手機(jī)掃描下載
應(yīng)用指數(shù):3 分
類型:電腦應(yīng)用性質(zhì):軟件版本:v11.0.1007.0 官方版大小:274 MB更新:2025-01-09語言:中文等級(jí):平臺(tái):WinXP, Win7, Win8, Win10, WinAll官網(wǎng):https://www.osforensics.com/
U盤鑰匙(u盤啟動(dòng)鎖工具)255 KB電腦應(yīng)用
hpusbfw(hp u盤格式化工具)41.4 KB電腦應(yīng)用
SpaceSniffer(磁盤分析軟件)1.57 MB電腦應(yīng)用
xtreme tuner for ssd(影馳ssd管理工具)78.6 MB電腦應(yīng)用
badcopy pro(數(shù)據(jù)恢復(fù)軟件)40.8 MB電腦應(yīng)用
Baisvik Disk Cleaner(磁盤清理工具)2.93 MB電腦應(yīng)用
騰訊視頻pc客戶端90.95 MB電腦應(yīng)用
qq音樂pc端67.42 MB電腦應(yīng)用
騰訊應(yīng)用寶pc版6.54 MB電腦應(yīng)用
優(yōu)酷視頻pc客戶端214.81 MB電腦應(yīng)用
谷歌瀏覽器正式版/穩(wěn)定版(Google Chrome)106.83 MB電腦應(yīng)用
夸克瀏覽器PC版177.51 MB電腦應(yīng)用
應(yīng)用介紹應(yīng)用截圖相關(guān)版本網(wǎng)友評(píng)論下載地址
OSForensics是一款功能豐富的取證管理軟件,可以將案件信息保存到這款軟件,將案件相關(guān)的磁盤數(shù)據(jù)保存到軟件,以后可以隨時(shí)在這款軟件調(diào)取數(shù)字案件信息,啟動(dòng)軟件就可以創(chuàng)建新的案件,隨后將取證的信息添加到案件保存,可以選擇將其他電腦提取的證據(jù)信息保存為鏡像文件,電腦C盤D盤都可以保存為鏡像,方便在軟件上管理多臺(tái)電腦的取證信息,也可以在軟件掛載鏡像直接瀏覽分區(qū)的數(shù)據(jù),無論是管理數(shù)字證據(jù)還是提取案件證據(jù)都是非常方便的,需要就下載吧。
一、案件管理
自動(dòng)分類、創(chuàng)建案件、管理案件、生成報(bào)告、查看案件日志、添加設(shè)備、管理設(shè)備、USB Write Block:Disabled
二、文件搜索與索引
文件名搜索、不匹配文件搜索、創(chuàng)建索引、搜索索引(文件內(nèi)容)、文件系統(tǒng)瀏覽器
三、散列與文件識(shí)別
散列集、創(chuàng)建散列集、驗(yàn)證哈希值、簽名、分析卷影副本
四、查看工具
文件和Hex查看器、內(nèi)存查看器、原始磁盤查看器、注冊(cè)表查看器、事件查看器、服務(wù)器日志查看器、JSON查看器
五、其他數(shù)據(jù)瀏覽
Email查看器、剪貼板查看器、ThumbCache查看器、ESE數(shù)據(jù)庫查看器、$UsnJrnl查看器、Plist查看器、地圖查看器
六、系統(tǒng)痕跡與密碼
刪除文件搜索與數(shù)據(jù)雕刻、用戶活動(dòng)掃描、收集系統(tǒng)信息、密碼和密鑰掃描、解密文件、加密證書、安卓痕跡、程序痕跡
七、管家
重建RAID磁盤、創(chuàng)建磁盤鏡像、創(chuàng)建邏輯鏡像、導(dǎo)出云盤、導(dǎo)出云郵件、掛載磁盤鏡像、啟動(dòng)虛擬機(jī)、腳本播放器、網(wǎng)頁瀏覽器
哈希集的導(dǎo)入和導(dǎo)出
可定制的系統(tǒng)信息收集
通過 OSForensics 管理的案例數(shù)量沒有限制
在一次操作中恢復(fù)多個(gè)已刪除的文件
列出和搜索備用文件流
按顏色對(duì)圖像文件進(jìn)行排序
磁盤索引和搜索不限于固定數(shù)量的文件
Web 捕獲上無水印
文件解密的多核加速
可定制的系統(tǒng)信息收集
查看 NTFS 目錄 $I 30 條目以識(shí)別潛在的隱藏/刪除文件
內(nèi)存查看器和轉(zhuǎn)儲(chǔ)程序 - 內(nèi)核模式獲取以繞過反轉(zhuǎn)儲(chǔ)工具
1、將OSForensics界面如圖所示,可以在軟件左側(cè)查看多個(gè)功能,可以自動(dòng)分類,可以創(chuàng)建案件
