passmark osforensicss
Pro破解版提供证据收集功能,可以从用户的电脑上恢复数据,可以查看电脑隐藏的数据,可以快速查询硬盘文件、可以管理图像、视频、音频等资源,方便用户在查询证据的时候获得帮助,执法人员可以通过本软件快速扫描嫌疑人的电脑,快速提取自己需要的数据,软件界面功能非常多,提供几十个常用的数据管理工具,支持自动分类、处理案件、添加设备、法医成像、系统信息、内存查看器、用户活动、密码、文件名搜索、删除文件搜索、不匹配的文件搜索、原始磁盘查看器、注册表查看器、网页浏览器、创建索引等功能,如果你需要这款软件就下载吧!
软件功能
OSForensics包含用于搜索,收集,分析和恢复数字文物的模块集合,这些文物可用作法庭上的法律证据。 OSForensics的主要功能概述如下。:
案例管理
此模块用于将所有其他模块的结果汇总到一个位置(案例)中,以便以后对结果进行整体分析并报告结果。
自动分类
Triaging为研究人员提供了一种自动启动常见法证任务的简单方法,以便在有限的时间内快速获取最相关的证据数据。即使未经法医培训的人员在现场获取可能具有潜在波动性或危险性的情报,此功能也很有用。
文件名搜索
该模块允许通过文件名搜索文件/目录。
索引编制
索引允许在文件内容中进行全文搜索。还能够在电子邮件存档中搜索并将文本从未分配的磁盘扇区中拉出。
用户活动
该模块使研究人员可以扫描系统以查看用户活动的证据,例如访问的网站,USB驱动器,无线网络和最新下载的内容。
删除文件搜索
搜索并恢复最近从硬盘驱动器中删除的文件。
不匹配搜索
查找文件扩展名不同于文件内容建议的文件。例如。 .jpeg文件重命名为.txt文件。
内存查看器
内存查看器允许调查人员收集和分析易失性内存存储中的数字证据。由于内存的非持久性,某些数字证据可能仅在实时系统上可用。
程序工件
程序工件查看器将Prefetch Viewer和AmCache Viewer分组为一个模块。 “预取查看器”显示由操作系统的“预取器”存储的信息,其中包括运行应用程序的时间和频率。 AmCache Viewer显示来自AmCache配置单元的信息,其中包含有关程序可执行文件和安装的元信息。
原始磁盘查看器
原始磁盘查看器显示磁盘的逐个扇区的原始内容。可以使用此模块识别和分析文件系统外部扇区中隐藏的数据。
注册表查看器
注册表查看器允许Windows注册表配置单元(包括可以锁定/使用文件的实时系统)在OSForensics中打开和查看。
事件日志查看器
事件日志查看器允许查看Windows事件日志。该模块允许对特定的日志文件采取各种操作,包括扫描,搜索,过滤,导出和时间线分析。
文件系统浏览器
文件系统浏览器以分层方式显示添加到案例中的所有设备,类似于Windows资源管理器。与资源管理器不同,将显示特定于取证分析的其他信息。
SQLite数据库浏览器
SQLite数据库浏览器以有组织的方式显示SQLite数据库文件的内容,从而简化了导航和搜索。
网页浏览器
Web浏览器提供了具有取证功能的基本Web查看器。这包括保存网页的屏幕截图并将其添加到当前打开的案例的功能。
密码
从各种来源恢复和解密密码。
系统信息
可以查看和导出有关系统核心组件的详细信息。
验证/创建哈希
创建文件或整个硬盘的哈希(SHA1,MD5,CRC32)。
哈希集
哈希集是一种快速识别已知安全或已知可疑文件的工具,以减少进行进一步耗时的分析的需求。
签名
签名是系统在不同时间点的目录结构的快照。可以比较签名以识别已添加,删除和更改的文件。
驱动准备
通过驱动器准备,可以在连接到系统的固定和可移动驱动器上执行字节模式验证测试。
法医成像
将磁盘的逐位副本保存到映像文件中。将映像文件还原回磁盘。创建感兴趣的文件/目录的逻辑映像。
引导虚拟机
引导包含功能性操作系统的磁盘映像作为虚拟机,以重新创建目标系统的实时桌面环境。
内部查看器
内部文件查看器允许从OSForensics内部预览最常用的文件格式,而无需打开外部应用程序。
