osforensicss破解版-数据恢复取证工具v7.1 免费版下载

软件下载 11月 27, 2023 0 king

　　osforensicss破解版分享仅三十个功能帮助用户管理、查询电脑上的数据，知识兔可以在软件快速对计算机的数据分类，知识兔可以精准查询C盘D盘上的各种文件，知识兔可以搜索已经删除的文件，知识兔可以查看数据库，知识兔可以查看浏览器缓存数据，知识兔可以查看计算机密码，功能还是非常多的，知识兔可以让用户更好在电脑上取证，提取计算机保存的各种数据；osforensicss的全部功能都在左侧界面切换，方便切换到新的功能开始查询和管理电脑数据，知识兔也可以在软件制作磁盘镜像，需要就可以下载体验！

软件功能

　　PassMarkOSForensics是一种功能强大、全面的取证工具，知识兔用于发现、识别和管理计算机系统和数字存储设备中的数字证据。OSForensics被组织成一组模块，知识兔以简化分析实时系统和存储介质上大量数据的任务，并分享简单易用的模块化界面。这些模块包括文件名搜索模块，该模块可以在几秒钟内按文件名识别证据材料，知识兔以及更复杂的模块，例如用于识别难以定位的数字证据人工制品的已删除文件搜索模块

　　SForensics包含一系列模块，知识兔用于搜索、收集、分析和恢复可在法庭上用作法律证据的数字文物。OSForensics的主要特征概述如下。

　　1.Case Management案例管理

　　该模块用于将所有其他模块的结果汇总到一个单独的位置，即案例，知识兔以便以后对整个结果进行分析并报告结果。

　　2、Auto Triage自动分类

　　分诊为调查员分享了一种简单的方法，知识兔可以自动启动常见的法医任务，知识兔以便在有限的时间内快速获取最相关的证据数据。这一功能即使知识兔对于未经法医培训的人员来说也很有用，知识兔可以在现场获取可能具有潜在波动性或危险性的情报。

　　3、Auto Triage文件名搜索

　　该模块允许通过文件名搜索文件/目录。

　　4、Indexing索引

　　索引允许在文件内容内进行全文搜索。还能够在电子邮件存档中搜索，并从未分配的磁盘扇区中提取文本。

　　5、User Activity用户活动

　　该模块允许调查人员扫描系统以查找用户活动的证据，例如访问的网站、USB驱动器、无线网络和最近的下载。

　　6、Deleted Files Search已删除文件搜索

　　搜索并恢复最近从硬盘中删除的文件。

　　7、Mismatch Search不匹配搜索

　　查找文件扩展名与文件内容建议的扩展名不同的文件。例如，.jpeg文件重命名为.txt文件。

　　8、Memory Viewer内存查看器

　　存储器查看器允许研究人员收集和分析易失性存储器中的数字证据。由于内存的非持久性，一些数字证据可能仅在实时系统上可用。

　　9、Program Artifacts程序工件

　　程序工件查看器将预取查看器和AmCache查看器分组为单个模块。预取查看器显示操作系统的预取器存储的信息，知识兔包括应用程序的运行时间和频率。AmCache查看器显示来自AmCache配置单元的信息，其中包含程序可执行文件和安装的元信息。

