特性

• 介质分析：支持计算机存储介质直接分析，及支持DD、AFF、Encase、Iso格式镜像文件的分析，对其进行只读访问，不破坏原始数据；
• 磁盘分区：支持MBR、GPT（Vista）分区方式；
• 对NTFS压缩文件的支持
• 自动进行系统分析，包括系统安装时间，操作系统版本，用户信息，网络配置信息，安装的程序，最后运行时间等，并可以选择性地纳入案件报告；
• 灵活的时区支持及管理: 允许勘查人员为每一个证据文件、每一个卷或每一个案件指定时区设置，解决了所分析的介质使用的时区设置与调查人员所用时区设置不同的情况；
• 图库查看: 支持图库预览功能；
• 文件查看方式: 提供文本、十六进制、Web预览；
• 自动编码识别: 支持文档文件的编码自动识别
• 十六进制解析: 类似WinHex
• 文件过滤：系统缺省和自定义的过滤功能；
• 校验文件特征: 用以校验出目标文件属性是否更改；
• 时间线分析：通过设置时间区域，建立该区段修改、访问、创建的文件时间线，方便定位案件相关文件；
• 删除恢复：文件系统中删除恢复、特征恢复、目录恢复；可恢复高级格式化过的磁盘内的文件， 可判断出交叉覆盖文件；
• 搜索：具有高性能的关键词搜索功能、支持多关键词同时搜索而不明显降低效率，支持搜索前过滤，提高搜索效率；
• 关键词查找：各种编码格式的关键词查找，支持正则表达式以及忽略大小写；
• 关键词编码：支持GB2312、UTF7、UTF8、Unicode、Unicode big-endian、Base64、Big5编码；
• 基本信息:方便取证人员对操作系统环境有个整体上的认识，能够提取的信息包括（操作系统信息、时区信息、网络配置、安装软件、服务列表、共享信息、用户信息、USB设备使用记录、硬件信息等）；
• 注册表分析：察看Windows的注册表文件，可根据系统缺省和自定义的注册表项目，快速定位浏览；
• 关键词查找：各种编码格式的关键词查找，支持正则表达式；
• 关键字编码: 支持GB2312、UTF7、UTF8、Unicode、Unicode big-endian、Base64、Big5编码；
• Web分析：查看目标机器的浏览器历史、缓存记录、Cookie信息和收藏夹等，支持缓存记录的预览和获取功能；
• 邮件分析：查看对象计算机客户端邮件，包括收件箱、发件箱、已发送邮件、草稿箱、废件箱、以及通讯录，支持的邮件客户端有foxmail、outlook、outlook express ；
• 即时通讯分析：提供快速提取QQ、MSN、Skype、淘宝旺旺、雅虎通、飞信聊天记录、好友列表以及语音记录；
• 回收站分析：列出删除时间、及删除前的源路径；
• 事件日志分析：快速提取分析对象计算机事件日志；
• 下载软件：针对FTP下载工具和P2P下载工具进行分析，主要获取下载的任务队列以及站点用户的信息。支持FlashFXP、CuteFTP、LeapFTP,电驴、比特彗星、超级旋风、快车等  ；
• 打印缓存：搜寻系统中存在的具体SPL和SHD文件，取出相关信息和EMF文件，还可搜寻未分配簇取出未被覆盖的EMF文件；复合文件：可以查看内含有其它文件的多层组成的文件。能够在层级查看那些文件；
• 快速分析：批量执行多种任务，实现一键式调查，大大简化取证工作
• 生成镜像：可以将对象介质制作成DD镜像，并计算哈希值
• 校验文件特征：用以校验出目标文件属性是否更改；
• 报告生成：根据用户添加的书签和备注信息，生成案件报告；
• 界面：全中文界面，系统简单易用。

司法符合性

• 获取镜像生成MD5哈希校验值，并可随时校验；
• 导出文件可以同时计算文件的MD5哈希；
• 分析过程有详细的审计日志，便于案件的审查复核工作

支持的分区格式

• NTFS；
• NTFS compressed；
• FAT 12/16/32
• Ext2/Ext3
• ISO9660及UDF光盘文件系统

其它特性

• 支持DD镜像、AFF镜像、Encase镜像文件的直接分析；
• 提供文件文本和十六进制查看功能，并可以直接查看扇区内的数据；
• 全中文界面，系统简单易用