RECON LAB 是一款应用非常全面的取证分析工具，可用来分析多种文件系统，如Windows, macOS, Linux, iOS, Android 等等。RECON LAB 的出现解决了很多同类产品无法解决的问题，可以快速处理和分析数据，确保调查取证工作高质高效。

RECON LAB 是当前市面上唯一基于 MacOS 原生环境研发的电子取证软件，相比其他取证分析软件(大多使用逆向工程或第三方应用来实现对 MacOS 的支持)，RECON LAB 具有一系列先天优势，例如可在新的 MacOS 发布后的较短时间内即可支持分析操作系统及相关痕迹。

苹果扩展属性是 MacOS 特有的一种元数据，只能由 MacOS 创建，并且要用 MacOS 内置的应用程序 —— “聚焦(Spotlight)” 才可以搜索到。如果您使用 RECON IMAGER 创建镜像后再用 RECON LAB 解析，我们可以确保解析出最多的苹果扩展元数据。

RECON LAB 支持在原生 MacOS 环境下查看文件及痕迹。有很多的文件类型以及痕迹是专属于 MacOS 的，在其它操作系统中可能会无法识别或显示错误。在其它取证工具中，很多 Mac 专属的文件需要导出后才可查看。而 RECON LAB 则内 置了 MacOS 中的“快速查看 (Quick Look)”功能，支持几百种常见文件类型，即使没有安装原始应用程序也可以在 RECON LAB 内直接查看文件内容。

苹果文件系统 (APFS) 是苹果专属的文件系统，用于 MacOS, iOS, watchOS 和 tvOS，用于 MacOS High Sierra (10.13) 及其后版本，部分功能也支持 macOS Sierra (10.12)。APFS 不支持 Windows 操作系统，所以任何声称支持 APFS 的 Windows 操作系统或Windows 取证工具本质上都不能为 APFS 提供原生的技术环境(多数是通过逆向工程来实现的)。

对于最新的 MacOS 操作系统，目前 RECON IMAGER 和 RECON LAB 已经可以支持镜像 及分析 MacOS Catalina (10.15) 及其用户数据分区。

时间机器是 MacOS 的一个应用程序，用来创建备份。使用时，用户需要先启用时间机器，然后连接一个本地磁盘或远程磁盘 —— 时间机器磁盘，用来保存备份文件。当时间机器磁盘不可用(未连接或储存空间不足等)时，备份文件会保存在本地。备份被称为“本地时间机器快照”，也叫作“APFS 快照”。

RECON IMAGER 和 RECON LAB 是目前唯一支持查看、镜像、哈希校验及分析时间机器快照的 Mac 取证工具(包括使用 T2 安全芯片的 Mac)。

高级数据关联，一个人每天可能会使用几部不同的电子设备，每一部都保存有数据。例如，在家的时候使用笔记本电脑或者平板电脑，在上班路上会用手机，到了办公室开始使用台式机， 每一部设备上都可能保存着一些浏览记录或聊天记录。如果再复杂一点，假如这个人 一天内去了很多地方，还会产生不同地点的地理痕迹。

为了帮助调查人员清晰地描绘出犯罪现场的场景，便于清晰地了解调查对象一天中都做了些什么，RECON LAB 开发了高级数据关联功能——把采集自不同设备或应用程序 的数据合并到同一个视窗内。

高级数据关联连同对超过 270 种时间戳的支持，RECON LAB 可为调查人员提供全新的调查思路。