OSForensics™ надає один із найшвидших і найпотужніших способів пошуку файлів на комп’ютері з Windows. Ви можете шукати на ім’я файлу, розмір, дату створення та зміни та іншим критеріям.

Результати сортуються і стають доступними в різних зручних уявленнях. Вони включає уявлення тимчасової шкали, яке дозволяє вам переглядати збіги на тимчасовій шкалі, роблячи шаблон активності користувача на машині.

OSForensics™ включає один із найшвидших і найпотужніших способів пошуку за вмістом усіх файлів на жорсткому диску за допомогою відомої пошукової системи Zoom.

Завдяки потужним можливостям попередньо індексованого пошуку, що пропонують повнотекстовий пошук у сотнях форматів файлів, OSForensics пропонує:

• Релевантність ранжованих результатів пошуку
• Сортування за датою та пошук за діапазоном дат
• Пошук із підстановними знаками
• OCR (оптичне розпізнавання символів)
• Точний збіг фраз
• Контекстні результати, схожі на Google
• Підсвічування
• Виключні пошуки (також відомі як негативні пошуки)
• Формати файлів

OSForensics може індексувати вміст різних форматів файлів. Сюди входять: DOC, DOCX, PDF, PPT, XLS, RTF, WPD, SWF, DJVU, JPG, GIF, PNG, TIFF, MP3, DWF, DOCX, PPTX, XLSX, MHT, ZIP, PST, MBOX, MSG, DBX . , ZIP, ZIPX, RAR, ISO, TAR, 7z та інші. Також підтримуються рекурсивні контейнери. Таким чином, можна правильно індексувати файл DOCX, прикріплений до електронного листа, у файлі PST, який у свою чергу стиснутий у файлі ZIPX.

OSForensics також може виконувати аналіз файлів, щоб визначити їх тип, якщо у них відсутні розширення файлів.

OSForensics™ дозволяє відновлювати та шукати віддалені файли навіть після того, як вони були видалені з кошика. Це дозволяє переглядати файли, які можна спробувати знищити.

Кожен знайдений віддалений файл відображається з відповідним індикатором якості від 0 до 100. Значення, близьке до 100, означає, що віддалений файл практично не пошкоджений, за винятком кількох відсутніх кластерів даних.

OSForensics™ сканує вашу систему на предмет недавніх дій, таких як відвідувані веб-сайти, USB-накопичувачі, бездротові мережі, останні завантаження, входи до системи та паролі веб-сайтів. Це особливо корисно для виявлення тенденцій та моделей користувача, а також будь-яких матеріалів чи облікових записів, до яких нещодавно зверталися.

Активність веб-браузера

OSForensics допомагає вам виявляти дії користувачів у веб-браузері, такі як історія переглядів, файли cookie та збережені імена користувачів із веб-браузерів.

Реєстр діяльності

Списки останніх використаних (MRU)

OSForensics може отримувати дані про нещодавно використані програми, документи, мультимедіа та загальні мережеві ресурси, скануючи місця в реєстрі, в яких зберігаються списки користувачів, що нещодавно використовуються (MRU). Дані, які може відстежувати OSForensics, включають (але не обмежуються ними) файли, доступ до яких здійснюється в програмах Microsoft Office, Microsoft Wordpad, Microsoft Paint, Microsoft Media Player, Windows Search, підключених мережних дисках та команді Windows Run.

Підключені USB-пристрої

OSForensics може відображати відомості про USB-пристрої, які нещодавно були підключені до комп’ютера, надаючи інформацію про дату останнього підключення та інформацію про пристрій, таку як ім’я виробника, ідентифікатор продукту та серійний номер. Типи пристроїв, які можуть бути виявлені, включають флеш-накопичувачі USB (UFD), портативні жорсткі диски та зовнішні пристрої, підключені через USB, такі як DVD-ROM.

Бездротові мережні підключення

OSF може перерахувати точки доступу WIFI, до яких машина підключалася у минулому, включаючи дату та час доступу до них.

Журнал подій

OSForensics скануватиме журнали Windows на наявність системної активності, такої як такі події:

• Події журналу безпеки, такі як спроби входу в обліковий запис, виходи із системи та зміна пароля.
• Події системного журналу, такі як спроби оновлення Windows, завантаження/вимкнення системи та встановлення драйверів
• Події журналу програм, такі як спроби встановлення програм
• Події взаємодії з користувачем Microsoft Office (OAlerts)
• Списки переходів

OSForensics може сканувати списки переходів – функція, представлена ​​в Windows 7, яка дозволяє користувачам переглядати нещодавно відкриті файли програмами, закріпленими на панелі завдань.

