数据取证：GetData Forensic Explorer，强大的文件分析和数据恢复工具

news2024/9/22 0:55:13

天津鸿萌科贸发展有限公司是 GetData 公司 Forensic Explorer 电子数据取证调查软件的授权代理商。

Forensic Explorer 是一款适合新手和经验丰富的调查员使用的取证工具，它将灵活易用的图形界面与高级排序、过滤、关键词搜索、数据恢复和脚本技术相结合。可以快速处理大量数据，自动化复杂的调查任务，生成详细的报告并提高工作效率。Forensic Explorer 可以管理调查的各个方面，包括：

文件分析
关键词和索引搜索
自动图像分析（CSAM检测）
虚拟化实时启动
Email
注册表
报告

Forensic Explorer 软件功能介绍

杀毒功能：内嵌 Cisco Clam 杀毒软件。
自动分析：Forensic Explorer 使用先进的图像识别技术，提供极高的检测精确度，误检率接近于0。包括用于执法的CSAM检测添加剂。内嵌执法取证所需的 CSAM 检测加载项。
书签：对潜在证据打书签、标记或进行分类。
案件管理：创建、保存和加载案例文件。
数据访问：按文件、文本或十六进制级别，访问物理或镜像介质的所有区域。查看和分析系统文件、文件和磁盘闲置空间、交换文件、打印文件、引导记录、分区、文件分配表、未分配簇等。
数据雕刻：内置数据雕刻工具，可雕刻300多个已知文件类型。
数据浏览：强大的数据浏览功能，包括:

文件清单: 按属性排序和多维排序文件，包括扩展名、签名、哈希值、路径，以及创建、访问和修改日期。

磁盘: 通过图形化视图导航磁盘及其结构。可以进行缩放，以直观地显示磁盘使用状况。

画廊: 以图标形式显示照片和镜像文件。

显示: 显示超过300个文件类型。可以缩放、旋转、拷贝、搜索。播放视频和音乐。

文件系统记录: 便捷地访问和解释 FAT 和 NTFS 记录。

文本和十六进制: 以文本或十六进制形式访问和分析数据。使用 data inspector，自动解码数值。

文件范围: 利用开始和结束扇区，快速定位磁盘上文件的位置。

Byte Plot 和 Character Distribution: 使用字节图和ASCII字符分布图检查单个文件。

电子邮件：电子邮件支持的PST、OST、EDB、MBOX 格式。电子邮件的全面关键字和索引搜索功能。
导出：导出文件到磁盘,或直接到.L01取证证据文件。
GUI：在多个显示器上，拆解拖放视图，自定义工作空间。保存和装载个人工作空间配置，以适应调查需要。
哈希计算：在案例中应用哈希集合，以识别或排除已知文件。对单个文件进行哈希取值，以便分析。
索引：内置的 DTSearch 索引功能。
关键词搜索：使用文本、正则表达式或十六进制表达式对整个介质进行簇、扇区或字节级的关键字搜索。
语言：Forensic Explorer 符合 Unicode 编码标准。调查人员可以用荷兰语或阿拉伯语等母语形式搜索和查看数据。
界面语言：在安装 Forensic Explorer 时(注册表中设置语言选项)，可以将界面语言设置为 en、de、es、fr、ID、TR、zh。
元数据：提取和报告文件元数据，包括EXif、GPS、MS Office等。
挂载 (MIP)：将取证镜像文件挂载为 Windows 盘符(Mount Image Pro)。完全访问已删除文件、系统、未分配空间等。完全支持CLI模式。
RAID：支持物理或 RAID 取证镜像文件，支持软件或硬件 RAID, JBOD, RAID 0, RAID 5, RAID 6。
恢复：恢复已删除的文件夹和分区。
注册表：打开检查Windows注册表 HIVE 文件，筛选、分类和关键字搜索注册表键。自动分析注册表。
报告：报表定制器，具有预先定义的报表模板。
脚本：内置强大的 Delphi 脚本语言，元数据、注册表、肤色、时间线
Servlet（网络）：使用可部署网络端应用程序连接和检查远程驱动器。
卷影复制：可便捷添加和分析卷影复制文件。
签名：Forensic Explorer 可以自动验证一个案例中每个文件的签名，并识别那些不匹配的文件扩展名。
分类：基于通用的取证搜索标准，进行自动分类和报告。
虚拟实时启动：使用 VirtualBox 或 VMWare，将 Windows 或 MAC 取证镜像或物理磁盘虚拟化。
Yara 规则：Yara 规则使调查人员能够在数字证据中快速有效地识别恶意软件和其他形式的恶意软件。利用 Yara 规则，调查人员可以应用一组可定制的、基于文本的、被设计用来匹配特定数据特性的规则。