邮件浏览器
电子邮件查看器提供了一个简单的界面,用于通过法证功能浏览和分析电子邮件。
剪贴板查看器
剪贴板查看器在实时系统上显示存储在剪贴板中的内容,包括剪贴板历史记录和固定的项目(如果启用)。
缩略图缓存查看器
缩略图缓存查看器提取存储在Windows的缩略图缓存文件中的缩略图以供查看。缩略图缓存文件可能包含已在系统上删除的图像的证据。
ESE数据库查看器
ESE数据库查看器显示ESE数据库文件中包含的表和记录。各种Microsoft应用程序(包括Windows Search和Microsoft Exchange Server)以ESE数据库文件格式存储具有潜在取证价值的数据。
UsnJrnl查看器
UsnJrnl查看器解析并显示存储在NTFS $ UsnJrnl卷更改日志中的日志记录。此信息对于识别文件系统或$ MFT中不再存在的可疑文件(例如,恶意软件)很有用。
Plist查看器
查看OSX和iOS通常用于存储设置和属性的Plist(属性列表)文件的内容。
Android工件
该模块允许研究人员扫描Android案例设备和备份,以查看用户活动的证据,例如访问的呼叫日志,网站,消息和联系人。
软件特色
1、在文件中搜索
如果基本文件搜索功能是不够的,OSForensics还可以创建索引的文件在硬盘上,这使得快如闪电的搜索文本文件内所载,技术 Wrensoft广受好评的缩放搜索引擎背后的技术。
2、搜索邮件
能够搜索文件内的一个附加功能是能够搜索电子邮件归档,索引过程中可以打开和阅读最流行的电子邮件格式的文件(PST), 并确定个人信息。
这允许一个快速的系统上发现的任何电子邮件的文本内容搜索。
4、恢复已删除的文件
文件已被删除后,甚至一度扔进回收站,它往往仍然存在,直到另一个新的文件在硬盘驱动器取代它的位置, OSForensics可以追 踪到这个的ghost文件数据,并试图将其恢复到可用状态的硬盘驱动器上。
5、查看活动的记忆体
看看什么是目前的系统主内存直接,尝试发现密码和其他敏感信息,否则将无法访问。
选择检测系统的活动进程的列表, OSF也可以其内存转储到磁盘上的文件,以备后查。
6、提取的登录名和密码
恢复从最近访问过的网站的用户名和密码,在常见的网页浏览器,包括IE浏览器,火狐,Chrome浏览器 和Opera。
安装方法
1、打开osf.exe软件直接将其安装,点击接受协议
2、软件的安装地址是C:\Program Files\OSForensics
3、设置软件的快捷方式名字,点击下一步
4、软件启动图标设置,点击下一步
5、显示软件即将安装的界面,点击install
6、软件正在安装,等待安装结束吧
7、提示安装完毕界面,点击finish结束安装
8、将64/32位补丁复制到安装地址替换主程序就可以完成激活
9、打开passmark osforensicss就可以正常使用,显示很多功能
10、如果你会使用这款软件就找到对应的功能吧,也可以点击右上角“help”查看教程
官方教程
新建哈希
文件的来源。 根据数据库的范围,它可以像“Bob's PC”一样具体,也可以像整个组织一样广泛。
“新建哈希集”窗口允许用户输入用于生成新哈希集的属性。单击“哈希集”主窗口中的“新建集”按钮可以访问此窗口。
当前数据库
哈希集所属的数据库的名称。
起源
属于哈希集的文件的来源。根据数据库的范围,它可以像“鲍勃的PC”一样具体,也可以像整个组织一样广泛。
产品类别
文件关联的产品类型。例如。文字处理器,图像编辑器,操作系统。
制造商
哈希集中文件的原始创建者。例如。苹果,微软,谷歌
设定类型
文件集的分类。例如。安全,恶意软件,盗版,可信任
操作系统
文件关联的操作系统。
集合名称
哈希集的名称。哈希集名称应简要描述哈希集的内容。例如。 Windows XP系统文件,病毒,蓝图。
哈希集查看器
哈希集查看器窗口允许用户查看有关现有哈希集的详细信息。 可以通过双击哈希集或通过在“哈希集”主窗口中右键单击上下文菜单来访问此窗口。
