或直接扇區(qū)副本)的方法。還有OSF是否成功鎖定了卷。
無(wú)法讀取的數(shù)據(jù)
如果一個(gè)扇區(qū)不可讀,它將用0填充該扇區(qū)并繼續(xù)。該字段可讓您知道由于訪問(wèn)受限或磁盤損壞而導(dǎo)致無(wú)法讀取的數(shù)據(jù)量。
恢復(fù)圖片
將映像還原到磁盤后,磁盤內(nèi)容將返回到先前的狀態(tài),從而使研究人員可以觀察到磁盤在連接到實(shí)時(shí)系統(tǒng)時(shí)發(fā)生的變化。如果調(diào)查人員希望引導(dǎo)正在運(yùn)行的計(jì)算機(jī)上的系統(tǒng)磁盤映像,以便從用戶的角度查看系統(tǒng)狀態(tài),則這可能很有用。
如果獲得了對(duì)磁盤的鎖定,則OSForensics只能還原映像文件。這是為了防止還原過(guò)程中任何其他程序?qū)懭氪疟P。為了使OSForensics成功獲得鎖,當(dāng)時(shí)沒(méi)有程序可以訪問(wèn)磁盤(例如,正在打開磁盤上的文件)。
源圖像文件
包含要還原磁盤的磁盤內(nèi)容的映像文件。
目標(biāo)磁盤
將映像文件的內(nèi)容寫入到的磁盤。
完成后驗(yàn)證磁盤
選中此選項(xiàng)以使用源映像文件哈希值驗(yàn)證目標(biāo)磁盤哈希值。這可能需要花費(fèi)恢復(fù)過(guò)程的時(shí)間,從而使整個(gè)過(guò)程的時(shí)間加倍。
狀態(tài)
還原過(guò)程的當(dāng)前狀態(tài)。在可用時(shí)還顯示持續(xù)時(shí)間。請(qǐng)注意,持續(xù)時(shí)間僅適用于該特定步驟或過(guò)程。
復(fù)制方式
用于還原磁盤映像的方法。這將始終是“直接扇區(qū)復(fù)制”。
隱藏區(qū)域-HPA / DCO
主機(jī)保護(hù)區(qū)(HPA)和設(shè)備配置覆蓋圖(DCO)是用于隱藏硬盤扇區(qū)以防止最終用戶訪問(wèn)的功能。
HPA的典型用法是存儲(chǔ)制造商的引導(dǎo)扇區(qū)代碼或診斷實(shí)用程序。但是,HPA也可以用于惡意目的,包括隱藏非法數(shù)據(jù),這可能是法醫(yī)調(diào)查人員感興趣的。
提出了DCO功能,以允許系統(tǒng)供應(yīng)商購(gòu)買不同大小的硬盤,但是將每個(gè)磁盤的硬盤容量設(shè)置為相同大小。再次,隱藏的扇區(qū)可以用于隱藏法醫(yī)感興趣的數(shù)據(jù)。
注意:如果刪除了HPA和/或DCO,則在系統(tǒng)能夠訪問(wèn)以前隱藏的扇區(qū)之前,需要先卸下/重新連接硬盤。就是在分離/重新連接硬盤之前,您將無(wú)法在Raw Disk Viewer中查看以前隱藏的扇區(qū)。但是,您仍然可以通過(guò)將HPA和/或DCO映像到文件,然后在內(nèi)部查看器中打開映像文件來(lái)查看隱藏區(qū)域的內(nèi)容而無(wú)需分離硬盤。
最大用戶LBA
用戶的最大可尋址扇區(qū)。這確定了磁盤報(bào)告給系統(tǒng)的容量。
最大本機(jī)LBA
磁盤允許的最大可尋址扇區(qū)。
最大磁盤LBA
物理磁盤的最大可尋址扇區(qū)。
HPA大小
最大用戶LBA和最大本機(jī)LBA之間的區(qū)域大小
刪除HPA
如果存在,則將刪除指定磁盤上的HPA?,F(xiàn)在可以訪問(wèn)HPA中以前隱藏的扇區(qū)。
圖像HPA
如果存在,則會(huì)創(chuàng)建HPA映像并將其保存到磁盤。成像后,HPA恢復(fù)到其原始狀態(tài)。
DCO尺寸
最大本機(jī)LBA和最大磁盤LBA之間的區(qū)域大小
刪除DCO
如果存在,則將刪除指定磁盤上的DCO?,F(xiàn)在可以訪問(wèn)以前隱藏在DCO中的扇區(qū)。
圖像DCO
如果存在,則會(huì)創(chuàng)建DCO的映像并將其保存到磁盤。成像后,DCO將恢復(fù)到其原始狀態(tài)。
注意:僅當(dāng)磁盤上沒(méi)有HPA時(shí)才能刪除DCO。就是必須先刪除HPA,然后才能刪除DCO和/或?qū)ζ溥M(jìn)行成像。
取決于硬盤,HPA / DCO區(qū)域可能被鎖定,因此無(wú)法刪除或成像。對(duì)于區(qū)域的大小,用“ N / A”表示。
訪問(wèn)HPA / DCO
一旦檢測(cè)到隱藏區(qū)域,請(qǐng)使用與特定隱藏區(qū)域相對(duì)應(yīng)的“圖像”按鈕,這將使您可以將該區(qū)域的內(nèi)容另存為圖像文件,在以下示例中,單擊“圖像HPA ...按鈕將使我們能夠保存檢測(cè)到的HPA的內(nèi)容。
