取证神探

取证神探

取证神探是兴百邦自主研发的新一代智能化取证高级手工取证高度融合的计算机取证分析工具, 操作简单易用,既能满足一线基层取证人员的智能化取证,也适合具备丰富取证分析经验的高级分析人员使用。取证神探支持各种手工分析及数据解码功能,支持对Windows、Linux及 MacOS系统进行综合取证分析,支持内存获取与取证分析。 与国内计算机取证同类软件相比,在痕迹深度分析及高级手工分析方面有诸多优势,与国外计算机取证软件(如EnCase、X-Ways Forensics相比)拥有众多智能化取证、本地化应用取证分析的诸多优势。

 

功能亮点

  • 支持的证据文件类型: 支持各种格式本地磁盘、镜像文件、单一文件、文件夹的直接加载和分析支持的镜像种类包含:原始镜像(.001、.dd、.img)、E01镜像、S01镜像、Vmware镜像、VirtualPC镜像、VirtualBox镜像、DMG、HDS等镜像文件。
  • 取证结果朔源支持:  让取证人员对结果从何而来有清楚的了解(如来自注册表或数据文件,具体路径等信息)
  • 数据恢复: 支持磁盘文件的删除恢复、签名恢复、格式化恢复及分区恢复,其中分区恢复根据DBR特征进行搜索,提供手工添加删除分区的方法,整体数据恢复分析效率快、定位准确,目前支持FAT12、FAT16、FAT32、NTFS等格式的恢复。
  • 文件自动分类: 内置常用文件分类,包含所有文件分类、未读文件分类、删除文件分类、标签文件分类、加密文件分类、其他分类(按签名、文件大小、哈希类型),并且系统内置2000种以上的文件类型分类、可手动进行分类管理。
  • 支持动态过滤功能: 软件内置业内最强大的过滤器、可随时随处进行文件、提取结果、检索结果的快速过滤。具有强大灵活的搜索功能,支持通配符、正则表达式、可对搜索结果进行动态合并过滤;并且支持对取证结果的搜索。
  • 浏览器取证分析: 支持IE浏览器、360安全、360极速、搜狗、火狐、Google、Safari、Opera、2345、QQBrowser、百度、世界之窗、猎豹、淘宝、UC、遨游等十多款多内外常用浏览器的解析、可提取包含上网记录、缓存、Cookies记录、收藏夹、下载记录、搜索记录、登录的邮箱地址等众多关键信息。
  • 上网分析模块: 上网分析功能主要对一键提取的上网记录、缓存记录、Cookies记录、下载记录等进行网址分类、和时间分类;通过此功能可以对嫌疑人的上网行为进行进行快速了解、可通过上网网址管理模块对网站进行分类和管理,系统内置了近30种不同类型的网站中的上千种网址的记录,并且可以生成智能分析报告。
  • 电子邮件取证:支持Foxmail、Outlook Express(DBX)、Office Outlook(PST、OST)、Lotus Notes(NSF)、Thunderbird(Msf)、EML、MSG、EMLX等客户端邮件的全面分析。
  • 邮件分析模块: 邮件分析功能具有邮件附件视图过滤功能、邮件书签标记、快速搜索、高级搜索、关联分析功能、附件图库查看功能、邮件发送时间线表示、邮件统计(收发信息统计、IP地址统计、相同地址不同昵称统计、同一昵称不同地址统计)IP地理位置标记等功能。
  • 关联分析功能: 关联分析功能可以对聊天记录、邮件记录中的人物关系进行图形化展示、并具有屏幕自动调整、屏幕扩展、人物标记、指定关联次数、隐藏、跳转等多种功能,操作灵活方便,可快速确定人物关系。
  • 行为分析模块:行为分析主要是对上网记录、下载记录、聊天记录、邮件记录以及文件访问按照时间的形式进行分类统计、用以标记嫌疑人一天当中的上网动态、可以按照天、月、年进行统计;也可以按照时间段进行统计,以柱状图、折线图、表格的形式显示出来。

Windows取证

Windows取证分析模块涵盖9大类共92项信息的自动化分析, 包含系统信息、系统痕迹、文件信息、上网记录、即时通讯、邮件信息、下载记录、软件信息、软件痕迹。

  • 支持Windows分区盘符智能正确识别;
  • 支持NTFS文件系统格式化时间提取;
  • 支持计算机物理网卡MAC地址、IP地址等信息精准提取(包括局域网和无线网卡)
  • 支持NTFS磁盘变更日志分析、可对文件的变更过程和变更时间进行深度分析,可全面掌握分区中文件改名(旧名、新名)、文件创建、数据扩充及文件删除等活动行为。
  • 支持Prefetch、AmCache、ShimCache等应用程序运行记录分析
  • 可对磁盘中的注册表文件进行自动加载显示、关键词过滤及手工解码,并能导出网页版的注册表分析报告
  • 支持苹果和Android手机助手备份文件的识别,包含iTunes、91手机助手、360手机助手、百度手机助手、豌豆荚、应用宝等等。

macOS苹果取证

MacOS苹果取证分析模块涵盖9大类共61项信息的自动化分析,包含系统信息、系统痕迹、软件痕迹、文件痕迹、即时通讯、上网记录、邮件信息、网络信息及下载记录等。

  • 支持HFS、HFS+、APFS文件系统解析,支持最新macOS 10.13操作系统各种应用的分析;
  • 支持MAC的通讯录、备忘录、日程信息、地图、Bash History、磁盘工具、磁盘工具保存、列表等关键信息的解析;
  • 支持百度云盘、Dropbox、iCloud、iTunes、Parallels等软件的痕迹获取;
  • 支持MAC网络接口、网络配置、蓝牙、无线Wifi等网络信息的提取;
  • 支持迅雷、Filezilla、Frostwire、uTorrent、BitTorrent等下载工具的下载记录解析。

Linux取证

Linux取证分析模块涵盖6大类共15项信息的自动化分析;

内存取证

内存取证分析模块涵盖4大类共15项信息的自动化分析, 内存分析功能可对磁盘中的虚拟内存、休眠文件、以及提取的内存镜像进行一键式分析;

  • 支持提取内存中的账号密码
  • 支持提取邮件地址、身份证号码、
  • 支持提取上网网址
  • 支持提取聊天记录(如QQ聊天记录碎片)
  • 支持提取邮件通讯记录

在线取证

  • 在线账号密码的提取和分析,包括Wi-Fi密码、浏览器保存密码等各种中以保存密码的提取。