OSForensics cung cấp cho người dùng khả năng xác định các tập tin tiềm ẩn rủi ro và các hoạt động độc hại nhắm vào hệ thống. Điều này được thực hiện thông qua việc so sánh các giá trị hash (kết quả hash thường có kích thước nhỏ hơn so với dữ liệu gốc).
Công cụ này còn hỗ trợ tìm kiếm và liên kết driver, phân tích dữ liệu binary từ email, cũng như kiểm tra bộ nhớ hệ thống.
Chương trình có thể trích xuất “bằng chứng” từ máy tính một cách nhanh chóng, đồng thời tích hợp các tính năng tìm kiếm và lập chỉ mục tập tin mạnh mẽ.
Nhờ đó, người dùng có thể quản lý dữ liệu một cách hiệu quả hơn.
OSForensics cung cấp một phương pháp xác định các tập tin trên máy tính Windows nhanh chóng và mạnh mẽ. Bạn có thể tìm kiếm dựa trên tên tập tin, kích thước, ngày tạo và thay đổi,…
Kết quả tìm kiếm được trình bày theo nhiều định dạng khác nhau. Trong đó, Timeline View cho phép bạn lọc kết quả theo dòng thời gian, làm rõ mô hình hoạt động của người dùng.
Khả năng tìm kiếm tập tin của OSForensics vượt trội hơn nhiều so với công cụ tìm kiếm tích hợp sẵn trong Windows. Khác với Windows, vốn có thể bỏ sót tập tin, OSForensics đảm bảo tìm thấy mọi tập tin trên ổ đĩa.
OSForensics có thể tìm kiếm nội dung bên trong tập tin và hiển thị kết quả ngay lập tức sau khi lập chỉ mục. Nhờ Zoom Search Engine mạnh mẽ, nó có thể tìm kiếm trong hầu hết các định dạng tập tin phổ biến.
Timeline Viewer tích hợp trong OSForensics trực quan hóa hoạt động hệ thống và tập tin theo thời gian, giúp bạn xác định khoảng thời gian diễn ra các hoạt động quan trọng, hoặc xây dựng mô hình hành vi qua nhiều năm, tháng hoặc ngày.
Đây là một biểu đồ thanh tương tác, hiển thị các hoạt động hệ thống như ngày tạo tập tin, lịch sử trình duyệt web, cookies, hồ sơ USB và MRU,…
Bạn có thể điều chỉnh khoảng thời gian hiển thị trên Timeline Viewer từ năm xuống tháng, rồi đến ngày bằng cách nhấp vào thanh tương ứng. Khi di chuột qua dòng thời gian, số lượng sự kiện trong khoảng thời gian đó sẽ được hiển thị.
Thumbnail View đặc biệt hữu ích khi tìm kiếm tập tin media, cho phép bạn nhanh chóng duyệt qua hình ảnh thu nhỏ và điều chỉnh kích thước bằng thanh biên.
OSForensics cung cấp Wrensoft Zoom Search Engine – một trong những cách nhanh nhất và mạnh mẽ nhất để tìm kiếm bên trong nội dung của tất cả các tập tin trên ổ đĩa cứng.
Với khả năng tìm kiếm văn bản đã được lập chỉ mục từ hàng trăm định dạng tập tin, OSForensics cung cấp:
OSForensics có thể lập chỉ mục nội dung của nhiều định dạng tập tin khác nhau, bao gồm DOC, PDF, PPT, XLS, RTF, WPD, SWF, DJVU, JPG, GIF, PNG, TIFF, MP3, DWF, DOCX, PPTX, XLSX, MHT, ZIP,…
Ngoài ra, chương trình còn có chức năng phân tích tập tin để xác định định dạng của chúng nếu thiếu phần mở rộng.