该表包含哈希集中的文件列表和相应的哈希值。
哈希集查找
在“文件名搜索”或“不匹配搜索”模块中,可以对找到的文件进行查找,以查看它们是否存在于当前哈希数据库中。这可以通过右键单击列表并选择“在哈希集中查找”来完成。
根据您是对单个文件还是对多个文件执行此操作,您将获得不同的界面。但是,在这两种情况下,文件都会在原始列表中标记为是否找到匹配项。
单文件哈希查找
查找结果显示在表中,列出了在活动数据库的哈希集中找到的所有匹配项。
绿色元素表示匹配。
多个文件哈希查找
当一次哈希比较多个文件时,与哈希集中包含的条目匹配的文件将显示在列表视图中。
通过在右键菜单中选择“将列表导出为文本...”,可以将匹配文件的列表导出为文本文件。
创建签名
创建签名模块用于创建签名文件。 这用于在特定时间点创建系统目录结构的快照。
可以使用默认选项创建签名,只需指定一个起始目录并单击“开始”按钮即可。 单击“配置...”按钮以打开“创建签名配置”窗口,可以找到用于签名生成的高级选项。
创建签名后,将提示用户保存文件签名。 即使签名很大,保存也只需几秒钟。
单击“停止”按钮可以随时取消签名创建过程。
签名文件创建配置窗口
签名文件创建配置窗口允许对签名创建过程进行更高级的配置。通过单击“创建签名”主窗口中的“配置...”按钮可以访问此窗口。
目录清单
可以在此处配置要包括在签名中/从签名中排除的目录。创建签名时,应递归扫描每个包含目录,并将其包含在签名文件中。递归过程中将跳过排除的目录。请注意,如果列表中的包含目录在列表中包含另一个包含目录,则公用文件将在签名文件中包含两次。
您可以包括来自注册表的路径,目录选择下拉列表包含可以添加的注册表根键。可以与文件系统路径相同地包含/排除注册表子路径。
其他设定
计算哈希
选中此框可为签名中的每个文件计算SHA1或MD5哈希。这将增加签名创建过程的第二步,比简单扫描花费更多的时间,因为签名中的每个文件都需要从硬盘驱动器中完整读取。默认情况下禁用此选项。
创建注册表路径的签名时,这将哈希存储在注册表值中的数据。注册表的散列比文件系统的性能损失要小得多,因为数据少得多。
忽略修复点
选中此框可忽略重新分析点。重新解析点存在于NTFS驱动器上,并显示为普通文件夹。但是,它们充当文件系统不同部分之间的链接。 Windows在其初始安装中会创建许多此类重新解析点。默认情况下启用此选项。建议选中此选项。否则,扫描过程可能最终会多次包含同一文件。
忽略Windows临时文件夹
忽略以下已知Windows临时文件夹的硬编码列表。默认情况下启用此选项。
“ \ AppData \ Local \ Microsoft \ Windows \ Temporary Internet Files”
“ \ AppData \ Local \ Temp”
“ \ AppData \ Roaming \ Microsoft \ Windows \ Cookies”
“ \ Users \ All Users \ Microsoft \ Search \ Data \ Temp”
“ \ Users \ All Users \ Microsoft \ Search \ Data \ Applications \ Windows \ Projects \ SystemIndex \ Indexer”
“ \ ProgramData \ Microsoft \ Search \ Data \ Applications \ Windows \ Projects \ SystemIndex \ Indexer”
“ \ ProgramData \ Microsoft \ Search \ Data \ Temp”
“ \ Windows \ Temp”
“ \ Windows \ Prefetch”
“ \ Windows \ System32 \ WDI”
“ \ Windows \ System32 \ LogFiles”
