LiveSearch

現場電腦鑑識工具包(InfoDetector)
功能規格說明

 


  • 功能說明:
  • 本工具軟體必需同時具有中文操作介面且所產生的報表必需為中文報表且可支援HTML格式,亦即可以於任何作業系統下有網頁瀏覽器即可開啟報表內容。
  • 針對易消逝性數位證據(volatile data)於關機後即消失不見,本工具必需可支援以下易消逝性的數位證據資料進行採集:
    • 系統目前的時間及時區
    • 系統目前的網路連線狀態(Current Network Connection)
    • 系統目前的綱路設定及路由表(Routing table)
    • 系統暫存的ARP Cache
    • 系統目前開啟的UDP及TCP 埠
    • 哪些程式開啟目前的UDP及TCP埠
    • 系統目前登入的使用者帳號
    • 系統目前正在執行的程式(Running process)
    • 系統目前正在執行的服務(Running service)
    • 系統目前所有被開啟的檔案
    • 系統的排程工作程序(Schedule Jobs)
    • 記憶體的映像檔(memory dump)
  • 以上所採集的Volatile數位證據檔必需有對應的各項MD5摘要檔以具有蒐證之不可否認性。
  • 本工具必需支援中文化操作介面及中文化的鑑識報告格式。
  • 以上所採集的Volatile數位證據檔必需有對應的各項MD5摘要檔以具有蒐證之不可否認性。
  • 本工具可支援各種防寫機制來進行鑑識分析。
  • 本工具包必需包含資料貯存所需之外接式USB3.0 500G(含以上)隨身硬碟一顆並整合於可攜式之工具包內。
  • 本工具可結合FTK或EnCase來進行證物映像檔檢視。
  • 本工具具備TimeLine模式,支援:
    • 視覺化的日曆型態展示可快速瞭解所在檔案在各日期下的更動狀況。
    • 可直接依顏色區分,檢視所有檔案最後的修改、存取、建立及NTFS Entry 修改時間的數量。
    • 點擊某一天之日期,可快速瀏覽當天所有有修改、存取、建立及NTFS Entry 修改時間的檔案。
    • 可依使用者需求之不同,隨時切換TimeLine模式及Table模式。
  • 本工具具備Gallery模式,支援:
    • 視覺化的圖形顯示模,可快速瞭解蒐證磁區下的所有圖形相關檔案。
    • 可搭配TimeLine模式來篩選檢視所有檔案最後的修改、存取、建立及NTFS Entry 修改時間的圖檔呈現。
    • 可救援並回復呈現出已遭刪除但未被覆寫之圖檔檔案。
    • 可依使用者需求之不同,隨時切換Gallery模式、TimeLine模式及Table模式。
  • 本工具具備檔案系統快取至記憶體功能,能夠使蒐集數位證據更有效率:
    • 必需具備第一次搜尋即把檔案暫存到記憶體中,待之後每次搜尋時不經過Windows核心及Windows檔案系統,所有搜尋可在數秒內完成。
    • 每次搜尋的結困均暫存於記憶體內以頁次的方式顯示,可快速切換各頁次檢視比對所有搜查的結果。
    • 可勾選各頁次中的目標檔案,並可綜合來檢視所有已勾選的文件,任何滙出的文件必需確保原始檔案的MACE時間及屬性未遭任何更改狀態。
    • 必需具備檔案過濾功能(Filter),可以依照檔案資訊進行檔案之過濾(5)必需具備救援回復刪除檔以及複製檔案之功能。
  • 本工具碟所採集之數位證據必須有對應的各項MD5摘要檔。
  • 所有操作及搜尋必需有使用紀錄檔。
  • 本工具之蒐證模式(Collect)必須能以讀取MFT及FAT檔案系統方式分類重要數位證據資料包含下列各項:
    • 電子郵件(Mail)
    • 網頁相關(Web)
    • 電腦最近開啟之文件
    • 電腦最近修改之文件,且可設定天數進行搜尋。
    • 可採集作業系統稽核政策、作業系統紀錄檔、IIS網頁伺服器紀錄檔、Windows機碼、暫存檔區…等可能成為關鍵數位證據之重要資料。
    more...

    © 2015 鑒真數位 All Rights Reserved