OSForensics cho phép bạn tìm kiếm văn bản bên trong các lưu trữ email được sử dụng bởi nhiều chương trình email phổ biến như Microsoft Outlook, Mozilla Thunderbird , Outlook Express,…
Bước đầu tiên để tìm kiếm email là tạo chỉ mục cho lưu trữ. Quá trình này có thể mất thời gian, nhưng sẽ cho phép tìm kiếm nhanh hơn trong tương lai. Một máy tính có cấu hình trung bình có thể lập chỉ mục khoảng 10000 email kích thước vừa phải trong vòng 2 phút.
Các định dạng tập tin email được hỗ trợ
OSForensics có thể lập chỉ mục các định dạng này mà không cần cài đặt chương trình email tương ứng. Hơn nữa, quá trình lập chỉ mục không giới hạn ở email mà còn áp dụng cho nhiều loại tập tin khác như tài liệu Word và PDF, cho phép tìm kiếm nội dung bên trong.
Khi chỉ mục đã được tạo, bạn có thể bắt đầu tìm kiếm. Thông thường, chương trình sẽ tìm kiếm các từ khóa cụ thể trong email. Tuy nhiên, bạn cũng có thể tìm kiếm email dựa trên trường ngày tháng, To, From hoặc CC.
Quá trình tìm kiếm chỉ mục có thể được thực hiện cực nhanh, khoảng 20000 email chỉ trong vòng 1 giây. Bạn có thể thực hiện tìm kiếm lại với cùng một chỉ mục mà chỉ cần tạo một lần.
Khi tìm thấy email mong muốn, bạn có thể mở và xem trực tiếp bên trong OSForensics thông qua trình xem mail tích hợp, mà không cần tải chương trình mail tương ứng.
OSForensics cho phép bạn khôi phục và tìm kiếm các tập tin đã xóa, ngay cả sau khi chúng đã bị xóa khỏi Recycle Bin. Điều này giúp bạn xem lại những tập tin mà người dùng có thể đang cố gắng xóa bỏ.
Mỗi tập tin đã xóa tìm thấy sẽ được hiển thị với bộ chỉ thị chất lượng từ 0 – 100. Giá trị 100 cho thấy tập tin đã xóa gần như còn nguyên vẹn, chỉ thiếu một vài cụm dữ liệu.
OSForensics cung cấp trình xem đồ họa về sự phân bố của các cụm tập tin đã xóa trên ổ đĩa vật lý. Bảng này hiển thị thông tin phân đoạn của tập tin đã xóa. Đối với kích thước nhỏ, tập tin đã xóa có thể nằm trong MFT (chỉ NTFS).
Bản đồ hiển thị vị trí của các phân đoạn trên ổ đĩa vật lý một cách trực quan.
OSForensics quét hệ thống để tìm bằng chứng về các hoạt động gần đây như trang web đã truy cập, ổ USB, mạng không dây, tải xuống, đăng nhập trang web và mật khẩu trang web. Điều này đặc biệt hữu ích để xác định xu hướng và mô hình của người dùng, cũng như các tài liệu hoặc tài khoản đã được truy cập gần đây.
OSForensics giúp bạn khám phá hoạt động trình duyệt web của người dùng, bao gồm lịch sử duyệt tìm, cookies và tên người dùng đã lưu trữ từ các trình duyệt web. Chương trình hiển thị những mục có thể truy xuất từ các trình duyệt web phổ biến thông qua module Recent Activity.
OSForensics có thể hiển thị chi tiết của các thiết bị USB được kết nối với máy tính gần đây, cung cấp thông tin về ngày kết nối cuối cùng và thông tin thiết bị như Manufacturer Name, Product ID và Serial Number. Các thiết bị được hỗ trợ bao gồm USB Flash Drives (UFDs), Portable Hard Disk Drives và các thiết bị kết nối USB ngoài như ổ DVD-ROM.