2、基本案件:案件名稱、Case Type、調(diào)查員、組織、聯(lián)系方式、時(shí)區(qū)、顯示日期格式
3、添加設(shè)備,直接在軟件添加需要保存的分區(qū),也可以添加鏡像文件
4、文件系統(tǒng)瀏覽器,可以在軟件快速打開設(shè)備查看里面的數(shù)據(jù),也可以查看鏡像文件
5、創(chuàng)建磁盤鏡像文件,將您的分區(qū)添加到軟件就可以制作新的鏡像
6、鏡像恢復(fù)功能,可以直接將磁盤鏡像添加到軟件,選擇恢復(fù)的一個(gè)分區(qū)
7、創(chuàng)建邏輯鏡像,添加一個(gè)邏輯分區(qū),在軟件設(shè)置保存地址
8、創(chuàng)建新的虛擬機(jī):鏡像文件、檢測(cè)到的O/S、虛擬機(jī)監(jiān)控程序、虛擬機(jī)路徑、虛擬機(jī)CPU內(nèi)核
9、內(nèi)存查看功能,在軟件查看當(dāng)前的內(nèi)存數(shù)據(jù),顯示進(jìn)程信息,句柄,內(nèi)存空間
10、靜態(tài)分析
添加內(nèi)存鏡像到案件
使用Volatility Workbench打開內(nèi)存鏡像
使用OSF文件查看器提取&查看字符串
原始磁盤查看器
原始磁盤查看器模塊允許用戶分析添加到機(jī)箱中的所有設(shè)備的原始扇區(qū),以及連接到系統(tǒng)的所有物理磁盤和分區(qū)(包括已安裝的映像)。此模塊提供了對(duì)驅(qū)動(dòng)器進(jìn)行更深入檢查的能力,可以查看存儲(chǔ)在文件系統(tǒng)文件和目錄中的數(shù)據(jù)之外的內(nèi)容。如果懷疑感興趣的信息隱藏在驅(qū)動(dòng)器的原始扇區(qū)內(nèi),則可能需要執(zhí)行此級(jí)別的分析,這些扇區(qū)通常無法通過正常的操作系統(tǒng)機(jī)制(例如空閑集群、文件空閑空間)訪問。
要查看驅(qū)動(dòng)器的原始扇區(qū),用戶可以從要掃描的設(shè)備下拉框中選擇設(shè)備。
如果在磁盤上找到恢復(fù)的分區(qū),也可以選擇。
配置。。。
打開一個(gè)對(duì)話框以配置查看器的顯示設(shè)置。
排列方式-調(diào)整查看器上字節(jié)的分組方式(分別為1、2、4、8個(gè)字節(jié))。
范圍限制-配置當(dāng)前所選驅(qū)動(dòng)器上可見的最小和最大扇區(qū)
自動(dòng)突出顯示-切換感興趣字節(jié)的自動(dòng)突出顯示
文件頭
?圖形文件-gif、jpg、png、bmp
?存檔文件-zip
?文檔文件-pdf、rtf
?網(wǎng)絡(luò)文檔-html
文件系統(tǒng)對(duì)象
?可用空間-分區(qū)中未分配的簇
?系統(tǒng)文件-磁盤/分區(qū)內(nèi)部用于記賬/管理目的的字節(jié)(例如MBR、MFT)
?空閑空間-文件或卷未使用的分配空間
?文件-文件占用的字節(jié)數(shù)
?目錄-目錄用于存儲(chǔ)索引信息的字節(jié)
?備用流-文件備用流占用的字節(jié)(僅限NTFS)
操作/右鍵菜單
雕刻選擇。。。
將所選字節(jié)保存到文件中。如果未進(jìn)行選擇,則保存當(dāng)前集群。
將選擇雕刻到案例中。。。
將所選字節(jié)保存到文件中,然后添加到案例中。
使用內(nèi)部查看器查看所選內(nèi)容。。。
在OSForensics查看器中查看所選字節(jié)。如果未進(jìn)行選擇,則查看當(dāng)前集群。
從所選內(nèi)容創(chuàng)建標(biāo)記。。。
使用選定的偏移范圍創(chuàng)建標(biāo)記。如果未進(jìn)行選擇,則會(huì)顯示一個(gè)對(duì)話框,提示用戶創(chuàng)建標(biāo)記。
管理標(biāo)簽
打開標(biāo)簽窗口以管理驅(qū)動(dòng)器上的標(biāo)簽
搜索。。。
打開搜索窗口,查找驅(qū)動(dòng)器上的十六進(jìn)制/文本模式
跳到。。。
允許用戶跳轉(zhuǎn)到原始磁盤上的特定位置
偏移量-跳轉(zhuǎn)到指定的字節(jié)、扇區(qū)或邏輯簇號(hào)(LCN)偏移量。
