軟件介紹
Belkasoft Evidence Center是一種數字取證套件,該產品使調查人員可以輕松執行現代數字調查的所有步驟,可從各種設備和云中獲取數據、工件提取和恢復、分析提取的數據、報告、共享證據等操作,具有移動取證、計算機取證、內存(RAM)取證、云取證、遠程取證等諸多取證類型,可使研究人員輕松獲取,搜索,分析,存儲和共享在計算機和移動設備,RAM和云中發現的數字證據。?
軟件特色
1、移動和計算機采集。
該產品使您可以從計算機,筆記本電腦或移動設備獲取數據。硬盤和可移動驅動器通過可選的哈希計算和驗證被獲取為DD和E01格式。對于運行iOS的移動設備,在某些情況下或設備越獄時,BEC會獲取iTunes備份和完整的文件系統副本;對于Android設備,有多種格式:標準的ADB或基于代理的備份,EDL以及用于根設備的物理備份。
2、移動和計算機設備考試。
Belkasoft證據中心支持所有主要的臺式機和移動操作系統,適用于移動和計算機取證。它可以解析實際和邏輯驅動器和驅動器映像,虛擬機,移動設備備份,UFED和OFB映像,JTAG和碎片轉儲。
3、全面的智能分析。
該產品可以完全自動在設備上無處不在,并且可以成功識別1000多種數字工件。便捷的證據搜索功能有助于使用過濾器,預定義的搜索或其他選項來縮小發現范圍。
4、強大的雕刻。
數據雕刻使您能夠找到已被刪除,破壞或從未存儲在硬盤驅動器上的證據(頁面文件,休眠文件,RAM內容)。還支持自定義雕刻,包括對Scalpel和FTK集的支持。此外,還可以使用稱為BelkaCarving?的高級雕刻模式,從而可以將零碎的塊重構為連續的信息,否則這些信息將根本無法訪問。
5、本機SQLite解析。
恢復損壞和不完整的SQLite數據庫,恢復刪除的記錄和清除的歷史記錄文件。處理空閑列表,預寫日志和日記文件以及SQLite未分配空間。
6、實時RAM分析。
證據中心可以從易失性內存中提取潛在的重要信息,例如:私密瀏覽和清除的瀏覽器歷史記錄,在線聊天和社交網絡,云服務使用歷史記錄等等。Belkasoft Live RAM Capturer是用于創建內存轉儲的強大工具,它是免費的。
7、遠程采集。
遠程采集模塊允許您從遠程位置執行各種數據源的采集。可用的數據源類型包括硬盤驅動器或可移動驅動器,RAM內存和移動設備。
借助安裝在遠程設備(例如計算機或便攜式計算機)上的代理程序來執行獲取。
8、事故調查。
事件調查模塊旨在幫助用戶調查基于Windows的計算機的黑客攻擊嘗試。通過分析注冊表,事件日志和內存轉儲等眾多來源,它可以找到痕跡,這些痕跡是黑客用來滲透公司基礎結構的各種技巧所特有的。
9、跨案例搜索。
跨案例搜索模塊允許您查找當前調查的案例與其他BEC案例之間的交集。將當前案例中找到的信息與所選舊案例中找到的信息進行比較,并將報告所有匹配項。
10、方便的內置工具。
PList,注冊表和SQLite查看器使您可以更徹底地處理特定類型的數據,并找到比自動搜索所能發現的更多證據。
低級調查。Belkasoft證據中心配備了文件系統資源管理器,十六進制查看器和類型轉換器,可讓您對設備上文件和文件夾的內容進行深入檢查。
可通過BelkaScript擴展。免費的腳本模塊允許用戶編寫自己的自定義腳本,以使某些例程自動化并進一步擴展產品的功能。
軟件功能
1、BEC支持移動和計算機取證以及遠程取證,RAM和云取證
2、BEC恢復所有可用數據。不管數據是仍然保留在文件中還是被刪除,隱藏在未分配或松弛的空間中,產品都可以通過在現有文件中進行搜索,使用文件進行雕刻或記錄簽名,分析“卷影復制”以及許多其他法醫重要區域來輕松地顯示數據(例如SQLite自由列表)。
3、BEC支持調查的所有階段。從獲取階段開始,該產品可幫助您復制硬盤驅動器,創建智能移動設備轉儲,捕獲RAM內存甚至下載Google Drive或iCloud,并以多種格式創建報告,該產品可簡化以下操作:您的調查。
4、BEC可以直接提取1000多種工件。自動提取應用程序數據(我們稱其為“低掛式數字水果分析”)足以解決絕大多數正在調查互聯網通信,文檔或照片的情況。該產品知道所有流行(甚至鮮為人知)的應用程序,例如WhatsApp,WeChat,Snapchat,Skype,主要瀏覽器和郵件應用程序(例如Outlook),辦公格式(例如MS Word或Open Office Spreadsheet),因此您不必知道數據格式,文件位置,雕刻文件或單個記錄的簽名,加密架構等。此外,產品將在所有可能的位置找到這些數據,即不僅在現有文件中,而且在Live RAM內存,頁面文件或休眠文件,虛擬機,VCS快照,未分配或松弛的空間等中。
5、BEC易于使用。使用“低落的水果分析”獲得第一個結果很容易,如1-2-3。您需要做的僅有的幾件事是:
o將設備或轉儲添加到您的案例中(或使用內置的獲取功能獲取)
o選擇要查找的工件類型
o欣賞檢查發現的結果!
軟件完成搜索后,所有數據將以不同的角度方便地呈現:按文件系統位置,按應用程序配置文件和按數據類型。時間軸將顯示按時間戳分類的設備內部的所有事件;書簽將有助于標記重要項目;基于索引的搜索將找到關鍵字,包括GREP搜索和預定義的搜索(例如信用卡,SSN號,MAC或IP地址等)。產品界面是如此簡單直觀,您可以在安裝后立即開始使用它,而無需數周的培訓就可以使其他產品有效運行。
6、BEC中提供了高級低級分析。盡管在大多數情況下,自動提取就足夠了,但是更復雜的調查可能需要對有問題的設備進行手動分析。
對于此類調查,BEC提供了功能強大的文件系統資源管理器,其中顯示了設備中的所有卷和分區,現有和已刪除的文件夾,VCS快照,現有和已刪除的文件。可以在Hex Viewer中查看每個分區或文件,該窗口可幫助您調查單個字節,進行自動類型轉換,創建書簽,運行自定義雕刻并應用各種編碼。
7、BEC更具成本效益。該產品以比競爭對手更低的價格提供了更多功能。它不僅可以在購買時節省您的錢,而且還可以幫助您節省成本低廉的續訂費用。此外,我們的免費證據閱讀器使您可以完全免費地與同事共享部分工作,從而為您節省了更多!最后,Belkasoft客戶在購買合作伙伴的數字取證產品時可以享受各種各樣的折扣。
百度_baidu.com
百家號_baijiahao.baidu.com
