计算机现场取证系统
发布时间:2022-06-17 17:23计算机现场取证系统(简称:SafeImager)是国内第一款自主研发的针对计算机现场取证的工具类软件。现场取证系统以光盘、U盘或硬盘为载体,支持直接在取证对象计算机(macOS和Windows系统计算机)上运行取证程序或者离线启动取证对象计算机进行数据获取。操作简单,便于调查者现场快速的获取对象计算机中的电子数据,完成计算机的现场取证。 计算机现场取证系统获取的电子数据支持在多种(SafeAnalyzer、Encase、FTK)分析软件中做深度分析,且支持计算获取的电子数据的校验值,辅助取证的截屏、录像取证功能,可完整的记录取证过程,确保获取数据的原始性和勘验过程的可追溯性。
用户价值丨CUSTOMER VALUES
跨平台的取证产品
现场取证系统支持在Windows、macOS、Linux三大系统平台上运行和取证。
macOS在线取证
现场取证系统(SafeImager)的macOS在线取证能是国内首先推出的针对苹果计算机的在线取证功能。此功能,是非常实用的,不仅解决了苹果计算机需要拆机取证的问题,还解决了取证数据分析难的问题。
多种文件过滤方式并用
现场取证系统默认了数据库、图片、多媒体、文档和应用程序数据库五类文件的默认过滤,支持对五类文件的过滤内容进行编辑,内置多重逻辑过滤器,支持基于文件属性的多重逻辑过滤。
灵活的数据提取策略
现场取证系统采用基于案件类型的数据提取策略。电子数据调查人员在取证前会填写案件信息,当选择一个案件类型后,取证软件会根据选择的案件类型确定默认的数据提取项,且支持现场修改提取项。 数据提取策略是根据公安行业一线取证技术人员十多年的从业经验制定的策略,不仅可以快速确定提取项,而且此策略还可以指导一线取证技术人员了解不同案件类型应该主要获取哪些数据。 数据提取策略支持编辑默认策略内容和新增策略。可以满足不同用户对象的需求。
适用场景多
现场取证系统具备完整的现场取证功能需求,电子数据调查人员可以此软件对现场计算机设备进行现场勘验取证,并生成和打印报告,现场取证人员、被调查人员和见证人员签名存档。 我们知道,现今的高度集成的一体化计算机(主要是笔记本)设备在用户群体中占有很大比例,电子数据调查案件面对此类设备的情况也越来越多。此类设备集成高、难拆卸的共同特点给取证带来一些阻碍。现场取证系统的多种取证模式可以有效的解决此类问题。
产品功能丨PRODUCT FUNCTIONS
离线取证(Offline)
现场取证系统的离线取证(Offline)是通过离线的方式启动取证对象计算机,支持Windows、macOS和Linux三大系统计算机的数据取证。
在线取证(Online)
Windows在线取证场景不仅支持离线取证(Offline)的所有功能,还支持内存数据取证和系统正在运行的易失数据(账户密码、用户记录和动态网络数据等)取证。
基于案件类型的数据提取策略
现场取证系统根据不同案件类型对应不同的数据提取策略。电子数据调查人员新建案件时选择的案件类型,将会成为取证程序选择数据提取策略的依据。数据提取策略包含活动记录和文件提取两块内容。默认策略可在维护工具中编辑和配置。
截屏与录屏取证
现场取证系统支持截图与录屏取证。便于电子数据调查人员记录取证的所有过程,做到取证过程可追溯。
勘验报告
现场取证系统的报告页面支持动态生成包含完整取证数据的勘验报,电子数据调查人员可以对报告内容进行预览,最终可以根据选择内容导出最终版的现场勘验报告。
产品维护工具
现场取证系统分为取证软件和维护软件两个模块,维护软件支持对取证软件的案件管理、默认配置、维护升级和证据盘擦除功能。
产品优势丨PRODUCT ADVANTAGE
离线文件系统解析技术
现场取证系统采用离线文件系统解析和调用系统API两种方式读取硬盘中的文件,根据不同场景使用不同的文件读取方式。最主要的还是离线文件系统解析,因为所有功能基本都是基于离线文件系统解析技术实现的。
离线文件系统解析技术支持现今主流的文件系统格式的解析,包含FAT32、NTFS,HFS、HFS+、APFS等等。
断点续传技术
计算机固定基本都是采用创建镜像或者磁盘克隆的方式固定证据。如今的计算机硬盘存储空间都非常大,由于I/O的读写速度,数据传输接口的传输速度等技术原因,任何取证工具在获取全盘数据的时候,都需要很多时间。在漫长的固定证据过中,很容易出现中断等问题,现场取证系统通过监控和记录固定证据的全过程,如果出现中断的问题,支持从中断位置开始,继续未完成的证据固定。这避免了出现中断又要重新开始的问题。
坏道处理技术
磁盘坏道是最长常见的磁盘故障。现场取证系统采用了坏道修复、不能修复跳过等坏道处理技术。这项技术的采用避免因磁盘坏道而造成磁盘数据无法固定的现实问题。