版本:6.1.1005
大小:109.18 MB
环境:PC端
日期:2021- 6-19
OSForensics允许您使用哈希匹配,驱动器签名比较,电子邮件,内存和二进制数据来识别可疑文件和活动。它允许您使用高级文件搜索和索引快速从计算机中提取取证证据,并使这些数据得以有效管理。
6.0新功能
索引速度提高了3倍,大大改进了索引引擎,具有多线程,RAM驱动和预扫描旁路选项
OCR(光学字符识别)允许您搜索照片和图像中的文本*仅限Win10
加密的PDF报告
磁盘映像的主要和辅助哈希函数
从原始磁盘查看器跳转到MFT记录
磁盘映像中保存的磁盘型号和序列号
快速哈希集功能
导入项目VIC JSON文件
EFS(加密文件系统)支持
比较新版本的Volatility Workbench,支持Mac和Linux
为近期活动工件收集新的Win10时间轴数据库
检查Skype Sqlite数据库文件
恢复BitLocker密钥
从YouTube等网站提取MP4格式的视频
改进的自动分类功能
软件特征
更快地发现法医证据
更快地查找文件,按文件名,大小和时间搜索
在Office,Acrobat文档,图像文件等文件内容中索引和搜索
从Outlook,ThunderBird,Mozilla等搜索电子邮件存档
恢复和搜索已删除的文件
揭示近期的网站访问,下载和登录活动
收集详细的系统信息
从Web浏览器恢复密码,解密办公文档
发现并显示硬盘中的隐藏区域
浏览卷影副本以查看过去的文件版本
识别可疑文件和活动
使用MD5,SHA-1和SHA-256哈希验证和匹配文件
查找内容与其扩展名不匹配的错误名称文件
创建并比较驱动器签名以识别差异
时间线查看器提供系统活动随时间的直观表示
文件查看器,可以显示流,十六进制,文本,图像和元数据
可以直接从存档中显示消息的电子邮件查看器
注册表查看器允许轻松访问Windows注册表配置单元文件
文件系统浏览器,用于在物理驱动器,卷和映像上支持类似于资源管理器的文件系统导航
原始磁盘查看器,用于导航和搜索物理驱动器,卷和映像上的原始磁盘字节
用于浏览和捕获在线内容以进行离线证据管理的Web浏览器
ThumbCache查看器,用于浏览Windows缩略图缓存数据库,以获取可能曾在系统中的图像/文件的证据
SQLite数据库浏览器查看和分析SQLite数据库文件的内容
ESEDB查看器,用于查看和分析ESE DB(.edb)数据库文件的内容,这是各种Microsoft应用程序使用的通用存储格式
预取查看器,用于识别系统上运行的应用程序的时间和频率,并由O / S的预取程序记录
Plist查看器可查看MacOS,OSX和iOS常用的Plist文件的内容,以存储设置
$ UsnJrnl viewer查看存储在USN Journal中的条目,NTFS用它来跟踪卷的更改
管理您的数字调查
案例管理使您可以聚合和组织结果和案例项
HTML案例报告提供了与案例关联的所有结果和项目的摘要
集中管理存储设备,便于访问所有OSForensics的功能
驱动器映像,用于创建/还原存储设备的精确副本
从单个磁盘映像重建RAID阵列
在USB闪存驱动器上安装OSForensics以获得更多可移植性
保持在调查过程中进行的确切活动的安全记录
更新日志
Android工件
修复了错误列出呼叫类型的错误(例如传入,未接等等)
合并/清理联系人列表。 具有相同RawContactId的联系人被合并到一个列表中(以前每个电子邮件,每个电话等有一个条目)
将OSFExtract Android App更新至V1.0.1002
文件名搜索
修复了在未启用任何文件详细信息列的情况下搜索过程中可能发生的崩溃
杂项
在自定义列配置文件中添加了一些完整性检查,保存/重新加载可防止隐藏所有列的情况
更新了Android Artifact和OSFExtract Android App的帮助文件