便攜式移動(dòng)偵查箱-電子物證檢驗(yàn)鑒定�����、特警反恐防爆應(yīng)急裝備器材
“便攜式移動(dòng)偵查箱” 是一套針對(duì)現(xiàn)場(chǎng)取證��、勘察需求而設(shè)計(jì)的一套綜合取證分析系統(tǒng)�����,可用于對(duì)智能手機(jī)��、平板����、計(jì)算機(jī)、
硬盤����、移動(dòng)存儲(chǔ)介質(zhì)、閃存卡進(jìn)行快速取證和分析�����。支持對(duì)Windows��、MacOS�����、Linux��、iOS��、Android等操作系統(tǒng)及數(shù)據(jù)進(jìn)行處理�����,可用于勘察現(xiàn)場(chǎng)�����、實(shí)驗(yàn)室等不同環(huán)境。
“便攜式移動(dòng)偵查箱”內(nèi)置有自主開(kāi)發(fā)的“鑒證大師”����、虛擬仿真”,可實(shí)現(xiàn)計(jì)算機(jī)預(yù)檢��、一鍵取證����、證據(jù)固定、鏡像加載�����、智能分析��、內(nèi)存分析����、行為分析、關(guān)聯(lián)分析��、郵件分析����、注冊(cè)表分析、網(wǎng)絡(luò)痕跡分析�����、定制報(bào)告等特色功能��。此外��,可以根據(jù)需要��,安裝��、運(yùn)行X-Ways Forensics綜合取證分析工具����,進(jìn)一步增強(qiáng)取證分析效果。
綜合取證分析:
一個(gè)功能強(qiáng)大的����、綜合的取證、分析平臺(tái)�����。它可在 Windows 2000/XP/2003/Vista/7/8操作系統(tǒng)下運(yùn)行,支持32位和64位版本����,甚至可以在PE下運(yùn)行。X-Ways Forensics軟件與WinHex緊密結(jié)合����,運(yùn)行速度快、耗費(fèi)資源少��、工作效率高�����,能夠發(fā)現(xiàn)更多其他分析工具無(wú)法找到的數(shù)據(jù)和文件�����。
1 強(qiáng)大的十六進(jìn)制查看和編輯能力����。
2 支持磁盤克隆和鏡像,獲取完整數(shù)據(jù)�����。
3 支持2TB以上的磁盤(超過(guò)2^32個(gè)扇區(qū),扇區(qū)最大大小為8KB)�����、Raid和鏡像的訪問(wèn)�����。
4 可分析RAW/dd/ISO/VHD/VMDK格式原始數(shù)據(jù)鏡像文件中的完整目錄結(jié)構(gòu)�����,支持分段保存的鏡像文件��。
5 支持磁盤陣列JBOD��、RAID 0��、RAID 5�����、RAID 6(包括 Linux 軟件模擬的RAID)����、Windows動(dòng)態(tài)磁盤和 LVM2的重組、分析和數(shù)據(jù)恢復(fù)�����。
6 察看并完整獲取RAM和虛擬內(nèi)存中的運(yùn)行進(jìn)程����。
7 多種數(shù)據(jù)恢復(fù)功能,可對(duì)特定文件類型恢復(fù)(可導(dǎo)入FileSig軟件的上百種文件特征標(biāo)識(shí))�����。
8 基于GREP語(yǔ)法的文件頭簽名數(shù)據(jù)庫(kù)����。
9 強(qiáng)大的數(shù)據(jù)解釋器,支持20種數(shù)據(jù)類型�����。
10 支持加載數(shù)據(jù)模版(可以自己編寫或使用現(xiàn)成的)�����,便于查看和編輯二進(jìn)制數(shù)據(jù)。
11 數(shù)據(jù)擦除功能��,可徹底清除存儲(chǔ)介質(zhì)中的數(shù)據(jù)����。
12 可從磁盤或鏡像文件中收集殘留空間、空余空間�����、分區(qū)空隙中的信息��。
13 創(chuàng)建證據(jù)文件中的文件和目錄列表��。
14 能夠非常簡(jiǎn)單地發(fā)現(xiàn)并分析ADS數(shù)據(jù)(NTFS 交換數(shù)據(jù)流)�����。
15 支持多種哈希計(jì)算方法 (CRC32�����、ed2k�����、MD4��、MD5����、SHA-1、SHA-256�����、RipeMD��、Adler32����、...)。