　　10、Raw Disk Viewer原始磁盘查看器

　　原始磁盘查看器逐扇区显示磁盘的原始内容。隐藏在文件系统外部扇区中的数据可以通过该模块进行识别和分析。

　　11、Registry Viewer注册表查看器

　　注册表查看器允许在OSForensics中打开和查看Windows注册表配置单元，知识兔包括可以锁定/使用文件的实时系统。

　　12、Event Log Viewer事件日志查看器

　　事件日志查看器允许查看windows事件日志。该模块允许对特定日志文件执行各种操作，知识兔包括扫描、搜索、过滤、导出和时间线分析。

　　13、File System Browser文件系统浏览器

　　文件系统浏览器以分层方式显示添加到案例中的所有设备，类似于Windows资源管理器。与Explorer不同，将显示特定于取证分析的其他信息。

　　14、SQLite数据库浏览器

　　SQLite数据库浏览器以有组织的方式显示SQLite数据库文件的内容，便于导航和搜索。

　　15、Web浏览器

　　web浏览器分享了具有取证功能的基本web查看器。这包括保存网页截图并将其添加到当前打开的案例中的功能。

　　16、密码

　　从各种来源恢复和解密密码。

　　17、系统信息

　　可以查看和导出有关系统核心组件的详细信息。

　　18、Verify/Create Hash验证/创建哈希

　　创建文件或整个硬盘的哈希（SHA1、MD5、CRC32）。

　　19、Hash Sets哈希集

　　哈希集是一种快速识别已知安全或已知可疑文件的工具，知识兔以减少进一步耗时分析的需要。

　　20、Signatures签名

　　签名是系统目录结构在不同时间点的快照。知识兔可以比较签名以识别已添加、删除和更改的文件。

　　21、Drive Preparation驱动器准备

　　驱动器准备允许在连接到系统的固定和可移动驱动器上执行字节模式验证测试。

　　22、Forensic Imaging镜像

　　将磁盘的逐位副本保存到图像文件中。将图像文件还原回磁盘。创建感兴趣的文件/目录的逻辑映像。

　　23、Boot Virtual Machine启动虚拟机

　　将包含功能操作系统的磁盘映像引导为虚拟机，重新创建感兴趣系统的实时桌面环境。

　　24、Internal Viewer内部查看器

　　内部文件查看器允许在OSForensics中预览最常见的文件格式，而无需打开外部应用程序。

　　25、电子邮件查看器

　　电子邮件查看器为浏览和分析具有取证功能的电子邮件分享了一个简单的界面。

　　26、剪贴板查看器

　　剪贴板查看器显示实时系统上剪贴板中存储的内容，知识兔包括剪贴板历史记录和固定项目（如果知识兔启用）。

　　27、缩略图缓存查看器

　　缩略图缓存查看器提取存储在Windows缩略图缓存文件中的缩略图图像以供查看。缩略图缓存文件可能包含系统上已删除图像的证据。

　　28、ESE数据库查看器

　　ESE数据库查看器显示ESE数据库文件中包含的表和记录。包括Windows Search和Microsoft ExchangeServer在内的各种Microsoft应用程序以ESE数据库文件格式存储具有潜在取证价值的数据。

　　29、$UsnJrnl查看器

　　$UsnJrnl查看器解析并显示存储在NTFS$UsnJrnl卷更改日志中的日志记录。此信息对于识别文件系统或$MFT中不再存在的可疑文件（例如恶意软件）非常有用。

　　30、Plist查看器

　　查看OSX和iOS通常用于存储设置和财产的Plist（属性列表）文件的内容。

　　31、Android Artifacts

　　该模块允许调查员扫描Android案例设备和备份，知识兔以查找用户活动的证据，如访问的通话记录、网站、消息和联系人。

软件特色

　　解锁的高级功能

　　•搜索备用文件流。

　　•按图像颜色对找到的文件进行排序。

　　•使用多个处理器内核加快解密速度。

　　•自定义系统信息收集。

　　•导入/导出哈希集

　　•取消最多3种情况的限制

　　•取消了每个案例最多10个项目的限制

　　•最多删除10个允许导出的用户活动项。

　　•最多删除2500个允许编入索引的文件和电子邮件。

　　•取消了最多250个索引搜索结果的限制。

　　•每个浏览器最多可删除5个登录详细信息限制。

　　•一次恢复多个删除的文件。

　　•查看NTFS$I30目录条目。

　　•web浏览器屏幕捕获中的水印

使用说明

　　1、知识兔将软件安装到电脑，知识兔设置安装的地址C:Program FilesOSForensics

　　2、提示软件的安装进度条，等待安装完毕

　　3、知识兔将crack文件夹里面的两个补丁复制到安装地址替换完成破解

　　4、这里是软件的功能界面，在左侧知识兔点击Deleted File Search功能可以搜索删除的文件

　　5、知识兔点击File Name Search可以对电脑的文件查询，方便提取数据

　　6、使用内部查看器查看。。

　　打开（默认程序）

　　用..知识兔打开。。

　　打开包含文件夹

　　显示文件财产。

　　跳转到缩略图视图

　　打印

　　将所有结果列表添加到案例中。

　　将所有结果的列表导出到

　　切换检查

　　全部选中

　　按文件类型分组

　　7、这里是密码查看界面，知识兔可以查看登录的密码，知识兔可以查看key

　　8、镜像制作功能，知识兔可以添加磁盘到软件生成镜像，知识兔也可以查看磁盘整理，恢复镜像

　　9、软件界面工具非常多，如果知识兔你会英文就可以很好的使用这些工具查询计算机中的各种数据

官方教程

　　已删除文件搜索配置

　　“已删除文件搜索配置”窗口允许用户配置已删除文件的搜索设置。单击主“已删除文件搜索”窗口中的“配置…”按钮可访问此窗口。

　　质量

　　确定要包含在搜索结果中的已删除文件的最低质量级别。

　　区分大小写

　　如果知识兔选中，搜索将区分大小写。默认情况下禁用此选项。

　　包含文件夹

　　如果知识兔选中，文件夹名称也将包括在搜索中，而不仅仅是文件名。默认情况下禁用此选项。

　　仅匹配整个单词

　　如果知识兔选中，则结果仅包括搜索字符串是否作为文件名中的一个谨慎单词匹配。除空格外，知识兔以下字符用作单词“_-.（）[]”周围的分隔字符。例如，在启用此选项的情况下搜索“测试”将返回“_Test.txt”、“A（测试）.jpg”、“thisis A Test.docx”和“file.Test”等文件。但它不会返回“Test.txt”、《证词.pdf》或“竞赛.zip”。

