Forensic ToolKit v6.x

FTK是數位鑑識領域中,非常有名的一套軟體,為AccessData公司生產,該公司成立於1987年,為早期就已在電腦鑑識領域從事開發研究的專業公司,目前FTK已普遍被各國的執法單位所採用,其直覺式的操作介面很適合閞始接觸電腦鑑識的人員所使用,FTK支援各種作業系統及檔案系統,且採用全文檢索式的資料搜尋技術可快速找到所需的關建數位證據檔案。

功能介紹:

  • 可以支援FAT, FAT32, NTFS, EXT2,FATEXT3, ReiserFS, HFS Plus, ISO9660等不同檔案系統格式的鑑識分析
  • 利用機碼分析機制來進行各項Windows平台的機碼鑑識分析
  • 可以執行數位證據的映像檔製作(支援E01及DD及Smart格式)並可做記憶體傾印。
  • 可以針對實體硬碟或映像檔進行鑑識分析,並可以使用索引分析的機制來輸入所有關鍵字,找出所有與此關鍵字符合的存在位置,支援多語系分析。
  • 支援刪除檔案的鑑識分析。
  • 可以檢視Event Log檔案及偵測加密的文件。
  • 支援多種檔案系統、複合檔案及電子郵件格式,電子郵件格式包含Notes NSF, Outlook PST/OST, Exchange EDB, Outlook Express DBX, Eudora, EML , Netscape及AOL等。
  • 可以對實體設備、邏輯磁區及未使用的硬碟磁區安全地執行鑑識採證。
  • 可以分析瀏覽器的上網使用行為,包含Web History、Cookie及Cache.
  • 整合資料庫引擎可將鑑識索引關鍵字貯存於資料庫中。
  • 可以將數位證物索引檔滙出作為破密使用之字典檔
  • 內建數位證據標記功能(BooKMark)並可利用來製作鑑識報告
  • 具有記憶體分析模組可分析傾印的記憶體資料,如:
    1. 列出所有執行之程序(包括隱藏程序)
    2. DLL清單
    3. Network Sockets
    4. 載入之驅動程式
    5. Handles
    6. SCT, IDT及IRP之列舉及hook偵測
  • 可針對檔案格式進行偵測分析,可偵測出即使檔案副檔名偽裝的檔案,另可直接檢視檔案的內容。
  • 可將報告轉成PDF/HTML/XML/RTF等檔案格式。
  • 提供Imaging 工具可以不用安裝即可製作證物E01及DD格式映像檔。
  • 提供Vmware vmdk、E01及DD格式映像檔之mount功能。
  • 提供Registry分析專用工具,可以顯示Registry值最後寫入時間
  • 提供可自訂Filter、File Extension Map、Labels及Custom Identifier之客制化選項功能。
  • 支援Apple OS分析,如:
    1. 支援PLIST
    2. 支援SQLite資料庫


    more...

    © 2015 鑒真數位 All Rights Reserved