Пошук Windows

OSForensics може сканувати індекс пошуку Windows щодо недавньої файлової активності. Windows Search – це індексатор робочого столу, який був інтегрований і включений за умовчанням в операційних системах Windows, починаючи з Vista. Під час звичайної роботи Windows Search працює у фоновому режимі, створюючи повнотекстовий індекс файлів на комп’ютері. Цей індекс дозволяє швидко шукати імена файлів та вміст файлів, які відповідають заданому пошуковому запиту.

З криміналістичної точки зору база даних індексів може містити цінні артефакти, які можуть бути корисними для відображення дій користувачів у будь-який період часу.

Оскільки пошук Windows увімкнено за промовчанням, база даних індексів діє як цифровий слід активності системи. Типовий користувач, швидше за все, не знає про операцію індексування, що відбувається у фоновому режимі.

Перегляд тимчасової шкали

Як і багато інших функцій OSForensics, ви можете використовувати подання тимчасової шкали для виявлення закономірностей в активності системи.
Докладніше про подання тимчасової шкали »

Артефакти OS X

OSForensics виявляє наступні артефакти OS X на дисках Mac:

• Історія Safari, закладки, завантаження та файли cookie
• Останні використані (MRU) елементи, розташування в мережі, документи, мультимедіа
• iOS-пристрої, підключені через USB
• Встановлені томи
• Wi-Fi
• Мобільні резервні копії для iOS

Імена користувачів та паролі веб-браузера
З OSForensics ви зможете відновити паролі таких браузерів як Chrome, Edge, IE, Firefox та Opera. Це можна зробити на працюючій машині або з образа жорсткого диску. Відновленні дані включають в себе URL-адресу веб-сайту (зазвичай HTTPS), им’я користувача для входу в систему, пароль сайту, браузер, який використовують для доступу до сайту, і им’я користувача Windows. Також повідомляється о URL-адресах з черного списку, показуючи, що користувач відвідав сайт, але вирішив не зберігати пароль в браузері.

OSForensics також відновлює наступне:

• Паролі Outlook та Windows Live Mail
• Збережені паролі Wi-Fi
• Пароль для автовходу Windows
• Ключі продуктів Windows 7, 8 і 10
• Ключі продуктів Microsoft Office і Visual Studio
• Порти (послідовні/паралельні)
• Мережеві адаптери
• Фізичні та оптичні приводи
• Виявлення бітлокера
• Браузер для відновлення паролів

Радужные столы и взлом хэша Веселкові столи та взлом хешу.

Веселкові таблиці – це великі таблиці простих текстових паролів та хешів. Вони дозволяють швидко знайти, пароль, якщо відомий хеш для цього паролю.

OSForensics може створювати та використовувати веселкові таблиці для хешів MD5, LM, NTLM і SHA1.

Розшифрування та відновлення пароля до офісних документів

OSForensics підтримує два метода отримання доступу до зашифрованих офісних документів.

Перший метод призначений для старих документів, використовуючих 40-бітне шифрування(старі файли XLS, DOC і PDF). Для цих документів можливо спробувати усі можливі ключі для розшифрування документа, при цьому на виході буде незашифрований файл.

[Скоро буде] Другий метод – атака грубою силою на документи з більш сучасним шифруванням. В цьому сценарії можна обирати словник для атак по словникам.

OSForensics ™ може виявляти та розкривати приховані області жорсткого диска HPA та DCO, які можуть використовуватися для зловмисних цілей, включаючи приховування незаконних даних. Захищена область хоста (HPA) та накладання конфігурації пристрою (DCO) – це функції для приховування секторів жорсткого диска від доступу до кінцевого користувача.

Виявлення та розкриття прихованих областей жорсткого диска!

Виявлення

OSForensics спочатку спробує виявити та відобразити розмір прихованих областей HPA/DCO. У разі успішного виявлення їх можна видалити або відобразити, оголивши приховані дані.

Вилучення

Після успішного виявлення прихованих областей HPA та/або DCO їх можна видалити, щоб дані, приховані у цих секторах, можна було отримати та проаналізувати за допомогою Raw Disk Viewer та інших модулів OSForensics.

візуалізація

Крім того, приховані області HPA/DCO можна зберегти, створивши образ прихованих секторів та зберігши його у файл. Потім файл може бути проаналізований іншими модулями OSForensics, такими як вбудований переглядач файлів.

OSForensics ™ включає вбудовану підтримку доступу до тіньових копій томів. Тіньові копії дають уявлення про том у певний момент часу у минулому. Це дозволить виявляти зміни у файлах та навіть переглядати можливі віддалені файли.

Виявлення та розкриття прихованих областей жорсткого диска.

Браузер файлової системи забезпечує перегляд усіх пристроїв, які були додані до корпусу у вигляді провідника. На відміну від провідника Windows, додаткова криміналістична інформація надається разом із інтеграцією з функціями OSForensics.