Desktop Triage 為現場蒐證暨痕跡分析工具,在對目標證物影響最小化的前提之下,快速並全面地採集重要數位證據至外接裝置,同時產出檔案雜湊值,使資料具有證據力。另外針對硬碟部分,搜尋已刪除及重要之檔案,加以複製輸出。並特別針對非消逝性及易消逝性證據進行採集,以時間軸了解可能的犯罪行為,再加上畫面截圖、OCR 技術及步驟收錄程序,於最後產生出具有效力的紀錄報告以防止事後的爭議。
功能說明
- 支援中文化操作介面。
- 支援消逝性數位證據,即關機後消失不見之數位證據資料,進行蒐證採集,包含:
- 執行程序(Process)
- 網路資源(Network Resources)
- 程序連線資訊(Network)
- 程式開啟之檔案(Opened Files)
- ARP 快取(ARP Cache)
- 須支援非消逝性數位證據採集,包含:
- 一般系統服務(Service)
- 細部系統服務(Service Detail)
- 開機啟動程式(Start Run)
- 無線網路資訊(Wireless)
- 已安裝軟體(Installed Software)
- 系統資訊(System Info)
- USB 裝置資訊(USB Devices)
- 相關捷徑(Shortcuts)
- 主機用戶資料(User Profiles)
- MUI 快取
- Prefetch
- 安全性日誌檔
- 應用程式日誌檔
- 系統日誌檔
- 排程工作(Task Schedule)
- 機碼使用痕跡(User Assist)
- 開啟的資料夾路徑(ShellBags)
- 最近開啟檔案(Recent File)
- JumpList
- Windows activity
- Network Usage
- 關於瀏覽器的支援:
- Firefox: 登入帳密、瀏覽紀錄、書籤、快取及Cookie
- Chrome:登入帳密、關鍵字搜尋紀錄、下載及瀏覽紀錄、書籤、快取及Cookie
- Edge:登入帳密、瀏覽紀錄、書籤、快取及Cookie
- IE:快取及瀏覽紀錄
- 蒐集回來之主機資訊支援整體時間軸分析功能,可以顯示圖形化的時間軸,並支援在時間軸上直接拖拉進行篩選時間範圍。
- 具有製作關鍵邏輯映像檔之功能,可將硬碟關鍵路徑中的檔案打包帶走。
- 支援匯出蒐證結果的資料成為 CSV 格式。
- 具備 Physical disk 與 Logical disk 的硬碟資料解析功能。
- 分析完畢之檔案資訊,可進行關鍵字、檔案大小、時間等相關資訊之搜尋。
- 具備可取回被刪除檔案以及複製一般檔案之功能。
- 具備啟動 Windows 步驟收錄程式進行操作紀錄之功能。
- 支援單張截圖、網頁或其他截圖等功能,可供使用者拍攝電腦主機畫面且對於截圖內容的文字可進行 OCR 功能。
- 本蒐證軟體可直接執行使用無需安裝。