“ \ Windows \ System32 \ spool”
“ \ Windows \ System32 \ config”
“ \ Windows \ System32 \ winevt \ Logs”
包括已删除的文件
扫描已删除的文件(以及用于NTFS驱动器的$ I30松弛条目),并将文件包括在签名文件中。启用此选项将减慢签名创建过程。
将文件包含在Zip中/包括邮件存档中的电子邮件
选择这些选项将使签名创建功能检查zip文件或电子邮件存档的内容。在电子邮件的情况下,将存储额外的元数据(即往返地址)。电子邮件附件也将作为单独的条目添加。请注意,这些选项是递归的,如果zip文件中包含zip文件,或者电子邮件中包含电子邮件归档,则也将对其进行检查。如果同时选择了这两个选项,则将检查与电子邮件相关的zip以及zip中的电子邮件存档。对于递归进行的深度没有固定的限制。
跟踪硬链接
选择此选项将使签名创建功能跟踪每个文件的硬链接。硬链接是文件的文件系统表示形式,通过它多个路径引用同一卷上的单个文件。启用后,仅将第一次遇到的文件添加到文件总大小中。随后遇到与文件的硬链接不会增加文件的总大小。启用此选项将减慢签名创建过程。仅支持NTFS上的文件夹。
比较签名
比较签名模块用于比较两个先前创建的签名,以便识别两个时间点之间目录结构的差异。差异包括新文件,已修改文件和已删除文件。
旧/新签名
要比较的签名文件的文件路径。这两个签名的时间顺序较早的应为“旧签名”,以便区别的术语正确。
信息
打开“签名信息”窗口,该窗口显示相应签名文件的详细信息。
忽略设备名称
选中此选项以比较签名文件,而不考虑文件路径中设备名称的差异(例如,“ C:”,“ D:”,“ winxp:”)。
配置...
打开一个配置对话框,该对话框允许用户调整签名比较设置。
哈希集
单击此按钮使用比较中的差异列表创建哈希集。
出口
单击此按钮将签名比较的结果保存到CSV文件。
相比
单击此按钮可以在签名文件之间进行比较。
签名信息窗口
签名信息窗口显示有关签名文件的详细信息。通过单击“比较签名”主窗口中签名文件上的“信息”按钮,可以访问此窗口。
文件
签名文件的文件路径。
创立日期
创建签名文件的日期和时间。
SHA1
签名的内部SHA1哈希。请注意,由于SHA1哈希存储在签名本身中,因此在签名文件上运行哈希函数将不会生成相同的哈希。但是,在加载签名后会重新计算并检查哈希,如果签名已被修改,则会出现错误。
签名中包含的目录
创建签名文件时包含/不包含的目录列表。
散列
此字段将指定针对此签名中的条目计算的哈希类型(如果有)。
文件总数
此签名中的条目总数。
文件总大小
此签名中所有条目的累积大小。
忽略修复点
如果选中,则重新签名点在创建签名文件时将被忽略。
忽略Windows临时文件夹
如果选中,则在创建签名文件时将忽略已知的Windows临时文件夹。
包括已删除的文件
签名创建过程是否包括已删除的文件(以及NTFS驱动器的$ I30松弛条目)。
在Zip文件中包含文件
签名创建过程是否将文件包含在zip文件中。
包括邮件档案中的电子邮件/包括电子邮件附件
签名创建过程是否包括来自邮件存档内部的电子邮件和附件。
跟踪硬链接
签名创建过程是否跟踪硬链接。如果跟踪了硬链接,则只会将文件的第一次匹配记录在文件大小中,并且每次后续遇到的文件都会将文件大小标记为0,以不增加文件总大小。
签名技术细节
以下是有关签名和文件列表如何处理某些特殊情况的注释列表。
电子邮件日期/时间
对于电子邮件,创建日期是发送日期,修改日期是接收日期。
单个电子邮件容器
仅包含单个电子邮件(即eml,msg)的文件仍会在签名中获得两个条目。一个用于文件本身,另一个用于电子邮件。这是由于某些共享数据可能不同的事实。文件本身以及发送和接收消息的时间都有日期/时间。文件大小和哈希也将有所不同,请参见下文。
电子邮件的文件大小
电子邮件文件大小的计算公式为:
邮件标题+邮件HTML内容+邮件纯文本内容+邮件RTF内容+任何附件的大小(如果支持)。
