产品简介

       取证神探是国内自主研发的一款优秀计算机取证分析工具， 操作简单易用，支持自动取证。 支持对Windows、Linux及 MacOS系统进行综合取证分析，此外支持内存获取与取证分析。 其中Windows系统自动取证包含9大类共92项信息的自动化分析（包含系统信息、系统痕迹、文件信息、上网记录、即时通讯、邮件信息、下载记录、软件信息、软件痕迹）；MacOS系统自动取证包含9大类共61项信息的自动化分析(包含系统信息、系统痕迹、软件痕迹、文件痕迹、即时通讯、上网记录、邮件信息、网络信息、下载记录)、Linux取证包含6大类共15项信息的自动化分析；内存文件的自动取证包含4大类共14项信息的自动化分析，以及在线账号密码的提取和分析。

主要功能

• 支持的证据文件类型
   支持各种格式本地磁盘、镜像文件、单一文件、文件夹的直接加载和分析支持的镜像种类包含：原始镜像（.001、.dd、.img）、E01镜像、S01镜像、Vmware镜像、VirtualPC镜像、VirtualBox镜像、DMG、HDS等镜像文件。
  
  

• 数据恢复
  支持磁盘文件的删除恢复、签名恢复、格式化恢复、分区恢复，分析效率快、定位准确，目前支持FAT12、FAT16、FAT32、NTFS等格式的恢复。
  
  

• 浏览器取证
  支持IE浏览器、360安全、360极速、搜狗、火狐、Google、Safari、Opera、2345、QQBrowser、百度、世界之窗、猎豹、淘宝、UC、遨游等十多款多内外常用浏览器的解析、可提取包含上网记录、缓存、Cookies记录、收藏夹、下载记录、搜索记录、登陆的邮箱地址等众多关键信息。
  
  

• 电子邮件取证
  支持Foxmail、Outlook Express（DBX）、Office Outlook（PST、OST）、Lotus Notes（NSF）、Thunderbird(Msf)、EML、Msg、Emlx等客户端邮件的全面分析。
  
  

• 强大的16进制编辑功能
  可对整个磁盘扇区进行16进制查看和编辑， 可对文件的16进制进行查看、通过自带的扇区搜索功能可以随时对16进制文件进行搜索和查看分析、并且具有16进制书签添加、删除、跳转等功能。
  
  

• 支持国内主流即时通讯工具解析
  支持最新版（2016版）QQ聊天记录的在线提取，保存密码情况下可获取聊天记录及好友记录
  
  

• Mac OS系统取证分析
  支持MAC的通讯录、备忘录、日程信息、地图、Bash History、磁盘工具、磁盘工具保存、列表等关键信息的解析；支持百度云盘、Dropbox、iCloud、iTunes、Parallels等软件的痕迹获取；支持MAC网络接口、网络配置、蓝牙、无线Wifi等网络信息的提取；支持迅雷、Filezilla、Frostwire、uTorrent、BitTorrent等下载工具的下载记录解析。
  
  

• 丰富的文件分析功能
  支持对压缩文件的预览、和自动解析，包含rar、zip、7Z等格式。支持加密文件检测、签名文件校验、图片肤色比检测等等。
  
  

• 元数据分析支持
  支持office元数据分析，可提取Office文档的作者、真实创建时间、最后保存者、内部修改时间等关键信息。支持照片的Exif信息分析,可获取相机型号、拍摄时间、GPS信息等真实数据，并且可以直接在线获取照片GPS信息的具体地理位置。
  
  

• NTFS日志分析支持
  支持NTFS磁盘变更日志分析、可对文件的变更过程和变更时间有一个详细的了解、包括文件改名（旧名、新名）、文件创建、数据扩充、文件删除等等。
  
  

• 手机备份数据识别
  支持苹果和Android手机助手备份文件的识别,包含iTunes、91手机助手、360手机助手、百度手机助手、豌豆荚、应用宝等等。
  
  

• 自动文件分类支持
  内置常用文件分类，包含所有文件分类、未读文件分类、删除文件分类、标签文件分类、加密文件分类、其他分类（按签名、文件大小、哈希类型），并且系统内置2000种以上的文件类型分类、可手动进行分类管理。
  
  

• 支持动态过滤功能
   软件内置业内最强大的过滤器、可随时随处进行文件、提取结果、检索结果的快速过滤。具有强大灵活的搜索功能，支持通配符、正则表达式、可对搜索结果进行动态合并过滤；并且支持对取证结果的搜索。
  
  

• 图库功能
  支持对所有图片以缩略图形式进行查看、图库中显示的图片清晰度更高、并且刷新快、不闪屏、可按不同尺寸显示，导出、标记书签等。
  
  

• 日历时间线显示功能
  支持按照日历格式显示文件的“创建时间”、“修改时间”、“访问时间”；并且支持按天过滤、按年份、月份进行图表统计等功能。
  
  

• 邮件分析模块
  邮件分析功能具有邮件附件视图过滤功能、邮件书签标记、快速搜索、高级搜索、关联分析功能、附件图库查看功能、邮件发送时间线表示、邮件统计（收发信息统计、IP地址统计、相同地址不同昵称统计、同一昵称不同地址统计）IP地理位置标记等功能。
  
  

• 上网分析模块
  上网分析功能主要对一键提取的上网记录、缓存记录、Cookies记录、下载记录等进行网址分类、和时间分类；通过此功能可以对嫌疑人的上网行为进行进行快速了解、可通过上网网址管理模块对网站进行分类和管理，系统内置了近30种不同类型的网站中的上千种网址的记录，并且可以生成智能分析报告。
  
  

• 行为分析模块
  行为分析主要是对上网记录、下载记录、聊天记录、邮件记录以及文件访问按照时间的形式进行分类统计、用以标记嫌疑人一天当中的上网动态、可以按照天、月、年进行统计；也可以按照时间段进行统计，以柱状图、折线图、表格的形式显示出来。
  
  

• 内存分析模块
  内存分析功能可对磁盘中的虚拟内存、休眠文件、以及提取的内存镜像进行一键式分析；可提取内存中的账号密码、邮件地址、身份证号码、上网网址、聊天记录、邮件记录等多达十五种信息。
  
  

• 关联分析功能
  关联分析功能可以对聊天记录、邮件记录中的人物关系进行图形化展示、并具有屏幕自动调整、屏幕扩展、人物标记、指定关联次数、隐藏、跳转等多种功能，操作灵活方便，可快速确定人物关系。
  
  

• 快速汇总功能
  可对磁盘文件信息和提取的敏感信息进行快速汇总和统计，便于取证这快速查看掌握案件情况。