OSForensics允許您使用散列匹配、驅(qū)動(dòng)簽名比較、電子郵件、內(nèi)存和二進(jìn)制數(shù)據(jù)來識別可疑文件和活動(dòng)。
它允許您通過高級文件搜索和索引快速從計(jì)算機(jī)提取取證證據(jù)，并使這些數(shù)據(jù)得到有效管理。

產(chǎn)品特征
發(fā)現(xiàn)取證更快
•更快地查找文件，按文件名、大小和時(shí)間搜索
•使用縮放搜索引擎在文件內(nèi)容中進(jìn)行搜索
•通過Outlook、ThunderBird、Mozilla等電子郵件存檔搜索
•恢復(fù)和搜索已刪除的文件
•揭露網(wǎng)站訪問、下載和登錄的最近活動(dòng)
•收集詳細(xì)的系統(tǒng)信息
•從Web瀏覽器恢復(fù)密碼、解密辦公文檔
•發(fā)現(xiàn)和揭示硬盤中的隱藏區(qū)域
•瀏覽磁盤副本以查看文件的過去版本
識別可疑文件和活動(dòng)
•使用MD5、SHA-1和SHA-256散列驗(yàn)證和匹配文件
•查找其內(nèi)容與其擴(kuò)展名不匹配的錯(cuò)誤文件
•創(chuàng)建和比較驅(qū)動(dòng)器簽名以識別差異
•時(shí)間軸查看器提供了系統(tǒng)活動(dòng)隨時(shí)間的可視化表示
•文件查看器，可以顯示流、十六進(jìn)制、文本、圖像和元數(shù)據(jù)
•電子郵件查看器，可以直接從存檔顯示郵件
•注冊表查看器，允許輕松訪問Windows注冊表配置單元文件
•文件系統(tǒng)瀏覽器，用于在物理驅(qū)動(dòng)器、磁盤和圖片上進(jìn)行支持的文件系統(tǒng)的類似瀏覽器導(dǎo)航

•原始磁盤查看器，用于導(dǎo)航和搜索物理驅(qū)動(dòng)器，磁盤和圖像上的原始磁盤字節(jié)
•Web瀏覽器，用于瀏覽和捕獲在線內(nèi)容以進(jìn)行離線證據(jù)管理
•ThumbCache查看器，用于瀏覽Windows縮略圖緩存數(shù)據(jù)庫以查找可能曾在系統(tǒng)中存在的圖像和文件的證據(jù)
•SQLite數(shù)據(jù)庫瀏覽器查看和分析SQLite數(shù)據(jù)庫文件的內(nèi)容
•ESEDB查看器查看和分析ESE DB（.edb）數(shù)據(jù)庫文件的內(nèi)容，這是各種Microsoft應(yīng)用程序使用的通用存儲(chǔ)格式
•預(yù)取查看器，用于標(biāo)識在系統(tǒng)上運(yùn)行的應(yīng)用程序的時(shí)間和頻率，并由O / S的預(yù)取器重新排列

管理數(shù)字調(diào)查
•案例管理使您能夠聚合和組織結(jié)果和案例項(xiàng)目
•HTML案例報(bào)表提供與案例關(guān)聯(lián)的所有結(jié)果和項(xiàng)目的摘要
•集中管理存儲(chǔ)設(shè)備，方便訪問所有OSForensics的功能
•驅(qū)動(dòng)映像以創(chuàng)建、恢復(fù)存儲(chǔ)設(shè)備的精確副本
•從單個(gè)磁盤映像重建RAID陣列
•在USB閃存驅(qū)動(dòng)器上安裝OSForensics，以提高可移植性
•保持在調(diào)查過程中進(jìn)行的確切活動(dòng)的安全日志
Professional 和 Bootable Editions

OSForensics的專業(yè)和可引導(dǎo)版本有許多功能，包括;
•導(dǎo)入和導(dǎo)出散列集
•可定制的系統(tǒng)信息收集
•對通過OSForensics管理的案例數(shù)量沒有限制
•在一個(gè)操作中恢復(fù)多個(gè)已刪除的文件
•列出和搜索備用文件數(shù)據(jù)流
•按顏色對圖像文件進(jìn)行排序
•磁盤索引和搜索不限于固定數(shù)量的文件
•網(wǎng)絡(luò)截圖沒有水印
•文件解密的多核加速
•可自定義的系統(tǒng)信息收集
•查看NTFS目錄條目以標(biāo)識潛在的隱藏或刪除的文件
可啟動(dòng)版包含所有專業(yè)功能，以及在沒有有效操作系統(tǒng)的系統(tǒng)上運(yùn)行的能力。