簡介
現場蒐證暨痕跡分析工具,在對目標證物影響最小化的前提之下,快速並全面地採集重要數位證據至外接裝置,同時產出檔案雜湊值,使資料具有證據力。另外針對硬碟部分,搜尋已刪除及重要之檔案,加以複製輸出。並特別針對非消逝性及易消逝性證據進行採集,以時間軸了解可能的犯罪行為,再加上畫面截圖、OCR 技術及步驟收錄程序,於最後產生出具有效力的紀錄報告以防止事後的爭議。
功能說明
- 支援中文化操作介面
-
支援消逝性數位證據採集,即關機後消失不見之數位證據資料,進行蒐證採集,包含
i. 執行程序 (Process)
ii. 網路資源 (Network Resources)
iii. 程序連線資訊 (Network)
iv. 程式開啟之檔案 (Opened Files)
v. ARP 快取 (ARP Cache) -
支援非消逝性數位證據採集,包含
i. 一般系統服務 (Service)
ii. 細部系統服務 (Service Detail)
iii. 開機啟動程式 (Start Run)
iv. 無線網路資訊 (Wireless)
v. 已安裝軟體 (Installed Software)
vi. 系統資訊 (System Info)
vii. USB 裝置資訊 (USB Devices)
viii. 相關捷徑 (Shortcuts)
ix. 主機用戶資料 (User Profiles)
x. MUI 快取
xi. Prefetch
xii. 安全性日誌檔
xiii. 應用程式日誌檔
xiv. 系統日誌檔
xv. 排程工作 (Task Schedule)
xvi. 機碼使用痕跡 (User Assist)
xvii. IE 快取
xviii. IE 瀏覽紀錄
xix. 開啟的資料夾路徑 (ShellBags)
xx. 最近開啟檔案 (Recent File)
xxi. Firefox 登入帳密
xxii. Firefox 瀏覽紀錄
xxiii. Chrome 登入帳密
xxiv. Chrome 關鍵字搜尋紀錄
xxv. Chrome 下載紀錄
xxvi. Chrome 瀏覽紀錄
xxvii. JumpList
xxviii. Windows activity
xxix. Network Usage - 蒐集回來之主機資訊支援整體時間軸分析功能,可以顯示圖形化的時間軸,並支援在時間軸上直接拖拉進行篩選時間範圍
- 支援匯出蒐證結果的資料成為 CSV 格式
- 具備 Physical disk 與 Logical disk 的硬碟資料解析功能
- 分析完畢之檔案資訊,可進行關鍵字、檔案大小、時間等相關資訊之搜尋
- 具備可取回被刪除檔案以及複製一般檔案之功能
- 具備啟動 Windows 步驟收錄程式進行操作紀錄之功能
- 支援單張截圖、網頁或其他截圖等功能,可供使用者拍攝電腦主機畫面且對於截圖內容的文字可進行 OCR 功能
- 本蒐證軟體可直接執行使用無需安裝