澳大利亞Forensic Explorer司法分析軟件是澳大利亞GET DATA公司研發的一款專業的司法分析軟件,該軟件集成鏡像加載、數據恢復、數據檢索、數據分析、注冊表分析以及報告生成等多種功能,操作界面簡單易用,是取證分析工作人員的工具。
產品特點:
用戶自定義操作界面:全中文操作界面簡單易用,各窗口支持拖拽,用戶可自定義各窗口支持拖拽,用戶可自定義工作區域;
支持全面數據訪問:用戶可以查看和訪問物理磁盤以及鏡像文件中的所有數據,如系統文件、文件和磁盤閑散區域、打印文件記錄、啟動文件、分區表、文件分配表以及未使用簇等;
支持多種鏡像格式:如DD、RAW、EnCase? (.E01, .L01, Ex01)、FTK? (.E01, .AD1 formats)、Forensic File Format .AFF、SMART?、ISO (CD and DVD image files)、VMWare?、ProDiscover?、Microsoft VHD、Apple DMG以及X-Ways E01和CTR等;
支持多種文件系統:如Windows FAT12/16/32, exFAT,NTFS,Macintosh HFS, HFS+以及EXT 2/3/4;
多線程處理:程度利用計算機的處理能力進行關鍵詞搜索、數據挖掘、哈希校驗以及文件簽名分析等;
內置強大的腳本編程功能:用戶可以使用已內置的腳本庫(如膚色比對、注冊表中的用戶和系統信息和網絡記錄等)或自由編寫新的腳本程序;
支持多種數據查看模式,文件列表:按文件屬性、擴展名、簽名、哈希值、存儲路徑以及創建/訪問/修改時間等方式查看和排序。
磁盤格式:按磁盤結構查看和排序。??
縮略圖:按縮略圖的形式顯示圖片內容。
文件瀏覽器:支持300多種文件格式,可在瀏覽器內部進行縮放、旋轉、復制、搜索或是直接播放視頻和音頻文件。文本和十六進制顯示。以文本或十六進制的形式對文件內容進行查看,自動解碼;
文件區域:快速定位文件在磁盤中起始和結束的扇區;
支持快速標記和書簽功能;
支持自定義過濾器:快速定位所需文件;
支持RAID磁盤陣列:如RAID, JBOD, RAID 0和RAID 5等;
支持哈希校驗功能:可使用哈希庫過濾已知文件或單獨計算文件的哈希值;
關鍵詞搜索:支持正則表達式;
索引搜索:內置索引搜索引擎,快速定位所需的關鍵詞;
支持書簽和報告生成:用戶可以把所需的文件添加到書簽中,并導出報告;
數據恢復和數據挖掘:支持對300多種文件格式,同時支持用戶自定義腳本;
文件簽名分析:自動識別和匹配分析擴展名;
注冊表分析:使用內置的正則表達式腳本自動分析注冊表中的數據;
VSC影子拷貝分析:直接對VSC影子拷貝與原鏡像的智能比對和分析;
