现场取证系统
具体介绍
现场取证系统是一款针对计算机的现场勘验与调查工具,集计算机的易失数据固定、文件提取、制作镜像、生成勘验报告功能于一体。该系统拥有离线和在线两种取证方式,支持Windows、MacOS和Linux三大主流系统。同时,该系统支持计算获取数据的校验值,辅助取证的截屏、录像取证功能,可完整的记录取证过程,确保获取数据的原始性和勘验过程的可追溯性。
系统特点
支持多平台
系统支持在Windows、macOS、Linux三大系统平台上运行和取证。
离线取证
通过离线启动对象计算机,进入取证系统的方式获取数据的称为离线取证。离线取证支持针对Windows、macOS和Linux三大系统计算机的电子数据固定,包括获取硬盘/卷镜像、获取文件、系统痕迹分析提取和硬盘克隆。
Windows在线取证
Windows在线取证场景不仅支持离线取证的所有功能,还支持内存数据取证和系统正在运行的易失数据(账户密码、用户记录和动态网络数据等)取证。
macOS在线取证
系统支持在macOS上直接运行取证程序获取Mac设备硬盘/卷中的数据。支持获取硬盘/卷镜像、内存镜像。
灵活的数据提取策略
系统基于案件类型的数据提取策略,根据案件确定默认的数据提取项,且支持现场修改提取项。数据提取策略支持编辑默认策略和新增策略。可以满足不同用户的需求。
适用场景多
系统具备完整的计算机现场勘验功能与镜像功能,合适调查人员现场勘验使用,也适用在针对高度集成的计算机数据固定场景中。
应用场景
现场勘验
案发现场计算机的数据勘验、固定及保全。
实验室不拆机取证
实验室中不拆机数据提取,特别是针对高度集成的一体化设备的数据获取,因为此类计算机的硬盘难以拆卸,通过现场取证系统可以不拆机直接获取取证对象数据。
系统特点
支持多平台
系统支持在Windows、macOS、Linux三大系统平台上运行和取证。
离线取证
通过离线启动对象计算机,进入取证系统的方式获取数据的称为离线取证。离线取证支持针对Windows、macOS和Linux三大系统计算机的电子数据固定,包括获取硬盘/卷镜像、获取文件、系统痕迹分析提取和硬盘克隆。
Windows在线取证
Windows在线取证场景不仅支持离线取证的所有功能,还支持内存数据取证和系统正在运行的易失数据(账户密码、用户记录和动态网络数据等)取证。
macOS在线取证
系统支持在macOS上直接运行取证程序获取Mac设备硬盘/卷中的数据。支持获取硬盘/卷镜像、内存镜像。
灵活的数据提取策略
系统基于案件类型的数据提取策略,根据案件确定默认的数据提取项,且支持现场修改提取项。数据提取策略支持编辑默认策略和新增策略。可以满足不同用户的需求。
适用场景多
系统具备完整的计算机现场勘验功能与镜像功能,合适调查人员现场勘验使用,也适用在针对高度集成的计算机数据固定场景中。
应用场景
现场勘验
案发现场计算机的数据勘验、固定及保全。
实验室不拆机取证
实验室中不拆机数据提取,特别是针对高度集成的一体化设备的数据获取,因为此类计算机的硬盘难以拆卸,通过现场取证系统可以不拆机直接获取取证对象数据。