安装教程
1、从本站下载数据包并解压,运行安装程序。2、设置安装目录然后点击next。
3、勾选同意协议然后点击next。
4、点击install开始安装。
5、安装完成。
6、安装完成后将数据包中提供的破解补丁复制到安装目录下替换原文件即可。
软件功能
1、在文件中搜索OSForensics包括快和强的方法之一,它由Zoom搜索引擎提供支持,可在硬盘上的文件的内容中进行搜索。
如果基本文件搜索功能是不够的,该软件还可以创建索引的文件在硬盘上。
2、档案格式
该软件可以索引多种文件格式的内容。这:DOC、DOCX、PDF、PPT、XLS、RTF、WPD、SWF、DJVU、JPG、GIF、PNG、TIFF、MP3、DWF、PPDX、XLSX、MHT、ZIP、PST、MBOX、MSG、DBX、ZIPX、RAR、ISO、TAR等,还支持回收容器。因此可以在PST文件中正确索引附加到电子邮件的DOCX文件,然后将其压缩为ZIPX文件。
如果缺少文件扩展名,该软件还可以对文件进行分析以确定其文件类型。
3、搜索邮件
能够搜索文件内的一个附加功能是能够搜索电子邮件归档。索引过程中可以打开和阅读电子邮件格式的文件(PST),并确定个人信息。
这允许系统上发现的电子邮件的文本内容搜索。
4、恢复已删除的文件
文件已被删除后扔进回收站,可它往往仍然存在,直到另一个新的文件在硬盘驱动器取代它的位置。该软件可以追踪到这个的ghost文件数据,并试图将其恢复到可用状态的硬盘驱动器上。
5、除的文件群集视图
该软件还提供了物理磁盘上已删除文件群集分配的图形视图
该表显示已删除文件的碎片信息。对于较小的文件,已删除的文件可能驻留在MFT中(可用NTFS)。
6、揭开近期活动
OSForensics可以发现近期的系统上执行的用户操作,但不限于:
打开的文档
网页浏览历史
连接USB设备
连接网络共享
收集系统信息
7、硬件系统上运行的详细信息:
CPU的类型和数量的CPU
RAM的数量和类型
已安装的硬盘驱动器
连接USB设备
8、查看活动的记忆体
看看什么是目前的系统主内存。尝试发现密码和敏感信息,否则将无法访问。
选择检测系统的活动进程的列表。OSF也可以将其内存存储到磁盘上的文件,以备后查。
9、提取的登录名和密码
恢复从近期访问过的网站的用户名和密码,在常见的网页浏览器,包括IE浏览器,Chrome浏览器和Opera。
10、新时代的数字调查
对于Windows
识别可疑文件和活动
从计算机提取证据
管理调查
11、搜索文件
OSF提供了快且强的方法来定位Window计算机或Forensic图像上的文件。
使用广泛赞誉的索引引擎在文件内容中进行搜索,可提供行业相关性排名,日期范围搜索,短语匹配,“类似于Goole”的上下文结果等。
12、广泛的文件类型
调查和搜索数百种文件类型,包括Office和Acrobat文档,图像文件(带有OCR),电子邮件(Outlook,Thunderbird,Mozilla等),附件,ZIP文件,甚至二进制文件和未分配的群集。
13、恢复已删除的证据
搜索和恢复用户可能试图销毁或已从回收站中删除的文件
14、发现用户活动
扫描计算机以查找近来活动的证据,包括访问的网站,已连接的USB驱动器,网络,下载,网站登录名和网站密码
15、找回密码
OSF提供了功能强的工具来发现和破解实时系统或取证图像上的密码。包括:
网站登录名和密码(在Chrome,Edge,IE,Firefox和Opera中使用)
Outlook和Windows Live密码
已保存的Wifi密码
Windows自动登录密码
Windows和Microsoft产品密钥
端口(串行/并行)
网络适配器
物理和光盘驱动器
Bitlocker检测
16、显示硬盘上的隐藏区域
OSF可以暴露硬盘的HPA和DCO隐区域。这些区域可用于恶意意图,包括隐藏非法数据
17、浏览卷影副本
使用OSF访问卷影副本。这使您可以查看磁盘在过去某个时间点的显示方式,并查看发生了什么变化。发现文件更改,甚至查看已删除的文件
18、识别可疑文件和活动
验证并匹配文件
使用OSF通过比较散列值来确认文件没有被破坏或篡改,或者确定未知文件是否属于已知文件集。验证并匹配带有MD5,SHA1和SHA256哈希的文件。查找名称与扩展名不匹配的文件
19、识别变化
创建并比较驱动器签名以识别系统上的差异和更改。OSF允许您创建硬盘驱动器的取证签名,并在创建签名时保留有关系统上存在的文件和目录结构的信息
20、时间线查看器
OSF具有时间线查看器,该视图可提供一段时间内文件和系统活动的可视化表示,帮助您确定发生重大活动的日期范围,或建立数年、数月或数日的行为模式。
21、创建案例
将您发现的证据整理成加密的安全案例文件。
22、产生报告
将您的案例文件导出为可访问且可自定义的报告,其中显示与该案例相关的证据。在调查的时候,向客户或执法人员提供可读的法医调查结果摘要。
23、存储设备管理
集中管理存储设备,以便在整个OSF中方便的访问。
24、驱动器和系统映像
创建和还原证据磁盘的磁盘映像,以取证分析,而不会冒着危及原始数据的完整性。
从一组RAID成员磁盘映像重建的RAID映像。
复制活动系统的分区或驱动器。从USB驱动器运行OSF时,对于实时采集很有用。
25、审计追踪
OSF可以自动维护对调查过程中所进行的活动的安全审核跟踪。
26、随身携带OSF
可以从便携式USB驱动器安装和运行OSForensics。将调查直接带到目标计算机。
软件特征
1、索引速度提高了3倍,大大改进了索引引擎,具有多线程,RAM驱动和预扫描旁路选项2、OCR(光学字符识别)允许您搜索照片和图像中的文本,仅Win 10
3、加密的PDF报告
4、磁盘映像的主要和辅助哈希函数
5、从原始磁盘查看器跳转到MFT记录
6、磁盘映像中保存的磁盘型号和序列号
7、哈希集功能
8、导入项目VIC json文件
9、EFS(加密文件系统)
10、新版本的Volatility Workbench,支持Mac和Linux
11、检查Skype Sqlite数据库文件
12、恢复BitLocker密钥
13、从视频网站提取MP4格式的视频
14、改进的自动分类功能
系统要求
Windows Vista ,Windows7、8、10,11,Windows Server 2000 、2003、2008、2012、2016、201932位和64位(建议64位)
至少1GB RAM(推荐8GB以上)
500MB的可用磁盘空间,或者可以从USB驱动器运行