SafeAnalyzer

SafeAnalyzer为执法部门提供全面、彻底的计算机数据分析、检查能力。具有强大的数据恢复、过滤、分析、查找和报告功能,并提供简单易用的操作界面,是当前电子数据取证分析的首选工具。符合司法取证的需求。该产品是ENCASE/FTK/Winhex等分析软件的全中文替代品。更加符合中国用户的使用习惯。在部分功能效率上超越了国外产品。

  • 获取镜像生成MD5哈希校验值,并可随时校验;
  • 导出文件可以同时计算文件的MD5哈希;
  • 分析过程有详细的审计日志,便于案件的审查复核工作

关键特性包括:

  • 支持计算机存储介质直接分析,及支持DD、AFF、Encase、Iso格式镜像文件的分析,及支持单独目录和文件加载,对其进行只读访问,不破坏原始数据;
  • 支持本地磁盘、光驱、软驱、外接设备;
  • 支持MBR、GPT(Vista)、APM(苹果)分区方式,可以定义磁盘的结束扇区
  • 支持NTFS、Fat、Ext2/Ext3、HFS/HFS+、CDFS、UDF文件系统;
  • 支持Win XP 以上32位、64位各种操作系统上运行;
  • 自动进行系统分析,包括系统安装时间,操作系统版本,用户信息,网络配置信息,安装的程序,最后运行时间等,并可以选择性地纳入案件报告;
  • 灵活的时区支持及管理,允许勘查人员为每一个证据文件、每一个卷或每一个案件指定时区设置,解决了所分析的介质使用的时区设置与调查人员所用时区设置不同的情况
  • 支持图库预览功能;
  • 提供文本、十六进制、缩略图、预览等文件查看方式;
  • 自动编码识别:支持文档文件的编码自动识别
  • 文本查看:包含文本查找、自动换行等功能
  • 十六进制解析:直接查看文件十六进制数据,并且实时将十六进制数据转换为数值、文本或者时间值等
  • 文件过滤:系统缺省和自定义的过滤功能,并支持多重过滤;
  • 时间线分析:通过设置时间区域,建立该区段修改、访问、创建的文件时间线,方便定位案件相关文件;
  • 删除恢复:文件系统中删除恢复、特征恢复;可恢复高级格式化磁盘内的文件,可判断出交叉覆盖文件;
  • 具有高性能的关键字搜索功能、支持多关键字同时搜索而不明显降低效率,支持搜索前过滤,提高搜索效率;
  • 关键词查找:各种编码格式的关键词查找,支持正则表达式可忽略大小写,关键字支持GB2312、UTF7、UTF8、Unicode、Unicode big-endian、Base64、Big5编码;
  • 基本信息:方便取证人员对操作系统环境有个整体上的认识,能够提取的的信息包括(操作系统信息、时区信息、网络配置、安装软件、服务列表、共享信息、用户信息、USB设备使用记录、硬件信息、Windows搜索历史、最近运行的程序、最近打开的文档、自动运行等);
  • 注册表分析:察看Windows的注册表文件,可根据系统缺省和自定义的注册表项目,快速定位浏览;
  • Web分析:查看目标机器的浏览器历史、缓存记录、Cookie信息和收藏夹等,支持被清除历史、缓存记录的预览和获取功能,支持IE、Firefox、Opera、Chrome浏览器;
  • 邮件分析:查看对象计算机客户端邮件,包括收件箱、发件箱、已发送邮件、草稿箱、废件箱等,支持的邮件客户端有foxmail、outlook、outlook express,还支持对web邮箱的分析获取,目前支持的web邮箱有:Tom、126、163、QQ、Yahoo、Sina等;
  • 即时通讯分析:提供快速提取QQ、MSN、Skype、淘宝旺旺、雅虎通、飞信、ICQ、AIM、Pidgin、Miranda、ooVoo、MySpace、UC2010、YY 聊天记录、好友列表以及语音记录,并包括删除QQ好友号,、聊天记录;及QQ2009-2011的聊天记录、好友及群成员列表;
  • 回收站分析:解析放入回收站的数据信息,及从回收站删除的数据信息;
  • 事件日志分析:快速提取分析对象计算机事件日志;
  • 打印缓存:搜寻系统中存在的具体SPL和SHD文件,取出相关信息和EMF文件,还可搜寻未分配簇取出未被覆盖的EMF文件;
  • 下载软件:针对FTP下载工具和P2P下载工具进行分析,主要是获取下载的任务队列以及站点用户的信息。支持FlashFXP,CuteFTP,LeapFTP;电驴,比特彗星,超级旋风,快车,Vagaa等;
  • 复合文件分析:可以查看内含有其它文件的多层组成的文件。能够在层级查看那些文件;
  • 自动展开ZIP文件内的目录,直接搜索ZIP文件及office2007的文件;
  • 快速分析:批量执行多种任务,实现一键式调查,大大简化取证工作;
  • 生成镜像:可以将对象介质制作成DD镜像,并计算哈希值;
  • 校验文件特征:用以校验出目标文件属性是否更改;
  • 报告生成:根据用户添加的书签和备注信息,生成案件报告;
  • 操作日志:对案件的操作都记录日志;
  • 司法符合性:获取镜像生成MD5、SHA256哈希校验值,并可随时校验,导出文件可以同时计算文件的MD5、SHA256哈希,分析过程有详细的审计日志,便于案件的审查复核工作
  • 全中文界面,系统简单易用。