Module System Information hiển thị thông tin chi tiết về các thành phần trung tâm của hệ thống, bao gồm:
Với OSForensics, bạn có thể khôi phục mật khẩu trình duyệt từ Internet Explorer , Firefox và Chrome . Việc này có thể được thực hiện trên máy tính đang chạy hoặc từ bản sao ổ đĩa cứng. Dữ liệu khôi phục bao gồm URL của trang web (thường là HTTPS), username đăng nhập, mật khẩu của trang, trình duyệt sử dụng để truy cập trang và username của Windows. URL đã blackist cũng được báo cáo, cho biết người dùng đã truy cập trang web nhưng không lưu trữ mật khẩu trong trình duyệt.
OSForensics hỗ trợ 2 phương thức để truy cập vào tài liệu văn phòng đã mã hóa:
Việc tạo chữ ký là tạo ảnh chụp màn hình của cấu trúc thư mục của ổ đĩa tại một thời điểm nhất định. Thông tin này bao gồm dữ liệu về đường dẫn thư mục, kích thước và thuộc tính tập tin. OSForensics có thể được cấu hình để bao gồm hoặc loại trừ các thư mục và ổ khác nhau khi tạo chữ ký ổ, hoặc thậm chí tính toán SHA1 hash cho từng tập tin trên hệ thống.
OSForensics có thể so sánh các chữ ký mới với các chữ ký đã tạo trước đó, cho phép bạn xác định nhanh chóng sự thay đổi đối với tập tin hoặc cấu trúc thư mục. Việc so sánh 2 chữ ký sẽ đưa ra bản tóm lược tất cả sự khác biệt tập tin, có thể được phân loại theo tên tập tin, dạng khác biệt, thuộc tính tập tin, SHA1 hash,… Trình xem tóm lược có thể được lọc để chỉ hiển thị các tập tin đã thay đổi, mới hoặc xóa. Toàn bộ kết quả so sánh có thể được dễ dàng xuất ra ổ cục bộ của bạn để sử dụng sau.
Case cho phép bạn tổng hợp và sắp xếp các kết quả và mục case từ các chức năng khám phá và xác minh khác của OSForensics, chẳng hạn như File Search, File Mismatch Search, Recent Activity, Deleted Files,… Khi tập tin case đã được tạo hoặc mở, các thư mục case như danh sách và tập tin có thể được mở hoặc xóa trực tiếp bởi người kiểm tra để truy cập nhanh chóng.
Trình xem thuộc tính thư mục case cho phép bạn chỉnh sửa tiêu đề và ghi chú mà bạn đã tạo trước đó cho từng thư mục.
Báo cáo case cung cấp bản tóm lược của tất cả các kết quả và thư mục bạn đã làm việc trong định dạng HTML có thể truy cập. Thư mục case được sắp xếp trong danh sách và tập tin có thể được phân loại trong trình duyệt web theo tiêu đề (ví dụ: Item Title, Originating OSForensics Module, Export Filename và Investigator Notes). Bạn có thể tìm kiếm chi tiết thêm trên mỗi thư mục case bằng cách nhấp vào từng tiêu đề.
Mặc dù OSForensics được thiết kế với 5 template báo cáo có sẵn, bạn vẫn có thể tùy chỉnh template sao cho phù hợp với nhu cầu cá nhân.
OSForensics có thể xây dựng lại hình ảnh RAID từ tập hợp các hình ảnh ổ đĩa vật lý thuộc về dãy RAID. Các cấp độ RAID được hỗ trợ bao gồm: RAID 0, RAID 1, RAID 3, RAID 4, RAID 5, RAID 0+1, RAID 1+0.
Khi biết các thông số RAID, bạn có thể sử dụng chúng để xây dựng lại hình ảnh logic RAID.
Để đảm bảo hệ thống hoạt động ổn định, dung lượng RAM nên đáp ứng yêu cầu tối thiểu.
Việc sử dụng ổ cứng trống hoặc USB đều được hỗ trợ, mang lại sự linh hoạt trong quá trình cài đặt và sử dụng.
Dung lượng 30 MB là đủ để cài đặt và chạy chương trình, tuy nhiên, không gian lưu trữ lớn hơn có thể cần thiết cho các tác vụ khác.
1 nhận xét
Windows
Phần mềm Hệ thống
Tiện ích máy tính
