盘石计算机现场取证系统(SafeImager)由可以启动的光盘/U盘、外接的数据存储设备构成,包括:离线取证和在线取证。使用SafeImager光盘/U盘启动对象计算机或者在对象计算机上直接运行Safeimager应用程序,可以快速有效地获取对象计算机上的数据,保存到外接的数据存储设备中。
 离线取证
通过光盘启动对象计算机,获取计算机中的硬盘/分区/目录/文件中的数据,同时生成有效的MD5数据校验码。
在线取证在目标系统运行或者不允许关机的情况下,对目标系统内部的易失数据如系统运行信息,应用数据,内存信息,硬盘/分区进行获取。
不拆机箱的数据取证- 光盘启动/程序直接运行
- 支持基于IA32架构的笔记本、PC和服务器,兼容性好
- 支持IDE、SATA、SCSI、RAID等各种硬盘和数据架构
- 支持常见的其它文件系统,包括:EXT2/3、UFS、XFS、HFS、JFS、MINIX、HPFS等
- 使用USB 2.0/1394A/1394B接口,1394B数据获取速率最高可以达到2.5GB/分钟
- 生成的数据进行可以使用数据恢复和取证工具进行分析
 规范化操作
- 现在的所有操作进行日志记录
- 对证据数据进行完整性保护,不破坏现场数据
- 在数据复制的同时生成MD5哈希,便于事后校验
简单易用- 所有操作采用图形化的向导界面
- 操作过程动态显示,获取过程一目了然
- 提供快速操作,简化现场工作
在线取证功能- 获取各种系统易失信息,例如:系统、网络、端口、进程等各类信息
- 获取各种应用程序用户密码信息,包括常用邮件、聊天、浏览器、网络应用
- 获取应用数据信息,包括最近打开的文档、运行的程序、上网日志、Cookie等信息
- 系统内存获取
- 整个硬盘的数据获取
- 分区数据获取,包括加密程序加载的分区
|