OSForensics是一款功能豐富的取證管理軟件,可以將案件信息保存到這款軟件�,將案件相關的磁盤數據保存到軟件�,以后可以隨時在這款軟件調取數字案件信息����,啟動軟件就可以創建新的案件����,隨后將取證的信息添加到案件保存�,可以選擇將其他電腦提取的證據信息保存為鏡像文件,電腦C盤D盤都可以保存為鏡像���,方便在軟件上管理多臺電腦的取證信息,也可以在軟件掛載鏡像直接瀏覽分區的數據�����,無論是管理數字證據還是提取案件證據都是非常方便的��,需要就下載吧��。
軟件功能
一、案件管理
自動分類、創建案件���、管理案件、生成報告、查看案件日志�、添加設備����、管理設備�、USB Write Block:Disabled
二、文件搜索與索引
文件名搜索、不匹配文件搜索、創建索引���、搜索索引(文件內容)、文件系統瀏覽器
三、散列與文件識別
散列集�����、創建散列集�����、驗證哈希值�����、簽名、分析卷影副本
四�、查看工具
文件和Hex查看器��、內存查看器�、原始磁盤查看器、注冊表查看器、事件查看器、服務器日志查看器���、JSON查看器
五、其他數據瀏覽
Email查看器、剪貼板查看器�、ThumbCache查看器����、ESE數據庫查看器�、$UsnJrnl查看器���、Plist查看器�����、地圖查看器
六��、系統痕跡與密碼
刪除文件搜索與數據雕刻、用戶活動掃描、收集系統信息�����、密碼和密鑰掃描�����、解密文件��、加密證書、安卓痕跡��、程序痕跡
七����、管家
重建RAID磁盤���、創建磁盤鏡像���、創建邏輯鏡像��、導出云盤、導出云郵件、掛載磁盤鏡像����、啟動虛擬機、腳本播放器�����、網頁瀏覽器
軟件特色
哈希集的導入和導出
可定制的系統信息收集
通過 OSForensics 管理的案例數量沒有限制
在一次操作中恢復多個已刪除的文件
列出和搜索備用文件流
按顏色對圖像文件進行排序
磁盤索引和搜索不限于固定數量的文件
Web 捕獲上無水印
文件解密的多核加速
可定制的系統信息收集
查看 NTFS 目錄 $I 30 條目以識別潛在的隱藏/刪除文件
內存查看器和轉儲程序 - 內核模式獲取以繞過反轉儲工具
使用方法
1�����、將OSForensics界面如圖所示�,可以在軟件左側查看多個功能�����,可以自動分類�,可以創建案件
2���、基本案件:案件名稱��、Case Type��、調查員、組織����、聯系方式���、時區�、顯示日期格式
3、添加設備�,直接在軟件添加需要保存的分區����,也可以添加鏡像文件
4�、文件系統瀏覽器��,可以在軟件快速打開設備查看里面的數據�����,也可以查看鏡像文件
5、創建磁盤鏡像文件��,將您的分區添加到軟件就可以制作新的鏡像
6����、鏡像恢復功能,可以直接將磁盤鏡像添加到軟件�����,選擇恢復的一個分區
7��、創建邏輯鏡像���,添加一個邏輯分區��,在軟件設置保存地址
8�、創建新的虛擬機:鏡像文件�、檢測到的O/S、虛擬機監控程序���、虛擬機路徑、虛擬機CPU內核
9�、內存查看功能���,在軟件查看當前的內存數據���,顯示進程信息,句柄,內存空間
10�、靜態分析
添加內存鏡像到案件
使用Volatility Workbench打開內存鏡像
使用OSF文件查看器提取&查看字符串
官方教程
原始磁盤查看器
原始磁盤查看器模塊允許用戶分析添加到機箱中的所有設備的原始扇區���,以及連接到系統的所有物理磁盤和分區(包括已安裝的映像)���。此模塊提供了對驅動器進行更深入檢查的能力�,可以查看存儲在文件系統文件和目錄中的數據之外的內容�。如果懷疑感興趣的信息隱藏在驅動器的原始扇區內,則可能需要執行此級別的分析,這些扇區通常無法通過正常的操作系統機制(例如空閑集群�����、文件空閑空間)訪問���。
要查看驅動器的原始扇區���,用戶可以從要掃描的設備下拉框中選擇設備��。
如果在磁盤上找到恢復的分區���,也可以選擇���。
