OSForensics,系统信息收集软件
- 类别: 软件
OSForensics是用于Windows操作系统的商用计算机取证软件包,其中包含有关底层PC的大量信息。
更新资料 :OSForensics不再是免费版本。 Passmark Software已于2016年11月10日发布4.0版,以30天免费试用期取代了免费版本。 结束
我最近写了人们不得不使用的工具和选项 分析计算机使用率 。 OSForensics是用于Microsoft Windows系统的程序,如果该程序当时已发布的话,我会在其中将其包括在内。
OSForensics
该程序是一个系统信息收集软件。当前提供beta版本。最终版本发布后,开发人员Passmark软件将发布免费和商业版本。
免费版具有一些限制,例如,磁盘索引限制为200k个文件,不搜索替代文件流,文件解密或支持公司公共论坛的支持的多核加速。另一方面,测试版没有限制。
该工具由其开发人员设计,旨在协助法医专家发现相关的法证数据,识别可疑文件和活动以及信息管理。
首次启动该程序时,您会在左侧看到可用选项的列表,并在右侧的较大区域中看到这些工具的选择。
可以立即运行特定工具,或者使用案例管理模块为分析首先创建案例。案例由名称和保存位置,调查员,组织和可选的联系方式组成。
创建案例后,您可以使用左侧的工具搜索,收集和分析信息。您可以从创建硬盘驱动器或文件夹内容的索引开始。在高级配置步骤中,可以搜索特定类型的数据,例如电子邮件,zip文件,office文档或Web文件,或指定自定义文件类型。
基本上,高级选项使您可以指定要包含在扫描中的文件扩展名。 OS Forensics不仅会索引驱动器上的现有文件,还会索引硬盘驱动器未分配扇区上已删除文件的痕迹。
数据索引可能需要一些时间,具体取决于所选文件夹或驱动器的大小以及计算机的性能。创建索引后,您可以使用搜索查找先前已建立索引的特定文件。
但这只是可用于在计算机上搜索信息的选项之一。例如,“最近的活动”显示有关用户最近打开的文件,打开的网站,Cookie和事件记录的信息。
以下是一些其他工具的概述:
- 在文件,电子邮件中搜索
- 驱动器映像:创建硬盘驱动器或分区的映像以安装驱动器并使用该映像而不是物理驱动器。
- 法证复制:将文件从一个文件夹复制到另一个文件夹。目标文件保留原始文件的时间戳。比创建和处理驱动器映像更快。
- 哈希集:加载哈希集以标识安全文件,以减少分析文件所需的时间。
- Raw Disk Viewer:分析所有物理驱动器的原始数据扇区。
- 内存查看器:查看内存中当前所有进程的内存详细信息。
- 删除文件搜索:搜索任何硬盘驱动器上已删除文件的痕迹。
- 不匹配文件搜索:搜索内容与文件类型不匹配的文件,例如隐藏的容器或错误的扩展名。
- 签名:创建签名以比较目录结构。
- 密码恢复:查找浏览器密码,使用Rainbow表查找密码哈希并针对特定文件类型自动解密文件。
- 文件查看器:Os Forensics包括图像,十六进制,字符串,文本,文件和元数据查看器。
- 安装到USB:将应用程序安装到USB驱动器
OS Forensics是一种非常复杂的系统信息收集软件,具有令人难以置信的功能。对程序感兴趣的用户可以下载最新版本 来自 开发人员网站。
该程序与最新的Microsoft Windows客户端和服务器系统的32位和64位版本兼容。开发人员提供了供下载的哈希集,以识别和忽略安全的操作系统文件。下载页面还提供了一些彩虹表下载。