LiveDetector

LiveDetector

  • 數位證據採集:
  • 本軟體內建作業系統可以在開啟後自動以唯讀的方式不破壞目標證物的前題下,針對Windows的平台進行數位證據的採集,支援NTFS及FAT檔案系統 (Unix採證則必需加購模組)
  • 可以使用字元串流(Bit-Stream Duplicate)的複製方式將數位證物的硬碟進行整顆硬碟或磁區的映像檔建立且自動建立MD5摘要檔,所建立的映像檔必需可供國際知名Encase軟體讀取分析
  • 可針對檔案進行邏輯檔案複製且自動建立MD5摘要檔
  • 可以完整採集硬碟的MBR區(512 Bytes)資料
  • 可以完整採證Web browser 行為後所可能存留的電子證據檔
  • Web Cookie
  • Browser History
  • Browser Cache
  • Registry 有關 Browser 的行為檔案
  • 可以完整採證Email相關電子證據檔,支援以下各種系統所使用的電子郵件格式
  • Outlook express (DBX格式)
  • Outlook (PST格式)
  • 可以完整採證及檢視Windows平台上的機碼(Registry)資訊
  • 可以根據時間採證系統內於時間範圍內有被取用(Access)、修改(Modification)、及建立(Creation)的檔案進行採集複製
  • 可以根據檔案的特徵值進行電子證據的採集,包含檔名被偽裝但屬於某類型檔案的可疑證據檔均可被採集及標示
  • 可以採集系統相關重要的資訊及紀錄檔
  • 系統時間
  • 系統版本及相關系統更新及修補資訊(Patch Level)
  • 若系統Auditing有開啟則可知道使用者帳號及其歷史登入紀錄
  • 系統的安全紀錄(Security log)及事件紀錄(Event Log)
  • IIS Web 伺服器的紀錄檔(IIS log)
  • 系統目前的安全等級政策(Auditing Policy)

  • 數位證據的保存:
  • 所採集的證據檔或映像檔無論是使用邏輯的複製或字元串流的複製均必需做MD5摘要檔
  • 可執行將所有每個電磁紀錄均抹為0的動作,以確認採證程序的嚴謹性
  • 可將現場所發現的可疑證據檔案及其MD5摘要檔,可以在最後確認後,使用外接式的USB DVD燒錄器將這些數位證據檔燒錄成為唯讀的DVD光碟資料,以確保證據的不可否認性及完整性
  • 使用字元串流 (Bit-Stream Duplicate)的複製硬碟或磁區映像檔由於檔案可能很大,因此必需支援檔案切割的方式保留,且可支援IDE/SCSI/USB/NAS/Fiber等各種貯存體保留

  • 數位證據搜尋:
  • 支援NTFS及FAT檔案系統搜尋
  • 可以依檔案內容字串、檔案修改時間、檔案名稱、檔案大小及檔案的特徵(File signature)進行搜尋
  • 輸入字串可以支援萬用字元及布林表示(And/OR/Not)的搜尋方式
  • 可以一次輸入多個搜尋字串,且可依每個字串以階層式的方式展開顯示搜尋的結果
  • 支援以下各語系編碼的字串搜尋
  • Uni-code (utf8)
  • Uni-code (utf16)
  • Big5 (繁體)
  • GB2312(簡體)
  • EUC_KR(韓文)
  • EUC_JP(日文)
  • ASCII
  • 支援大小寫忽略的比對方式
  • 可搜尋Office 相關文件的內容並支援最新的Office 2007文件內容,包含:doc ,ppt, xls等文件內容進行搜尋
  • 可搜尋PDF文件內容進行搜尋
  • 可搜尋HTML及text文件內容進行搜尋
  • 支援壓縮檔案格式的文件內容搜尋,支援的壓縮格式有(zip,rar,gz,bzip,tgz等格式)
  • 支援Open Office (sxw, sxc, sxi)檔內容進行搜尋
  • 支援Rich Text Format (rtf)檔內容進行搜尋
  • 可以針對Windows help files (chm)文件內容進行搜尋
  • 可以針對Monodoc的文件內容進行搜尋
  • 可以針對Source code (Boo, C, C++, C#, Fortran, Java, JavaScript, Lisp, Matlab, Pascal, Perl, PHP, Python, Ruby, Scilab and Shell scripts)內容進行搜尋

  • 數位證據在Unallocated區的搜尋:
  • 對於部份檔案可能藏於硬碟的未分配磁區或檔案系統尚未使用到的硬碟空間,則可使用(Bit-Stream Duplicate)的複製硬碟分式作成映像檔,如此可分析此映像檔中針對Disk Slack、File Slack及硬碟中未被檔案系統所分配的區域進行數位證據的搜尋
  • 可以針對硬碟中Binary的文件內容屬於ASCII部份進行搜尋
  • 支援以下各語系編碼的字串搜尋
  • Uni-code (utf8)
  • Uni-code (utf16)
  • Big5 (繁體)
  • GB2312(簡體)
  • ASCII
  • 支援大小寫忽略的比對方式

  • 數位證據的檢視:
  • 支援以下各種數位證據現場搜尋或採集後的檢視
  • Office 檔案的檢視(支援:doc ,ppt, xls,rtf,pdf等文件格式)
  • Html,htm,xml檢視
  • 可以真接檢視Outlook / OutlookExpress/Tunderbird的郵件內容
  • 各種純文字檔格式檢視
  • 支援壓縮檔的解壓縮
  • 圖檔的檢視(支援:jpg,bmp,gif,png,tif等文件格式)
  • 影音檔的檢視(支援: avi、mov、wmv、mpeg1、mpeg2、 mpeg3、mp3等格式)
  • 可以檢視及分析所採集的Web Cookie資料
  • 可以檢視Web browsing的History Index Binary 資料
  • 可以檢視文件的HexCode 16進位碼

  • 被刪除檔案的檢視及恢復:
  • 可針對NTFS及FAT的貯存設備進行刪除檔的檢視及恢復
  • 對於尚未被覆寫且檔案系統中可找到資料區的資料可進行恢復
  • 對於已被覆寫的檔案則可顯示狀態
  • 可針對整個已被格式化的硬碟進行資料恢復
more...

© 2015 鑒真數位 All Rights Reserved