配置���。�����。。
打開一個對話框以配置查看器的顯示設置。
排列方式-調整查看器上字節的分組方式(分別為1��、2�����、4���、8個字節)���。
范圍限制-配置當前所選驅動器上可見的最小和最大扇區
自動突出顯示-切換感興趣字節的自動突出顯示
文件頭
?圖形文件-gif����、jpg���、png��、bmp
?存檔文件-zip
?文檔文件-pdf����、rtf
?網絡文檔-html
文件系統對象
?可用空間-分區中未分配的簇
?系統文件-磁盤/分區內部用于記賬/管理目的的字節(例如MBR��、MFT)
?空閑空間-文件或卷未使用的分配空間
?文件-文件占用的字節數
?目錄-目錄用于存儲索引信息的字節
?備用流-文件備用流占用的字節(僅限NTFS)
操作/右鍵菜單
雕刻選擇��。。。
將所選字節保存到文件中��。如果未進行選擇����,則保存當前集群。
將選擇雕刻到案例中�����。�。。
將所選字節保存到文件中�,然后添加到案例中。
使用內部查看器查看所選內容�����。����。。
在OSForensics查看器中查看所選字節�����。如果未進行選擇�,則查看當前集群。
從所選內容創建標記�����。��。����。
使用選定的偏移范圍創建標記����。如果未進行選擇,則會顯示一個對話框�,提示用戶創建標記�。
管理標簽
打開標簽窗口以管理驅動器上的標簽
搜索����。。���。
打開搜索窗口����,查找驅動器上的十六進制/文本模式
跳到。。����。
允許用戶跳轉到原始磁盤上的特定位置
偏移量-跳轉到指定的字節�����、扇區或邏輯簇號(LCN)偏移量����。
From-指定在選擇字節或扇區偏移量時從哪里(磁盤的開始�����、當前位置或磁盤的結束)跳轉��。負值(例如12月為-4096,或十六進制為-1F84)將從當前的“跳轉”選項向后跳轉��。
分區-(僅限物理磁盤)跳轉到指定分區的開頭
文件-(僅限有效的文件系統)跳轉到分區上指定文件的起始集群
文件記錄-(僅限有效文件系統)跳轉到分區上指定文件的文件記錄結構(例如NTFS文件系統的MFT記錄)
搜索窗口
原始磁盤查看器搜索窗口允許用戶在當前設備的原始扇區上執行搜索�。搜索從設備的第一個可視扇區開始順序執行,結果在搜索結果表中即時更新��。
搜索模式
要在驅動器上查找的搜索字符串
搜索選項
十六進制
在驅動器上搜索特定的十六進制模式�。十六進制模式必須以字節為增量,并且只能包含有效的十六進制字符(0-9���,a-f)。
文本
在驅動器上搜索指定的文本字符串
ASCII-如果選中�����,則以ASCII搜索文本模式
UTF-8-如果選中����,則以UTF-8搜索文本模式
Unicode-如果選中����,則以Unicode搜索文本模式
匹配大小寫-如果選中,搜索將區分大小寫
通配符(?)-如果選中�,則為“�?”在搜索模式中�,將匹配任何單個字符。通配符不能與正則表達式結合使用。
正則表達式-如果選中,則搜索模式應被解釋為正則表達式��。正則表達式模式可以由用戶指定或從預設表達式列表中選擇���。正則表達式不能與通配符結合使用��。有關語法信息和示例����,請參見正則表達式���。
搜索結果
?�。▽崟r)顯示在驅動器上找到的搜索模式的所有實例��。雙擊結果將在原始磁盤查看器中突出顯示匹配的字節。匹配字符串的最大長度為256個字符�。
字節偏移量-起始字節偏移量
上下文-發現模式的上下文(前后10個字符)
編碼-十六進制��、ASCII、UTF8或Unicode之一
扇區-起始邏輯扇區
分區-所選驅動器上的分區號
LCN-起始邏輯群集號
文件-(僅分區)找到的模式所屬的文件���。請注意,此信息不適用于物理磁盤���。
對象類型-包含找到的模式的分配空間的任何特定屬性。(例如�����,文件�、目錄��、可用空間�����、空閑空間)
自動分類