出于大小目的,除RTF以外的所有字段均被视为双字节unicode。 RTF保留其原始的单字节格式。
容器中所有电子邮件的总大小将与文件的大小不同,在某些情况下,总大小会更大。这是消息HTML的人工产物,纯文本内容始终被视为双字节,而在内部它可能已存储为UTF-8或某些其他压缩格式。
电子邮件附件限制
MBOX附件限制为50MB。如果附件大于此附件,则不包含在签名/文件列表中,也不算作邮件哈希/文件大小的一部分。
绝不支持DBX附件。
电子邮件哈希
生成哈希时,会为电子邮件生成两个单独的哈希。第一个存在于与普通哈希相同的字段中,是内容的哈希,它构成了上述电子邮件文件大小中所述的消息文件大小。
第二个哈希是仅消息内容的哈希。 has是根据三个可能的内容字段之一计算的。如果存在多个内容类型,则按以下优先级顺序选择它们。
纯文本具有最高优先级,它被视为双字节unicode,并且在散列之前删除所有空格,换行符,制表符和回车符。
HTML具有第二高的优先级,它被视为未经修改的双字节哈希。
RTF是最低优先级,它被哈希为一个单字节字符串。
删除的文件哈希
支持为已删除文件中的内容计算哈希($ I30松弛条目除外)。但是,请注意,已删除的文件群集可能已被覆盖和/或分配给另一个文件,从而导致计算的哈希值与原始文件不同。
大型Zip文件
不支持大于4GB的Zip存档。仅顶级zip将被添加到签名,而不是zip中的任何文件。
跟踪硬链接
仅支持驻留在NTFS上的选定文件夹位置。
驱动准备
该模块提供三种不同的功能。 首先,它可以测试驱动器的可靠性,从而有可能在将任何故障驱动器投入使用之前将其识别出来进行调查。 其次,它可以将驱动器的所有字节设置为指定的字节模式(并确认该字节模式已写入整个驱动器),以确保两次调查之间不会污染数据。 最后,它可以将驱动器格式化为NTFS或FAT32文件系统,以准备进行调查。
驱动器清单
驱动器列表显示6列:
•驱动器:显示磁盘卷和/或物理驱动器号。可能还会显示卷名称,磁盘类型,大小和文件系统类型。
•进度:测试,归零或验证的进度,或文件系统格式的百分比。
•“磁盘测试”:测试完成或测试通过或失败时显示“进行中”。
•Write / Verify Pattern:写/验证或完成时通过或失败,则显示进行中。
•格式:格式化或通过或完成后失败,则显示进行中。
•状态:当前活动或结果的简短摘要。
通过选择驱动器列表中的多行,可以一次操作多个磁盘(最多100个磁盘)。您可以随时使用“停止”按钮停止操作。
如果自OSForensics启动以来已将其他驱动器添加到系统,则可以使用“刷新驱动器列表”按钮刷新可以测试的驱动器列表。
驱动器准备选项
路测
此测试不会测试整个驱动器,因为在大多数情况下,这将花费很多小时。而是,为了提供最快的测试,同时提供最大的驱动器测试覆盖范围,该测试直接而不是通过文件系统(例如,文件系统)将测试数据写入和读取到驱动器。 NTFS。该测试将测试驱动器的起点,驱动器的终点以及之间的随机样本。测试的随机样本阶段将继续进行,直到大约测试了10%的磁盘为止。这样,驱动器测试将删除驱动器上的文件系统信息(例如NTFS)和数据。此测试需要管理员权限。
快速行驶测试:选择此项后,测试将保持约3分钟。
可以测试的驱动器显示在物理驱动器列表中。唯一允许测试的驱动器是固定驱动器和可移动驱动器。无法测试系统驱动器(即“ C:”)。
将数据模式写入整个驱动器
此操作使硬盘驱动器上的每个字节均设置为指定值(默认为零)。在新的调查中使用驱动器时,有效地清空磁盘并消除数据交叉污染的任何可能性。完成写模式过程后,“验证模式”操作可以通过从磁盘读回所有数据并检查每个字节值是否为指定的字节值来确保该过程成功,
由于此功能作用于整个驱动器,因此可能需要一些时间,具体取决于驱动器的大小。
格式化驱动器