主要特性详列:

时间线:

是反映计算机内部信息在某一段时间内的变化及统计,快捷地过滤当前想看的信息活动,包括:文件、邮件、注册表、即时通讯、上网日志、事件日志、下载软件。在时间线视图里每种信息以不同颜色标记。

事件日志:

日志文件中的记录可提供以下用途:监控系统资源、审计用户行为、对可疑行为进行告警、确定入侵行为的范围、为恢复系统提供帮助、生成调查报告、为打击计算机犯罪提供证据来源。盘石数码取证产品白皮书提供了快速分析事件日志,提高取证分析的效率

邮件分析:

类似客户端方式进行查看邮箱中的内容,包括收件箱、发件箱、已发送、垃圾邮件、以及联系人等;目前支持的客户端有foxmail、outlook、outlook Exproler

即时通讯:

对不同的信息存储格式进行解析,提供快速提取QQ、MSN、Skype、淘宝旺旺、雅虎通、飞信、ICQ聊天记录、好友列表以及语音记录,并包括删除QQ好友号的恢复。

下载软件:

针对FTP下载和P2P下载工具进行分析,主要是获取下载的任务队列以及站点用户的信息。支持FlashFXP,CuteFTP,LeapFTP;电驴,比特彗星,超级旋风,快车等。

上网日志:

分析Microsoft Internet Explorer浏览器 4.0 以上版本的上网行为。包括历史、缓存、cookie、收藏夹,并能从磁盘的未分配空间中找出被清除的历史和缓存记录。

注册表:

注册表面板的树有两个根节点“注册表”和“分析结果”.”注册表”节点下是这次分析的所有注册表文件,而“分析结果”是根据一个配置文件从“注册表”节点下提取出来的感兴趣的数据。

打印缓存:

搜寻系统中存在的具体SPL和SHD文件,取出相关信息和EMF文件,还可搜寻未分配簇取出未被覆盖的EMF文件。

基本信息:

能够提取的的信息包括(操作系统信息、时区信息、网络配置、安装软件、服务列表、共享信息、用户信息、USB设备使用记录、硬件信息、Windows搜索历史、最近运行的程序、最近打开的文档、自动运行等)

回收站分析:

盘石数码取证产品白皮书,对回收站INFO, INFO2文件直接分析,并解析回收站中曾经删除过的文件信息。

图库预览:

案件中的图片文件在图库中以图片的形式呈现,直观而富有效率。

数据挖掘:

挖掘存储介质中形成大量碎片的文件,快速捕捉、提取对案件有价值的证据文件。

定义关键词:

关键词是全局配置,对关键词作的改动会在盘石数码取证产品白皮书退出时自动保存。下次运行时自动加载到系统中来。进行搜索时将根据预先定义的关键词进行搜索

搜索:

搜索的结果存放在“命中结果”面板中。面板的树节点为本案件所有参与搜索的关键词。单击关键词会在列表中列出其在历次搜索中命中的条目。

最近更新

SafeAnalyzer 2.7.15发布
SafeAnalyzer 发布 2.2.32 版本
SafeAnalyzer 2.1.19 版本发布
SafeAnalyzer V1.8.49 2010/11 发布

Copyright © 2002-2012 - 盘石软件(上海)有限公司 版权所有    沪ICP备11022836

地址:上海市普陀区中江路879号天地软件园19号楼4楼   邮编:200333  电话:021-52658848   传真:021-52809766