From-指定在選擇字節(jié)或扇區(qū)偏移量時(shí)從哪里(磁盤的開始、當(dāng)前位置或磁盤的結(jié)束)跳轉(zhuǎn)。負(fù)值(例如12月為-4096,或十六進(jìn)制為-1F84)將從當(dāng)前的“跳轉(zhuǎn)”選項(xiàng)向后跳轉(zhuǎn)。
分區(qū)-(僅限物理磁盤)跳轉(zhuǎn)到指定分區(qū)的開頭
文件-(僅限有效的文件系統(tǒng))跳轉(zhuǎn)到分區(qū)上指定文件的起始集群
文件記錄-(僅限有效文件系統(tǒng))跳轉(zhuǎn)到分區(qū)上指定文件的文件記錄結(jié)構(gòu)(例如NTFS文件系統(tǒng)的MFT記錄)
搜索窗口
原始磁盤查看器搜索窗口允許用戶在當(dāng)前設(shè)備的原始扇區(qū)上執(zhí)行搜索。搜索從設(shè)備的第一個(gè)可視扇區(qū)開始順序執(zhí)行,結(jié)果在搜索結(jié)果表中即時(shí)更新。
搜索模式
要在驅(qū)動(dòng)器上查找的搜索字符串
搜索選項(xiàng)
十六進(jìn)制
在驅(qū)動(dòng)器上搜索特定的十六進(jìn)制模式。十六進(jìn)制模式必須以字節(jié)為增量,并且只能包含有效的十六進(jìn)制字符(0-9,a-f)。
文本
在驅(qū)動(dòng)器上搜索指定的文本字符串
ASCII-如果選中,則以ASCII搜索文本模式
UTF-8-如果選中,則以UTF-8搜索文本模式
Unicode-如果選中,則以Unicode搜索文本模式
匹配大小寫-如果選中,搜索將區(qū)分大小寫
通配符(?)-如果選中,則為“?”在搜索模式中,將匹配任何單個(gè)字符。通配符不能與正則表達(dá)式結(jié)合使用。
正則表達(dá)式-如果選中,則搜索模式應(yīng)被解釋為正則表達(dá)式。正則表達(dá)式模式可以由用戶指定或從預(yù)設(shè)表達(dá)式列表中選擇。正則表達(dá)式不能與通配符結(jié)合使用。有關(guān)語法信息和示例,請(qǐng)參見正則表達(dá)式。
搜索結(jié)果
(實(shí)時(shí))顯示在驅(qū)動(dòng)器上找到的搜索模式的所有實(shí)例。雙擊結(jié)果將在原始磁盤查看器中突出顯示匹配的字節(jié)。匹配字符串的最大長(zhǎng)度為256個(gè)字符。
字節(jié)偏移量-起始字節(jié)偏移量
上下文-發(fā)現(xiàn)模式的上下文(前后10個(gè)字符)
編碼-十六進(jìn)制、ASCII、UTF8或Unicode之一
扇區(qū)-起始邏輯扇區(qū)
分區(qū)-所選驅(qū)動(dòng)器上的分區(qū)號(hào)
LCN-起始邏輯群集號(hào)
文件-(僅分區(qū))找到的模式所屬的文件。請(qǐng)注意,此信息不適用于物理磁盤。
對(duì)象類型-包含找到的模式的分配空間的任何特定屬性。(例如,文件、目錄、可用空間、空閑空間)
自動(dòng)分類
法醫(yī)分診是在有限的時(shí)間內(nèi)從系統(tǒng)中獲取最相關(guān)證據(jù)數(shù)據(jù)的過程。對(duì)于在時(shí)間緊迫的情況下需要收集取證數(shù)據(jù)的取證知識(shí)有限的現(xiàn)場(chǎng)人員來說尤其如此。這種做法對(duì)非法醫(yī)培訓(xùn)人員、急救人員、負(fù)責(zé)在現(xiàn)場(chǎng)獲取情報(bào)的軍事人員非常有用,特別是在潛在的動(dòng)蕩局勢(shì)中(例如對(duì)進(jìn)行家訪的緩刑和假釋官員)。通過在現(xiàn)場(chǎng)收集和優(yōu)先處理最有價(jià)值的證據(jù),現(xiàn)場(chǎng)人員不需要提交大量數(shù)據(jù)進(jìn)行調(diào)查,因此可以快速專注于特定的興趣領(lǐng)域(例如,緩刑官的互聯(lián)網(wǎng)和申請(qǐng)歷史)。
通過單擊工作流或開始窗口中的自動(dòng)分類,可以啟動(dòng)取證分類過程。完成此操作后,將顯示以下配置對(duì)話框,允許研究人員自定義分型過程。
默認(rèn)情況下,分診掃描預(yù)先配置了最常見的設(shè)置,以允許調(diào)查員創(chuàng)建新病例并立即啟動(dòng)證據(jù)收集。但是,調(diào)查員可以通過單擊(Config…)鏈接將文件配置為保存到邏輯映像。
