便攜式移動偵查箱-電子物證檢驗鑒定、特警反恐防爆應急裝備器材
“便攜式移動偵查箱” 是一套針對現(xiàn)場取證����、勘察需求而設計的一套綜合取證分析系統(tǒng)���,可用于對智能手機����、平板�、計算機����、
硬盤�、移動存儲介質�、閃存卡進行快速取證和分析。支持對Windows���、MacOS��、Linux�、iOS���、Android等操作系統(tǒng)及數(shù)據(jù)進行處理����,可用于勘察現(xiàn)場���、實驗室等不同環(huán)境�����。
“便攜式移動偵查箱”內置有自主開發(fā)的“鑒證大師”��、虛擬仿真”�����,可實現(xiàn)計算機預檢����、一鍵取證、證據(jù)固定�、鏡像加載、智能分析�、內存分析、行為分析�����、關聯(lián)分析��、郵件分析���、注冊表分析�����、網(wǎng)絡痕跡分析���、定制報告等特色功能����。此外��,可以根據(jù)需要�,安裝�、運行X-Ways Forensics綜合取證分析工具,進一步增強取證分析效果�����。
綜合取證分析:
一個功能強大的���、綜合的取證�����、分析平臺����。它可在 Windows 2000/XP/2003/Vista/7/8操作系統(tǒng)下運行��,支持32位和64位版本���,甚至可以在PE下運行����。X-Ways Forensics軟件與WinHex緊密結合,運行速度快��、耗費資源少�、工作效率高,能夠發(fā)現(xiàn)更多其他分析工具無法找到的數(shù)據(jù)和文件��。
1 強大的十六進制查看和編輯能力�����。
2 支持磁盤克隆和鏡像��,獲取完整數(shù)據(jù)�����。
3 支持2TB以上的磁盤(超過2^32個扇區(qū)��,扇區(qū)最大大小為8KB)�����、Raid和鏡像的訪問。
4 可分析RAW/dd/ISO/VHD/VMDK格式原始數(shù)據(jù)鏡像文件中的完整目錄結構��,支持分段保存的鏡像文件�。
5 支持磁盤陣列JBOD�、RAID 0、RAID 5�、RAID 6(包括 Linux 軟件模擬的RAID)、Windows動態(tài)磁盤和 LVM2的重組�、分析和數(shù)據(jù)恢復。
6 察看并完整獲取RAM和虛擬內存中的運行進程�����。
7 多種數(shù)據(jù)恢復功能�,可對特定文件類型恢復(可導入FileSig軟件的上百種文件特征標識)。
8 基于GREP語法的文件頭簽名數(shù)據(jù)庫��。
9 強大的數(shù)據(jù)解釋器�����,支持20種數(shù)據(jù)類型����。
10 支持加載數(shù)據(jù)模版(可以自己編寫或使用現(xiàn)成的)�,便于查看和編輯二進制數(shù)據(jù)����。
11 數(shù)據(jù)擦除功能,可徹底清除存儲介質中的數(shù)據(jù)���。
12 可從磁盤或鏡像文件中收集殘留空間�、空余空間����、分區(qū)空隙中的信息。
13 創(chuàng)建證據(jù)文件中的文件和目錄列表����。
14 能夠非常簡單地發(fā)現(xiàn)并分析ADS數(shù)據(jù)(NTFS 交換數(shù)據(jù)流)。
15 支持多種哈希計算方法 (CRC32�����、ed2k�、MD4、MD5�����、SHA-1、SHA-256�、RipeMD、Adler32���、...)�。
16 強大的物理搜索和邏輯搜索功能��,可同時搜索多個關鍵詞���。
17 能夠讀取、創(chuàng)建.e01證據(jù)文件���,可對證據(jù)文件進行256位AES加密���。
18 支持審計日志。在軟件操作的過程中自動記錄操作日志���。
19 支持網(wǎng)絡驅動器的分析�����。
20 支持 FAT12���、FAT16��、FAT32����、exFAT����、TFAT、NTFS��、Ext2��、Ext3�����、Ext4��、Next3���、 CDFS/ISO9660/Joliet�����、UDF文件系統(tǒng)�����。
21 支持分區(qū)類型: 蘋果支持添加MBR, GPT (GUID), Windows動態(tài)卷 (MBR+GPT), LVM2 (MBR+GPT), 未分區(qū) (軟盤/大容量軟盤)�、BSD。
22 支持在Windows 2000/XP/Vista/2003 Server/2008 Server/7上的本地RAM或內存轉儲的主內存分析����。
Windows 口令突破:
法證實踐中,Windows登陸密碼是制約調查人員進行進一步在線取證���、實時分析的瓶頸。只有獲得了Windows管理員權限�、或者破解了Windows登陸口令,調查人員才可以進一步對系統(tǒng)中的數(shù)據(jù)進行分析���、虛擬仿真�����,發(fā)現(xiàn)更多的有價值信息�。全新的Windows密碼突破工具是一個套裝����,包含突破光盤和突破U盤��。通過利用此工具啟動嫌疑計算機�����,即可實現(xiàn)瞬間破解Windows安全體系�����,無需密碼即可登陸Windows��。支持至今所有版本Windows版本 (32/64位)���。
密碼突破工具僅針對執(zhí)法部門使用。
關閉狀態(tài)獲?��。?/b>
基于Linux的取證光盤��,在電腦不開機狀態(tài)下具有磁盤鏡像����、磁盤克隆、數(shù)據(jù)擦除��、鏡像加載等等很多功能�。
互聯(lián)網(wǎng)碎片恢復分析:
支持對Windows和Mac OSX系統(tǒng)下的各種網(wǎng)絡行為數(shù)據(jù)進行碎片級的數(shù)據(jù)恢復和解析,如即時通訊����、瀏覽器、P2P程序�、網(wǎng)絡郵箱、網(wǎng)絡存儲等多種互聯(lián)網(wǎng)應用��,同時支持對安卓手機和蘋果手機數(shù)據(jù)的分析�����。也可以對開機狀態(tài)下的計算機進行磁盤鏡像獲取和內存鏡像獲取��。
虛擬仿真
1 可直接從全盤或分區(qū)鏡像文件(RAW格式����,如DD���、img)引導啟動�。
2 支持從(寫保護的)硬盤啟動(IDE、SATA��、USB�����、IEEE1394)��。
3 支持由掛載軟件掛載的鏡像引導啟動���。
4 破解任何Windows用戶賬號密碼��。
5 可以利用還原點回到特定時間進行取證����。
6 可引導的操作系統(tǒng):Windows 3.1/95/98/ME/NT/2000/XP/Vista/7/Server 2003/Server 2008�、Linux、Mac OS X(10.5及以上)�。
7 可在虛擬的系統(tǒng)和自己的系統(tǒng)之間傳輸數(shù)據(jù)。
8 支持VM ware的全部特性�����。