FTK资料

1.1FTK3.0&4.0汇集警方经验的智能分析软件美国警方标准配备、全球警方使用量第一的FTK电子物证分析软件，执行自动、完整、彻底的计算机电子取证检查。中文司法分析软件FTK拥有强大自动的文件分析、过滤和搜索功能，自动对所有文件进行分类，自动定位有嫌疑的文件，快速自动找出所需的证据；FTK被公认为是进行电子邮件分析的领先取证工具，是全球销量第一的电子物证分析软件。新特性：集成的解决方案：中文司法分析软件FTK集成解决方案，功能包括：可创建映像、察看注册表、执行案件调查、数据分析、解密文件以及创建报告。集成的数据库：您不会再有其他解决方案因内存问题引起的应用程序死机、不稳定及任务丢失等问题的困扰。中文司法分析软件FTK第一款且唯一的一款完全集成Oracle标准数据库的司法工具，能支持最大型的、复杂的案件调查。多国语言支持：新的Unicode和代码页能够对于任何Unicode支持的文字进行搜索、显示及生成报告。用户可以以证据的本地格式进行搜索和察看，如阿拉伯语、以色列语和韩语。增强的电子邮件功能支持：现在您可自动恢复、察看以及分析PSTs，DBXs，ExchangeEDBs,MBOX和RFC822等格式的邮件。数据挖掘：中文司法分析软件FTK拥有行业领先的数据挖掘引擎，利用它，用户可指定挖掘规则，如文件大小、数据类型及像素大小等，以减少挖掘非相关数据的数量和时间。删除数据，文件恢复文件系统支持：支持FAT32,NTFS,EXT2,EXT3,ReiserFS,HFS,HFSPlus,HFSX,ISO9660,Ghost,VMware等文件系统。快速访问：现在当FTK处理数据时，您即可快速察看和分析证据，无需等待。真正的对多进程和多线程支持：中文司法分析软件FTK不仅提高了拥有单个处理器的机器的处理速度、性能以及稳定性，而且能够充分利用拥有多个处理器的机器的处理能力，在服务器上使用速度更快！简单方便的输出功能：您可无修改的提取相关信息，保持源证据、元数据及路径信息，且消除重复记录。增强的图形用户界面：使用用户可订制选项卡，您可重新设置元数据列、停靠窗口以及可以在一个分离的窗口设置图片大小。用户可以根据自己的喜好更新用户界面，提高分析案件的效率。丰富的报告功能：新的报告向导允许您根据需求创建详细的报告，可以为HTML、本地格式、PDF和XML格式等输出，并且有超链接指向原始证据。证据察看：增强的文件分类功能和新的overview选项卡大大简化了证据察看，用户可在一个单一的、容易使用的视图里按类型察看数据。增强的过滤器功能：增强的过滤器和显示选项使您能快速识别，并将注意力集中在相关的数据，以及察看在已分配空间或未分配空间中的搜索结果。中文司法分析软件FTK3.0特点：1.集成优秀侦察员经验，菜单查找、定位、分析嫌疑文件，所有侦察员都能熟练使用的软件。2.中文支持：支持UNICODE，GB18030，GB2312，BIG5码，中文查找证据；部份软件已完全汉化，支持中文搜索。3.全菜单操作，通过选项进行：整盘、分区、文件夹、文件数据分析。4.查看剩余空间内容，高级数据挖掘功能。5.采用Stellent的OutsideInViewer技术，可查看数百种不同文件格式。6.多线程，分析速度快。7.允许您在采集的嫌疑文件中快速进行导航8.生成查看日志和案件报告9.兼容于Encase,直接分析E01格式，可同时运行在一部电脑中。10.三天培训，即可随意使用，查找犯罪证据。高级搜索、快速定位1.即时关键词搜索技术，采用dtSearch搜索引擎技术，实现全文即时搜索。2.针对Internet文本、图形、MSoffice文档和其他格式数据，执行高级数据挖掘。3.自动识别、定位、归类、还原各类嫌疑文件：异型后缀、加密、删除、邮件、图片、数据库、多媒体、文本、电子表格、可执行文件等。4.菜单化设置自定义的嫌疑文件、邮件搜索过滤器。5.查看所有硬盘各类Windows版本的注册表及加密区信息。6.查看IE、Outlook和OutlookExpress中包括的登录用户名和密码在内的帐户信息和密码，上网记录，计算机操作记录等。7.完全汉化的计算机操作记录、加密区调查软件（RV）。8.菜单获取计算机注册表及开机密码文件。电子邮件和压缩文件分析1.支持：Outlook、OutlookExpress、AOL、Netscape、Yahoo、Earthlink、Eudora、Hotmail和MSN电子邮件分析2.查看、搜索、打印并导出电子邮件及其附件3.恢复删除和部分删除的电子邮件4.自动从PKZIP、WinZip、WinRAR、GZIP和TAR等压缩文件中提取数据支持的文件和获取格式1.支持的文件格式包括：NTFS,CDFS,UDF,HFS,FAT12/16/32和LinuxEXT2&EXT32.FTK和FTKImager（完全汉化）可读取由Encase、SMART、Symantec和Linux3.DD以及其它映像工具生成的映像格式FTKv4升级功能：V4.1.01.多媒体文件分析功能•新版FTK支持对视频文件的抽帧截图,此功能可以根据用户需要以不同的方式和需求进行视频文件的截图,以帮助用户更快速的了解目标视频文件内容,大大缩短分析浏览所用时间•新版FTK支持将所有可识别视频文件转换成WindowsMediaPlayer支持的文件格式,并可在FTK中直接进行浏览查看2.导出功能增强•增强对Outlook2010草稿邮件导出的处理能力•支持多种形式的将不同格式邮件文档导出为PST文件格式,帮助用户更方便快捷的处理邮件文件及邮件档案文件•导出文件后将更清晰的显示数据头信息文件3.增加FTK处理能力•增强了处理具有复杂邮件内容的NSF邮件•新增下述数据挖掘功能:4.