此操作将设置分区并格式化驱动器。可能存在的任何以前的分区或文件系统将被删除,并替换为包含NTFS或FAT32文件系统的单个卷。仅在总大小不超过2 TB的驱动器上允许使用FAT32。如果未选择“快速格式化”,则该卷的可用磁盘空间将被写入零。
“将驱动器准备日志写入驱动器根目录”选项将写入测试的简短文本日志以及在准备驱动器期间选择的选项。只有格式化成功并且可以访问该卷时,才能写入驱动器日志。
打开磁盘管理器
在测试驱动器或写入并验证数据模式之后,将需要格式化驱动器。 “打开磁盘管理器”选项将打开Windows磁盘管理器,以允许根据需要对驱动器进行分区和格式化。
开始/停止
启动将在选定的驱动器上启动选定的操作。如果选择的话,操作顺序为“驱动器测试”->“写入模式”->“验证模式”->“格式”->“写入日志”。您可以选择另一项操作以开始连续的一键测试。启用“错误停止”时。如果上一步发生错误,各个驱动器将停止准备工作,并且不会继续进行下一步。其他驱动器将继续正常运行,直到完成。
停止将表示所有正在进行的操作已停止(例如,驱动器测试,写入/验证数据模式或格式化)。
建立影像
OSForensics允许用户获取活动系统或添加到机箱中的任何设备的分区,磁盘和卷的精确副本。这对于从USB运行OSForensics时的实时采集特别有用。但是,如果要从非实时系统复制驱动器,请参阅OSFClone。
创建磁盘映像使用Windows内置的Volume Shadow Copy服务。这使OSForensics可以复制正在使用的驱动器,而不会因读取当前正在写入的文件而导致数据损坏。这对于Windows正在不断修改的映像系统驱动器尤其重要。卷影副本启动后,驱动器的快照状态将在该时间点冻结,因此,即使重要的证据被后台的另一个进程删除,它也仍会出现在生成的图像文件中。
如果卷影复制服务不可用,则OSForensics会尝试锁定驱动器以防止任何其他程序对其进行写入。如果无法做到这一点,则会出现警告。没有卷影或锁的情况下复制的驱动器在完成时易于创建损坏的映像。
一旦创建了驱动器映像,便可以通过将其添加到机箱中或通过OSFMount进行安装来对其进行分析。
源盘
要为其创建映像的分区,磁盘,卷或设备。请注意,只有具有驱动器号的分区才能进行影子复制。
图像文件
将图像文件保存到的位置。还将在此位置创建一个具有相同名称的.info文件。在指定要保存的图像文件路径后,根据所使用的文件扩展名,图像文件格式应显示在下方。
压缩等级
如果图像文件格式支持压缩,则可以指定图像文件的以下压缩级别之一:无,快速或最佳。
描述
图像的简单描述,该图像将存储在随附的.info文件中。
位置/地点
有关获取磁盘的位置的描述。这将存储在信息文件中。
哈希函数/辅助哈希函数
指定用于哈希的哈希函数。还可以指定辅助哈希函数来同时计算哈希值。
完成后验证图像文件
选中此复选框可根据源磁盘哈希值来验证映像文件哈希值。这可能需要与初始成像一样长的时间,从而使整个过程的时间加倍。
禁用卷影复制
映像过程将不会尝试使用Windows Volume Shadow Service执行复制。
完成后将图像元数据文件附加到案例
成像过程完成后,提示用户将图像验证文件(.info.txt)附加到大小写。
状态
成像过程的当前状态。在可用时还显示持续时间。请注意,持续时间仅适用于该特定步骤或过程。
复制方式
用于创建磁盘映像(卷影副本或直接扇区副本)的方法。还有OSF是否成功锁定了卷。
无法读取的数据
如果一个扇区不可读,它将用0填充该扇区并继续。该字段可让您知道由于访问受限或磁盘损坏而导致无法读取的数据量。
恢复图片
将映像还原到磁盘后,磁盘内容将返回到先前的状态,从而使研究人员可以观察到磁盘在连接到实时系统时发生的变化。如果调查人员希望引导正在运行的计算机上的系统磁盘映像,以便从用户的角度查看系统状态,则这可能很有用。
如果获得了对磁盘的锁定,则OSForensics只能还原映像文件。这是为了防止还原过程中任何其他程序写入磁盘。为了使OSForensics成功获得锁,当时没有程序可以访问磁盘(例如,正在打开磁盘上的文件)。
