新浪博客

FEX成像仪:一个取证成像程序

2022-06-17 11:10阅读:

http://blog.sina.cn/dpool/blog/u/5662844557

一个取证成像程序,它将获取或散列具有完整MD5、SHA1、SHA256散列身份验证的位级取证图像。获取物理驱动器、逻辑驱动器、文件夹和文件、远程设备(使用servlet),或重新获取取证图像。

FEX成像仪:一个取证成像程序
将取证图像文件编写为:
  • DD/RAW(Linux“磁盘转储”)
  • E01
  • L01
不支持、快速、良好或最佳压缩方法。
FEX成像仪:一个取证成像程序
主要特征
获得
  • 获取物理、逻辑、文件夹和文件。
  • 重新获取
现有的取证图像文件。
  • 支持使用 GetData Forensics servlet 从远程设备获取数据。
  • 使用 MD5、SHA1 或 SHA256 采集哈希获取 .E01 或 DD 格式。
  • 获取具有完整 MD5、SHA1 或 SHA256 文件哈希的 L01 格式的文件夹和文件。
  • 创建后自动验证采集哈希。
  • 对整个设备进行映像或设置开始和结束扇区位置。
  • 将图像文件拆分为自定义段,没有段大小限制。
  • 将设备扇区大小设置为 512、2048 或 4096 扇区大小的选项。
  • 强制 Windows 兼容文件名用于 Magnet Forensics 产品的选项。

压缩
支持E01和L01格式的EnCaseNone、Fast、Good、Best压缩设置。
案例数据
以EnCaseE01 和L01格式写入采集信息。
日志
记录详细的日志文件,包括设备详细信息以及来源和验证哈希信息。
系统要求
FEXImager 是一个64位应用程序。
推荐的最低系统要求是:
  • i7
  • 16 GB 内存
  • Windows 10

以本地管理员身份运行以确保有足够的访问权限可用于访问设备。
FEXImager 不支持获取HPA或DCO区域(HPA和DOC是硬盘驱动器的两个区域,操作系统或最终用户通常不可见。虽然HPA和DCO是隐藏的,但在技术上是可行的供用户访问这些区域并存储/隐藏数据)。
屏幕截图
选择源设备:
FEX成像仪:一个取证成像程序
选择目的地并输入案例详细信息: FEX成像仪:一个取证成像程序
获取并验证:
FEX成像仪:一个取证成像程序
公司名称:北京哲想软件有限公司
北京哲想软件官方网站:cogitosoft.com
北京哲想软件微信公众平台账号:cogitosoftware
北京哲想软件微博:哲想软件
北京哲想软件邮箱:sales@ cogitosoft.com
销售(俞先生)联系方式: 86(010)68421378
微信:18610247936 QQ:368531638

我的更多文章

下载客户端阅读体验更佳

APP专享