一、产品概况:
FEX(Forensic Explorer)是澳大利亚GET DATA公司开发的一款专业司法分析软件,该软件集镜像加载、数据恢复、数据检索、数据分析、注册表和电子邮件分析、实时启动虚拟化等多功能于一体,与先进的排序、过滤器、关键字搜索、数据恢复和脚本技术相结合,快速处理大量数据,自动化复杂的调查任务,生成详细的报告。其操作界面简单易用,对专业或非专业取证调查人员均适用,是取证工作的必备工具,也是保存、分析和展示电子证据的专业工具,被广泛应用于执法部门、政府部门、军方和企业调查机。
二、功能特点:
案例管理:创建,保存和加载案件文件。
数据访问:以文件,文本或十六进制级别访问物理或镜像介质的所有区域。查看和分析系统文件、文件和磁盘损耗、交换文件、打印文件、引导记录、分区、文件分配表、未分配集群等等。
证据处理:自动化初始证据处理,保存和加载证据处理配置文件。
书签:对潜在证据进行添加书签,标记或分类操作。
数据雕刻:内置的数据雕刻工具可雕刻300多种已知文件类型。
强大的数据视图功能:
1) 文件列表:按属性对文件进行排序和多重排序,包括扩展名、签名、哈希、路径以及创建、访问和修改的日期。
2) 磁盘:通过图形视图浏览磁盘及其结构。放大和缩小以图形方式映射磁盘使用情况。
3) 图库:缩略图照片和图像文件。
4) 显示:显示300多种文件类型,可缩放、旋转、复制、搜索。
5) 文件系统记录:轻松访问和解释FAT和NTFS记录。
6) 文本和十六进制:以文本或十六进制访问和分析数据。使用数据检查器自动解码值。
7) 文件范围:通过运行开始和结束扇区快速找到磁盘上文件的位置。
8) 字节图和字符分布:使用字节图和ASCII字符分布检查单个文件。
视频分析:视频缩略图多点播放,视频关键帧提取到.bmp。
邮件:电子邮件支持PST,OST,EDB,MBOX格式。电子邮件的完整关键字和索引搜索功能。
导出:将文件导出到磁盘,或直接导出到.L01法证文件。
镜像挂载工具:FEX包含Mount Image Pro挂载工具,将取证图像文件挂载为Windows磁盘盘符。
界面:可在多台显示器上分离拖放视图以获取自定义的工作空间。保存并加载个人工作空间配置以适应调查需求。
哈希:将哈希设置应用于案例以识别或排除已知文件。哈希单个文件进行分析。
1) 加密:MD5,SHA1,SHA256,CRC
2) 相似度:模糊,差分
3) PhotoDNA,ProjectVic
索引:内置的DTSearch索引功能。
关键词搜索:使用文本、正则表达式或十六进制表达式对整个媒体进行集群、扇区或字节级关键字搜索。
语言:Forensic Explorer兼容Unicode,多语言界面可选,包括中文、英文、德语、西班牙语、法语、土耳其语等。
元数据:提取并报告文件元数据,包括EXIF,GPS,MS Office等。
RAID:使用物理或取证映像的RAID介质,包括软件和硬件RAID,JBOD,RAID 0,RAID 5,RAID 6。
恢复功能:恢复已删除的文件夹和分区。
注册表:打开并检查Windows注册表配置单元。筛选,分类和关键字搜索注册表项。自动化注册表分析。
报告:具有预定义报告模板的定制报告构建器。
脚本编写:内置强大的Delphi脚本语言。用于元数据、注册表、肤色、时间线的内置脚本。
网络Servelet:使用可部署的网络servelet连接并检查远程驱动器。
卷影副本(VSS):轻松添加和分析卷影副本文件。
Artifacts模块:支持浏览器,聊天,移动,操作系统,社交媒体Artifacts。例如Facebook,Line,MessageMe,KikChat,Skype,Touch,Viber,微信,WhatsApp,日历,通话,联系人,电子邮件,GPS缓存,短信,Wifi网络,Chrome,IE,Firefox,Safari等。
签名:在案件中,Forensic Explorer可以自动验证每个文件的签名,并识别那些不匹配的文件扩展名。
分流:自动分类并报告常见的取证条件。
虚拟实时启动:使用VirtualBox或VMWare虚拟化Windows和MAC取证映像和物理磁盘。
全线程化的应用程序:线程化方式运行多个函数和脚本。
多线程处理:最大程度利用计算机的处理能力进行关键词搜索、数据挖掘、哈希校验以及文件签名分析等。
防病毒:内置Cisco Clam防病毒软件。
三、支持分析的文件格式:
支持对以下镜像文件格式进行分析:
AFF v4
Apple DMG
DD (RAW, BIN, IMG)
EnCase® (E01, L01, Ex01)
FTK® (E01, AD1 formats)
ISO (CD and DVD image files)
Macquisition
NUIX File Safe (MFS01)
Oxygen Backups (OCB)
ProDiscover®
SMART®
Virtual Disk Image (VDI)
Virtual Hard Disk (VHD, VHDX)
VMWare® (VMDK)
XWays (E01, CTR)
ZIP
支持对以下文件系统进行分析:
Windows FAT12/16/32, exFAT, NTFS,
Macintosh HFS, HFS+, APFS
EXT 2/3/4
硬件和软件RAID: JBOD, RAID 0, RAID 5, RAID 6
支持解锁以下格式(需要密码或恢复密钥):
Bitlocker
FileVault 2
四、安装软件的配置建议:
处理器:Intel® Core i7 或 i9
内存:16 GB RAM
64 bit Windows 10
以本地管理员用户身份安装并运行。