法醫分診是在有限的時間內從系統中獲取最相關證據數據的過程。對于在時間緊迫的情況下需要收集取證數據的取證知識有限的現場人員來說尤其如此�����。這種做法對非法醫培訓人員、急救人員�、負責在現場獲取情報的軍事人員非常有用����,特別是在潛在的動蕩局勢中(例如對進行家訪的緩刑和假釋官員)����。通過在現場收集和優先處理最有價值的證據,現場人員不需要提交大量數據進行調查��,因此可以快速專注于特定的興趣領域(例如���,緩刑官的互聯網和申請歷史)���。
通過單擊工作流或開始窗口中的自動分類�,可以啟動取證分類過程。完成此操作后����,將顯示以下配置對話框�����,允許研究人員自定義分型過程�����。
默認情況下���,分診掃描預先配置了最常見的設置��,以允許調查員創建新病例并立即啟動證據收集。但是���,調查員可以通過單擊(Config…)鏈接將文件配置為保存到邏輯映像。
更新日志
V11.0 build 1015 2024 年 10 月 29 日
文件查看器
文件信息����,將 LCN 更改為稀疏片段顯示 “” 而不是 “-1”
用戶活動
修復了 Cookie 掃描期間可能發生的崩潰問題
雜項
將 VolatilityWorkbench 更新到 v3.0.1009
V11.0 build 1014 2024 年 10 月 3 日
文件查看器
在映像中打開加密文件時�,如果無法解密文件的臨時副本�,則回退到使用直接訪問
雜項
修復了嘗試從 USB 啟動時 OSF 崩潰的問題
V11.0 build 1013 2024 年 9 月 24 日
文件查看器
修復了打開文件時某些計算機上可能發生的崩潰
V11.0 build 1012 20 年 2024 月 20 日
創建磁盤映像
在使用壓縮時,E01 和 Ex01 磁盤映像速度得到了進一步改進��。與 build 1010 相比�,這可以帶來 7 倍的性能提升(取決于硬件和設置)。5
小時的成像工作現在可能需要 40 分鐘?����?�!
修復了在創建 E01/Ex01 圖像時未更新的“正在準備復制”狀態的問題
修復了當壓縮設置為 None 時顯示壓縮速度的問題
修復了無法將 # 線程設置為最大值 32 的問題
修復了在編輯成像設置時偶爾出現不正確的圖像格式和選項變灰的問題
將默認線程數更改為 dymanic�����,以根據使用的硬件優化性能
當 # 線程數大于 16 或 CPU 內核數時顯示警告消息
將默認壓縮級別設置為 'Medium'。這樣做是因為中等壓縮現在比以前快得多����,并且現在是投注的默認選項。
在 “Options” 列下的 Create Disk Image 中顯示壓縮級別和 # 個線程
Glary Disk Cleaner(Glary磁盤清理程序)12.5 MB電腦應用
Hasleo BitLocker Anywhere(磁盤加密軟件)43.5 MB電腦應用
Active SMART(硬盤監控工具)6.79 MB電腦應用
iobit smartdefrag(磁盤碎片整理)17.9 MB電腦應用
TreeSize Free(磁盤文件分析)70.2 MB電腦應用
希捷硬盤修復工具綠色版434 KB電腦應用
夸克瀏覽器PC版
360極速瀏覽器pc版安裝包
微信PC客戶端
騰訊視頻pc客戶端
微信輸入法pc端
優酷視頻pc客戶端
Wps Office PC版
騰訊應用寶pc版
qq音樂pc端
百度輸入法pc客戶端
360安全瀏覽器PC版
搜狗輸入法PC版
谷歌瀏覽器正式版/穩定版(Google Chrome)
酷我音樂盒pc版
AxCrypt(文件加密軟件)
MouseClickTool(鼠標連點器)
鞍鋼集團鋼鋼好PC端
貓爪插件
PixPlant(無縫紋理制作軟件)
山東通pc端
giwifi認證客戶端
消防融合通信PC客戶端
3DMark 11 Developer Edition(電腦跑分軟件)
Topaz Video Enhance AI(視頻增強)
4DDiG DLL Fixer(DLL全能修復工具)
魯大師
驅動軟件
電腦瀏覽器