V11.0 build 1015 2024 年 10 月 29 日
文件查看器
文件信息,將 LCN 更改為稀疏片段顯示 “” 而不是 “-1”
用戶活動(dòng)
修復(fù)了 Cookie 掃描期間可能發(fā)生的崩潰問題
雜項(xiàng)
將 VolatilityWorkbench 更新到 v3.0.1009
V11.0 build 1014 2024 年 10 月 3 日
文件查看器
在映像中打開加密文件時(shí),如果無法解密文件的臨時(shí)副本,則回退到使用直接訪問
雜項(xiàng)
修復(fù)了嘗試從 USB 啟動(dòng)時(shí) OSF 崩潰的問題
V11.0 build 1013 2024 年 9 月 24 日
文件查看器
修復(fù)了打開文件時(shí)某些計(jì)算機(jī)上可能發(fā)生的崩潰
V11.0 build 1012 20 年 2024 月 20 日
創(chuàng)建磁盤映像
在使用壓縮時(shí),E01 和 Ex01 磁盤映像速度得到了進(jìn)一步改進(jìn)。與 build 1010 相比,這可以帶來 7 倍的性能提升(取決于硬件和設(shè)置)。5 小時(shí)的成像工作現(xiàn)在可能需要 40 分鐘!!
修復(fù)了在創(chuàng)建 E01/Ex01 圖像時(shí)未更新的“正在準(zhǔn)備復(fù)制”狀態(tài)的問題
修復(fù)了當(dāng)壓縮設(shè)置為 None 時(shí)顯示壓縮速度的問題
修復(fù)了無法將 # 線程設(shè)置為最大值 32 的問題
修復(fù)了在編輯成像設(shè)置時(shí)偶爾出現(xiàn)不正確的圖像格式和選項(xiàng)變灰的問題
將默認(rèn)線程數(shù)更改為 dymanic,以根據(jù)使用的硬件優(yōu)化性能
當(dāng) # 線程數(shù)大于 16 或 CPU 內(nèi)核數(shù)時(shí)顯示警告消息
將默認(rèn)壓縮級(jí)別設(shè)置為 'Medium'。這樣做是因?yàn)橹械葔嚎s現(xiàn)在比以前快得多,并且現(xiàn)在是投注的默認(rèn)選項(xiàng)。
在 “Options” 列下的 Create Disk Image 中顯示壓縮級(jí)別和 # 個(gè)線程
應(yīng)用截圖
相關(guān)版本
多平臺(tái)下載
猜您喜歡換一換
騰訊視頻pc客戶端qq音樂pc端騰訊應(yīng)用寶pc版優(yōu)酷視頻pc客戶端谷歌瀏覽器正式版/穩(wěn)定版(Google Chrome)夸克瀏覽器PC版
微信PC客戶端
搜狗輸入法PC版
360極速瀏覽器pc版安裝包
微信輸入法pc端
Wps Office PC版
百度輸入法pc客戶端
360安全瀏覽器PC版
酷我音樂盒pc版
查看所有0條評(píng)論>網(wǎng)友評(píng)論
U盤鑰匙(u盤啟動(dòng)鎖工具)hpusbfw(hp u盤格式化工具)SpaceSniffer(磁盤分析軟件)xtreme tuner for ssd(影馳ssd管理工具)badcopy pro(數(shù)據(jù)恢復(fù)軟件)Baisvik Disk Cleaner(磁盤清理工具) 騰訊視頻pc客戶端90.95 MB電腦應(yīng)用
sound lock音量控制工具382 KB電腦應(yīng)用
3DMark 11 Developer Edition(電腦跑分軟件)271 MB電腦應(yīng)用
消防融合通信PC客戶端154.09 MB電腦應(yīng)用
e2eSoft VSC虛擬聲卡軟件1.83 MB電腦應(yīng)用
Rolling Sky Remake電腦版(滾動(dòng)的天空自制器)36.00 MB電腦應(yīng)用
giwifi認(rèn)證客戶端9.04 MB電腦應(yīng)用
消防融合通信PC客戶端154.09 MB電腦應(yīng)用
山東通pc端614.12 MB電腦應(yīng)用
3DMark 11 Developer Edition(電腦跑分軟件)271 MB電腦應(yīng)用
4DDiG DLL Fixer(DLL全能修復(fù)工具)16.2 MB電腦應(yīng)用
Rolling Sky Remake電腦版(滾動(dòng)的天空自制器)36.00 MB電腦應(yīng)用
魯大師
驅(qū)動(dòng)軟件
電腦瀏覽器