SafeAnalyzer介质取证分析系统产品介绍

概述：

SafeAnalyzer介质取证分析系统是基于Windows®平台的数据获取和分析程序，并且基于法律实施人员的需求和规范。在过去，管理对计算机系统的调查，记录调查，复制证据是冗长的过程。SafeAnalyzer盘石介质取证分析系统提供了简单的方法来管理大量计算机介质的调查并记录查找结果。因为SafeAnalyzer介质取证分析系统完全是非破坏性的，原始的计算机证据不会被改变。为执法部门提供全面、彻底的计算机数据分析，提高检查能力，专门针对计算机存储介质（例如硬盘、分区、U盘、光驱等）及DD格式、Encase格式镜像文件进行取证和分析的软件。操作过程中不破坏原始数据，具有强大的数据恢复、过滤、分析、查找和报告功能，并提供简单易用的操作界面，是当前电子数据取证分析的首选工具。[

功能介绍：

Ø  『介质分析』支持计算机存储介质直接分析，支持DD、AFF、Encase、Iso格式镜像文件的分析，及支持单独目录和文件加载，对其进行只读访问，不破坏原始数据；

Ø  『存储介质』支持本地磁盘、光驱、软驱、外接设备；

Ø  『磁盘分区』支持MBR、GPT（Vista）分区方式，可以定义磁盘的结束扇区；

Ø  『文件系统』支持NTFS、FAT、exFAT、Ext2/Ext3/Ext4、HFS/HFS+；

Ø  『自动进行系统分析』包括系统安装时间，操作系统版本，用户信息，网络配置信息，安装的程序，最后运行时间等，并可以选择性地纳入案件报告；

Ø  『灵活的时区支持及管理』允许勘查人员为每一个证据文件、每一个卷或每一个案件指定时区设置，解决了所分析的介质使用的时区设置与调查人员所用时区设置不同的情况

Ø  『图库查看』支持图库预览功能；

Ø  『文件查看方式』提供文本、十六进制、预览；

Ø  『自动编码识别』支持文档文件的编码自动识别

Ø  『文本查看』包含文本查找、自动换行等功能

Ø  『十六进制解析』类似WinHex

Ø  『文件过滤』系统缺省和自定义的过滤、多重过滤功能；

Ø  『删除恢复』文件系统中删除恢复、特征恢复；可恢复高级格式化过的磁盘内的文件，可判断出交叉覆盖文件；

Ø  『搜索』具有高性能的关键字搜索功能、支持多关键字同时搜索而不明显降低效率，支持搜索前过滤，提高搜索效率；

Ø  『关键词查找』各种编码格式的关键词查找，支持正则表达式以及忽略大小写；

Ø  『关键字编码』支持GB2312、UTF7、UTF8、Unicode、Unicode big-endian、Big5编码

Ø  『基本信息』方便取证人员对操作系统环境有个整体上的认识，能够提取的信息包括（操作系统信息、时区信息、网络配置、安装软件、服务列表、共享信息、用户信息、USB设备使用记录、硬件信息等）；

Ø  『时间线分析』通过设置时间区域，建立该区段修改、访问、创建的文件时间线，方便定位案件相关文件；

Ø  『注册表分析』察看Windows的注册表文件，可根据系统缺省和自定义的注册表项目，快速定位浏览；

Ø  『Web分析』查看目标机器的浏览器历史、缓存记录、Cookie信息和收藏夹等，支持被清除历史、缓存记录的预览和获取功能，支持IE，Firefox，Opera，Chrome，360浏览器；及对浏览器自动完成表单解析

Ø  『邮件分析』查看对象计算机客户端邮件，包括收件箱、发件箱、已发送邮件、草稿箱、废件箱等，支持的邮件客户端有foxmail、outlook、outlook express等

Ø  『即时通讯分析』提供快速提取QQ、MSN、Skype、淘宝旺旺、雅虎通、飞信、ICQ、AIM、Pidgin、Mirand、ooVoo、UC2010、MySpace、YY聊天记录、好友列表以及语音记录，并包括删除QQ好友号、QQ聊天记录，QQ2009的好友及群成员列表

Ø  『回收站分析』列出删除时间、及删除前的源路径

Ø  『事件日志分析』快速提取分析对象计算机事件日志

Ø  『下载软件』针对FTP下载工具和P2P下载工具进行分析，主要是获取下载的任务队列以及站点用户的信息。支持FlashFXP，CuteFTP，LeapFTP；电驴，比特彗星，超级旋风，快车，Vagaa等

Ø  『打印缓存』搜寻系统中存在的具体SPL和SHD文件，取出相关信息和EMF文件，还可搜寻未分配簇取出未被覆盖的EMF文件；

Ø  『复合文件』可以查看内含有其它文件的多层组成的文件。能够在层级查看那些文件。

Ø  『快速分析』批量执行多种任务，实现一键式调查，大大简化取证工作。

Ø  『生成镜像』可以将对象介质制作成DD镜像，并计算HASH值；

Ø  『校验文件特征』用以校验出目标文件属性是否更改；

Ø  『报告生成』根据用户添加的书签和备注信息，生成案件报告；

Ø  『操作日志』对案件的操作都记录日志；

Ø  『司法符合性』获取镜像生成MD5值，并可随时校验，导出文件可以同时计算文件的MD5值，分析过程有详细的审计日志，便于案件的审查复核工作

Ø  『界面』全中文界面，系统简单易用。