源图像文件
包含要还原磁盘的磁盘内容的映像文件。
目标磁盘
将映像文件的内容写入到的磁盘。
完成后验证磁盘
选中此选项以使用源映像文件哈希值验证目标磁盘哈希值。这可能需要花费恢复过程的时间,从而使整个过程的时间加倍。
状态
还原过程的当前状态。在可用时还显示持续时间。请注意,持续时间仅适用于该特定步骤或过程。
复制方式
用于还原磁盘映像的方法。这将始终是“直接扇区复制”。
隐藏区域-HPA / DCO
主机保护区(HPA)和设备配置覆盖图(DCO)是用于隐藏硬盘扇区以防止最终用户访问的功能。
HPA的典型用法是存储制造商的引导扇区代码或诊断实用程序。但是,HPA也可以用于恶意目的,包括隐藏非法数据,这可能是法医调查人员感兴趣的。
提出了DCO功能,以允许系统供应商购买不同大小的硬盘,但是将每个磁盘的硬盘容量设置为相同大小。再次,隐藏的扇区可以用于隐藏法医感兴趣的数据。
注意:如果删除了HPA和/或DCO,则在系统能够访问以前隐藏的扇区之前,需要先卸下/重新连接硬盘。就是在分离/重新连接硬盘之前,您将无法在Raw Disk Viewer中查看以前隐藏的扇区。但是,您仍然可以通过将HPA和/或DCO映像到文件,然后在内部查看器中打开映像文件来查看隐藏区域的内容而无需分离硬盘。
最大用户LBA
用户的最大可寻址扇区。这确定了磁盘报告给系统的容量。
最大本机LBA
磁盘允许的最大可寻址扇区。
最大磁盘LBA
物理磁盘的最大可寻址扇区。
HPA大小
最大用户LBA和最大本机LBA之间的区域大小
删除HPA
如果存在,则将删除指定磁盘上的HPA。现在可以访问HPA中以前隐藏的扇区。
图像HPA
如果存在,则会创建HPA映像并将其保存到磁盘。成像后,HPA恢复到其原始状态。
DCO尺寸
最大本机LBA和最大磁盘LBA之间的区域大小
删除DCO
如果存在,则将删除指定磁盘上的DCO。现在可以访问以前隐藏在DCO中的扇区。
图像DCO
如果存在,则会创建DCO的映像并将其保存到磁盘。成像后,DCO将恢复到其原始状态。
注意:仅当磁盘上没有HPA时才能删除DCO。就是必须先删除HPA,然后才能删除DCO和/或对其进行成像。
取决于硬盘,HPA / DCO区域可能被锁定,因此无法删除或成像。对于区域的大小,用“ N / A”表示。
访问HPA / DCO
一旦检测到隐藏区域,请使用与特定隐藏区域相对应的“图像”按钮,这将使您可以将该区域的内容另存为图像文件,在以下示例中,单击“图像HPA ...按钮将使我们能够保存检测到的HPA的内容。
现在已经创建了HPA映像,您可以使用文件系统浏览器和内部查看器查看它。导航到保存HP图像的位置,右键单击该图像文件,然后选择“使用Internal Viewer进行查看”选项。现在,您将能够查看该区域的十六进制内容,并使用其他内部查看器功能,例如“提取字符串”,如下例所示。
创建逻辑映像
创建逻辑图像使研究者可以将文件/目录从一个或多个源设备复制到目标文件夹或图像文件,并保留尽可能多的文件系统元数据(例如日期/时间,属性)。这在不希望制作证据设备的完整驱动器映像的情况下很有用(例如,由于磁盘大小)。请注意,在保留目录结构,文件内容和一些元数据的同时,某些数据可能会从操作中丢失,例如松弛空间,碎片,未分配空间,已删除文件等。
指定目标目标时,调查可以指定文件夹或图像文件(Windows 7或更高版本)以将目录内容复制到其中。如果选择了“映像文件”选项,则将生成虚拟硬盘(VHD)映像文件,其中应包含目录和内容。在执行复制操作之前,将创建VHD映像文件,将其附加并作为NTFS卷安装到系统的驱动器号上。操作完成后,将虚拟磁盘与系统分离,可以在其中将映像文件添加到机箱或使用Windows中的“磁盘管理”将其重新挂载。
运行该操作时,将生成一个日志,其中包含复制的文件/目录,常规状态消息和任何错误消息。失败的最常见原因是它们被另一个进程锁定,或者当前用户没有访问它们的权限。日志可以导出到文本文件和/或作为附件添加到案例中。
∨ 展开