PassMark OSForensics

OSForensics允许您使用散列匹配、驱动签名比较、电子邮件、内存和二进制数据来识别可疑文件和活动。
它允许您通过高级文件搜索和索引快速从计算机提取取证证据，并使这些数据得到有效管理。

产品特征
发现取证更快
•更快地查找文件，按文件名、大小和时间搜索
•使用缩放搜索引擎在文件内容中进行搜索
•通过Outlook、ThunderBird、Mozilla等电子邮件存档搜索
•恢复和搜索已删除的文件
•揭露网站访问、下载和登录的最近活动
•收集详细的系统信息
•从Web浏览器恢复密码、解密办公文档
•发现和揭示硬盘中的隐藏区域
•浏览磁盘副本以查看文件的过去版本
识别可疑文件和活动
•使用MD5、SHA-1和SHA-256散列验证和匹配文件
•查找其内容与其扩展名不匹配的错误文件
•创建和比较驱动器签名以识别差异
•时间轴查看器提供了系统活动随时间的可视化表示
•文件查看器，可以显示流、十六进制、文本、图像和元数据
•电子邮件查看器，可以直接从存档显示邮件
•注册表查看器，允许轻松访问Windows注册表配置单元文件
•文件系统浏览器，用于在物理驱动器、磁盘和图片上进行支持的文件系统的类似浏览器导航

•原始磁盘查看器，用于导航和搜索物理驱动器，磁盘和图像上的原始磁盘字节
•Web浏览器，用于浏览和捕获在线内容以进行离线证据管理
•ThumbCache查看器，用于浏览Windows缩略图缓存数据库以查找可能曾在系统中存在的图像和文件的证据
•SQLite数据库浏览器查看和分析SQLite数据库文件的内容
•ESEDB查看器查看和分析ESE DB（.edb）数据库文件的内容，这是各种Microsoft应用程序使用的通用存储格式
•预取查看器，用于标识在系统上运行的应用程序的时间和频率，并由O / S的预取器重新排列

管理数字调查
•案例管理使您能够聚合和组织结果和案例项目
•HTML案例报表提供与案例关联的所有结果和项目的摘要
•集中管理存储设备，方便访问所有OSForensics的功能
•驱动映像以创建、恢复存储设备的精确副本
•从单个磁盘映像重建RAID阵列
•在USB闪存驱动器上安装OSForensics，以提高可移植性
•保持在调查过程中进行的确切活动的安全日志
Professional 和 Bootable Editions

OSForensics的专业和可引导版本有许多功能，包括;
•导入和导出散列集
•可定制的系统信息收集
•对通过OSForensics管理的案例数量没有限制
•在一个操作中恢复多个已删除的文件
•列出和搜索备用文件数据流
•按颜色对图像文件进行排序
•磁盘索引和搜索不限于固定数量的文件
•网络截图没有水印
•文件解密的多核加速
•可自定义的系统信息收集
•查看NTFS目录条目以标识潜在的隐藏或删除的文件
可启动版包含所有专业功能，以及在没有有效操作系统的系统上运行的能力。