現(xiàn)在已經(jīng)創(chuàng)建了HPA映像,您可以使用文件系統(tǒng)瀏覽器和內(nèi)部查看器查看它。導(dǎo)航到保存HP圖像的位置,右鍵單擊該圖像文件,然后選擇“使用Internal Viewer進(jìn)行查看”選項(xiàng)。現(xiàn)在,您將能夠查看該區(qū)域的十六進(jìn)制內(nèi)容,并使用其他內(nèi)部查看器功能,例如“提取字符串”,如下例所示。
創(chuàng)建邏輯映像
創(chuàng)建邏輯圖像使研究者可以將文件/目錄從一個(gè)或多個(gè)源設(shè)備復(fù)制到目標(biāo)文件夾或圖像文件,并保留盡可能多的文件系統(tǒng)元數(shù)據(jù)(例如日期/時(shí)間,屬性)。這在不希望制作證據(jù)設(shè)備的完整驅(qū)動(dòng)器映像的情況下很有用(例如,由于磁盤大?。?。請(qǐng)注意,在保留目錄結(jié)構(gòu),文件內(nèi)容和一些元數(shù)據(jù)的同時(shí),某些數(shù)據(jù)可能會(huì)從操作中丟失,例如松弛空間,碎片,未分配空間,已刪除文件等。
指定目標(biāo)目標(biāo)時(shí),調(diào)查可以指定文件夾或圖像文件(Windows 7或更高版本)以將目錄內(nèi)容復(fù)制到其中。如果選擇了“映像文件”選項(xiàng),則將生成虛擬硬盤(VHD)映像文件,其中應(yīng)包含目錄和內(nèi)容。在執(zhí)行復(fù)制操作之前,將創(chuàng)建VHD映像文件,將其附加并作為NTFS卷安裝到系統(tǒng)的驅(qū)動(dòng)器號(hào)上。操作完成后,將虛擬磁盤與系統(tǒng)分離,可以在其中將映像文件添加到機(jī)箱或使用Windows中的“磁盤管理”將其重新掛載。
運(yùn)行該操作時(shí),將生成一個(gè)日志,其中包含復(fù)制的文件/目錄,常規(guī)狀態(tài)消息和任何錯(cuò)誤消息。失敗的最常見(jiàn)原因是它們被另一個(gè)進(jìn)程鎖定,或者當(dāng)前用戶沒(méi)有訪問(wèn)它們的權(quán)限。日志可以導(dǎo)出到文本文件和/或作為附件添加到案例中。
下載地址
-
passmark osforensicss Pro 7.1 破解版
其他版本下載
- 查看詳情Project Reader破解版下載 5.1.0.0 中文版8.89 MB英文17-10-10
- 查看詳情XYplorer(文件管理) 20.90.400 綠色中文版3.69 MB簡(jiǎn)體中文20-05-19
- 查看詳情isual Source Safe 6.0中文版(vss6.0) 6.0 漢化版5.73 MB簡(jiǎn)體中文17-06-09
- 查看詳情Acrobat DC 2017下載 中文免費(fèi)版548 MB多國(guó)語(yǔ)言17-04-30
- 查看詳情adobe bridge cc 2020中文破解版 10.0.0.124免注冊(cè)版956 MB簡(jiǎn)體中文19-10-26
- 查看詳情File Viewer Plus下載(文件管理編輯器) 3.0.0.2 中文版78.54 MB簡(jiǎn)體中文18-09-06
- 查看詳情Tablacus Explorer(文件資源管理器) 20.05.23 綠色版552 KB英文20-05-26
- 查看詳情Adobe extension manager cc 2017 免費(fèi)版117 MB簡(jiǎn)體中文18-02-20
- 查看詳情word文件修復(fù)工具(Remo Repair Word)下載 2.0.0.28 官方版6.92 MB英文17-07-11
- 查看詳情DirPrintOK(文件夾樹形目錄生成器) 3.71 綠色中文版1.10 MB簡(jiǎn)體中文20-05-14
人氣軟件
數(shù)科閱讀器(OFD閱讀器)20.77 MB
/簡(jiǎn)體中文EndNote X8.1中文版下載(文獻(xiàn)管理軟件)95.56 MB
/漢化中文CDR文件瀏覽器(CDR文件打開查看器)1.56 MB
/簡(jiǎn)體中文GD格式文件閱讀器軟件20.5 MB
/簡(jiǎn)體中文丹青文件管理系統(tǒng)破解版212 MB
/簡(jiǎn)體中文mpp文件閱讀器綠色版43.2 MB
/簡(jiǎn)體中文Duplicate Cleaner中文版(重復(fù)文件管理)6.76 MB
/簡(jiǎn)體中文DWG Trueview 2018 64位下載790 MB
/多國(guó)語(yǔ)言beyond compare4下載(含注冊(cè)機(jī))33.2 MB
/簡(jiǎn)體中文Project Reader破解版下載8.89 MB
/英文
相關(guān)文章
查看所有評(píng)論>>網(wǎng)友評(píng)論共0條
精彩評(píng)論
- 最新評(píng)論