文件内容浏览能力增强•用户现在可以简便的浏览Windows预读取文件(.pf),包括:程序可执行文件的文件路径程序的运行次数程序最后的运行时间5.对WindowsEVTX日志文件的支持•用户现可以以HTML格式浏览包含在MicrosoftEVTX日志文件中的内容•现在有了一个新的选项来展开EVTX的复合文件.此功能可以帮助用户以分散形式查看EVTX的文件与事件•你现在同样可以使用下述新的EVTX相关选择6.对大型案件的数据库优化•新版FTK可以根据用户需要优化数据库,以更好的处理大型案件7.安装及升级增强•用户现在可以在初始化程序的同时转移以前版本的用户,共享权限,过滤器等8.杂项升级•RSR(注册表)报告现支持在网页中浏览FTKv4.2.1升级功能：1.支持浏览分析IIS日志文件支持以HTML格式浏览分析具有IIS日志文件的数据——浏览位置为‘文件结构’→‘自然’栏中。同时支持将IIS日志文件拆分为单独记录以支持时间分析。在浏览IIS日志文件时，可以在文件列表中使用下列IIS的相关列：2.注册表时间分析可以HTML格式浏览更多的注册表信息以支持时间分析–浏览位置‘文件结构’自然’中。下列注册表区为此次更新支持：SAM:SAM\Domains\Account\UsersNTUSER.DAT:Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\CountSoftware\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\CountSoftware\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\CountSoftware\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}\CountSoftware\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\CIDSizeMRUSoftware\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\FirstFolderSoftware\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRUSoftware\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRULegacySoftware\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU3.支持更多新文件类型下述文件类型为新增：4.文件缓存机制当检材处理完成后，对于经常浏览的文件数据增加缓存功能。允许对下列数据进行缓存：所有栏目的总结构浏览及默认列的浏览所有预置过滤器浏览5.索引升级在dtSearch功能中去除噪声码字（常用连接字），同时可按需求将字符重新添加回索引中6.Bitlocker升级支持Windows7和WindsowsVista的Bitlocker7.升级处理性能提供在相同硬件配置下更加快速的处理能力。FTK(ForensicToolkit)作为世界知名电子数据检验软件包，不但包含了所有电子数据检验工具的所有基本功能，如哈希、后缀分析、复合文件分析、删除文件恢复、分类分析浏览等同时也具有以下特点(下述仅为部分特点)。→专业镜像工具→专业注册表分析工具→人性化数据过滤器→dtSearch索引处理功能→小型云处理功能→强大的模糊哈希能力→深度数据挖掘功能→完美的搜索功能→自动化视频抽帧功能→手机联动功能→内存分析功能→Cerberus恶意程序分析→Visualization图形化分析→EID目标图片筛查→ORC图片内字符识别专业镜像工具单独的镜像工具–FTKImager，能够让用户简便快速的加载多种镜像类型。支持多达31种不同的镜像类型，包含了所有常见类型镜像。支持挂载目前市面上所有电脑系统的文件系统(硬盘)和单独文件。同时允许用户自主将加载的数据(镜像、硬盘、文件)进行镜像制作，格式转换等操作。同时具有绿色版软件，能够实时抓取检材机内存及注册表。专业注册表分析工具单独的注册表分析工具–RegisterViewer。世界上功能最强大的注册表分析器之一，能够完美对注册表文件进行分析操作，并自带对比库，可以自动标示潜在的有用注册表文件。完美的对注册表文件进行翻译，以便用户直观的进行判断分析。可自由定制创建报告。人性化数据过滤器不同于其他世界上的主流电子数据检验工具，FTK不但自带大量基本过滤器，同时提供方便快捷的过滤器配置器。其过滤器可根据用户需求应用于全界面(全局过滤器)也可以应用于当前界面，方便用户对比浏览。用户可以通过下来菜单快捷的直接选择需要类型可根据需求配置自主设置新的过滤规则可快捷的配置不同的过滤器，操作清晰简便。dtSearch索引处理功能基于PostGreSQL数据库，FTK使用了自主研发的dtSearch索引功能，将所有文件进行索引排序，以便后续工作时可以进行快速搜索操作。小型云处理功能FTK可单机使用，也可配置不超过3个的分布式运算器,已达到小范围云处理功能。FTK可以根据检查及处理选项要求自主配置进行分布式处理操作。此举不但大大增强FTK的工作效率，同时能够保证所有资源的重复利用。强大的模糊哈希能力不同于一般的哈希操作，模糊哈希是一种可以帮助用户根据文档模版(哈希值)搜索加载文件中相近文档的功能。此功能基于FTK引擎内部特有的复杂算法，是FTK特有的功