16 強(qiáng)大的物理搜索和邏輯搜索功能��,可同時(shí)搜索多個(gè)關(guān)鍵詞�����。
17 能夠讀取��、創(chuàng)建.e01證據(jù)文件�����,可對(duì)證據(jù)文件進(jìn)行256位AES加密。
18 支持審計(jì)日志����。在軟件操作的過(guò)程中自動(dòng)記錄操作日志。
19 支持網(wǎng)絡(luò)驅(qū)動(dòng)器的分析����。
20 支持 FAT12、FAT16��、FAT32�����、exFAT��、TFAT��、NTFS��、Ext2����、Ext3、Ext4�����、Next3�����、 CDFS/ISO9660/Joliet����、UDF文件系統(tǒng)。
21 支持分區(qū)類型: 蘋果支持添加MBR, GPT (GUID), Windows動(dòng)態(tài)卷 (MBR+GPT), LVM2 (MBR+GPT), 未分區(qū) (軟盤/大容量軟盤)�����、BSD��。
22 支持在Windows 2000/XP/Vista/2003 Server/2008 Server/7上的本地RAM或內(nèi)存轉(zhuǎn)儲(chǔ)的主內(nèi)存分析�����。
Windows 口令突破:
法證實(shí)踐中����,Windows登陸密碼是制約調(diào)查人員進(jìn)行進(jìn)一步在線取證�����、實(shí)時(shí)分析的瓶頸�����。只有獲得了Windows管理員權(quán)限�����、或者破解了Windows登陸口令����,調(diào)查人員才可以進(jìn)一步對(duì)系統(tǒng)中的數(shù)據(jù)進(jìn)行分析�����、虛擬仿真�����,發(fā)現(xiàn)更多的有價(jià)值信息��。全新的Windows密碼突破工具是一個(gè)套裝����,包含突破光盤和突破U盤。通過(guò)利用此工具啟動(dòng)嫌疑計(jì)算機(jī)�����,即可實(shí)現(xiàn)瞬間破解Windows安全體系�����,無(wú)需密碼即可登陸Windows��。支持至今所有版本Windows版本 (32/64位)��。
密碼突破工具僅針對(duì)執(zhí)法部門使用��。
關(guān)閉狀態(tài)獲?���。?/b>
基于Linux的取證光盤,在電腦不開(kāi)機(jī)狀態(tài)下具有磁盤鏡像�����、磁盤克隆��、數(shù)據(jù)擦除、鏡像加載等等很多功能�����。
互聯(lián)網(wǎng)碎片恢復(fù)分析:
支持對(duì)Windows和Mac OSX系統(tǒng)下的各種網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行碎片級(jí)的數(shù)據(jù)恢復(fù)和解析��,如即時(shí)通訊����、瀏覽器、P2P程序�����、網(wǎng)絡(luò)郵箱�����、網(wǎng)絡(luò)存儲(chǔ)等多種互聯(lián)網(wǎng)應(yīng)用��,同時(shí)支持對(duì)安卓手機(jī)和蘋果手機(jī)數(shù)據(jù)的分析����。也可以對(duì)開(kāi)機(jī)狀態(tài)下的計(jì)算機(jī)進(jìn)行磁盤鏡像獲取和內(nèi)存鏡像獲取�����。
虛擬仿真
1 可直接從全盤或分區(qū)鏡像文件(RAW格式,如DD�����、img)引導(dǎo)啟動(dòng)����。
2 支持從(寫保護(hù)的)硬盤啟動(dòng)(IDE、SATA��、USB����、IEEE1394)。
3 支持由掛載軟件掛載的鏡像引導(dǎo)啟動(dòng)����。
4 破解任何Windows用戶賬號(hào)密碼。
5 可以利用還原點(diǎn)回到特定時(shí)間進(jìn)行取證��。
6 可引導(dǎo)的操作系統(tǒng):Windows 3.1/95/98/ME/NT/2000/XP/Vista/7/Server 2003/Server 2008����、Linux����、Mac OS X(10.5及以上)��。
7 可在虛擬的系統(tǒng)和自己的系統(tǒng)之間傳輸數(shù)據(jù)�����。
8 支持VM ware的全部特性��。