　　默认情况下禁用此选项。此选项对通配符搜索无效。

　　仅多个流

　　启用文件雕刻

　　文件雕刻不是从主文件表中查找文件，而是查看原始物理磁盘数据中的文件头，并尝试以这种方式恢复文件。这需要读取磁盘上的所有数据，因此比标准方法慢得多。此外，它只能找到有限数量的具有已知标头的文件类型。

　　配置雕刻选项

　　文件雕刻的其他选项。有关可用设置，请参阅下面的文件雕刻配置。

　　文件大小限制

　　允许用户指定搜索结果的文件大小限制。用户可以输入最小值、最大值、两者或两者都不输入。唯一的限制是最大值必须大于最小值。

　　文件Size配置

　　仅扫描未分配的扇区

　　对于FAT和NTFS文件系统，OSForensics只能对驱动器上未分配的扇区进行索引。这将显示磁盘未使用部分的文件。选择此选项将强制OSForensics扫描整个驱动器，知识兔包括可能分配给未删除文件的扇区。选择物理驱动器时，将搜索该驱动器的全部内容，如果知识兔该驱动器上有工作分区，则可能会返回未实际删除的文件。选择单个分区时，将仅搜索该分区上未分配的空间。

　　仅扫描扇区边界

　　启用此选项后，将仅使用扇区的开头字节来查找标头模式匹配。默认情况下，此选项是启用的，因为文件通常只保存到空闲扇区上的磁盘（文件内容从扇区开始存储）。通过禁用此选项，OSForensics将尝试在整个扇区的任何位置查找标头模式。这对于雕刻可能嵌入另一个文件（例如PDF文档）中的文件（例如图像）非常有用。然而，该选项应谨慎使用，因为它会增加雕刻时间，并可能返回许多错误匹配。

　　EXT2雕刻

　　在标准Linux文件系统（如EXT2）中，文件的内容存储在一系列数据块中。系统上的每个文件都有一个索引节点（inode），其中包含指向这些数据块的指针。只有前12个数据块在索引节点内被直接指向。如果知识兔文件大于12个数据块的大小，文件系统将分配一个“间接块”，其中包含指向文件内容的附加指针。第一间接块通常直接位于前12个内容数据块之后。

　　如果知识兔启用了LinuxEXT2雕刻，则在文件雕刻期间，OSForensics将尝试检测每个文件的间接块并围绕其进行雕刻。OSForensic仅支持检测和删除第一个间接块。不支持Double和Triply间接块。

　　图像验证

　　通过尝试使用图像解析器打开整个文件，对雕刻图像文件应用额外级别的检查。减缓文件雕刻过程，但对文件质量分享更好的反馈。如果知识兔图像解析器成功打开图像，则总得分将提高25%。类似地，如果知识兔图像解析器文件打开图像，则总得分将降低25%。

　　范围选择

　　允许选择雕刻范围。查看驱动器的某个部分很有用。

　　要扫描的文件扩展名

　　当前默认支持的内置文件类型为：gif、png、bmp、tif、asf、wmv、wma、mov、mpg、mp4、swf、flv、ole、doc、xls、ppt、msi、mst、msp、gra、zip、docx、xlsx、pptx、htm、pdf、wav、mp3、rar、eml和rtf。

　　默认文件类型是从ProgramData目录中的“osf_filecut.conf”文件加载的，例如C:ProgramDataPassmarkOSForensics。预定义的文件类型具有编码的文件恢复功能，这将比直接的页眉/页脚匹配更出色。

　　可以添加其他文件类型，知识兔也可以删除当前启用的文件类型。列表中由浅灰色文本标识的默认文件类型可以删除，但不能编辑其定义。

　　OSForensics将雕刻用户定义的文件类型，但只查找页眉模式和/或页脚模式。未指定页脚模式时。OSForensics将返回默认值为定义的最大文件大小。启用“文件雕刻”后，OSForensics使用内置值来限制最大文件大小。文件大小限制取决于文件类型，但是，雕刻期间所有文件的总文件大小限制限制为50MB。

　　通过编辑上述文件，还可以添加其他文件类型（或删除现有文件类型）。知识兔可以在文本编辑器中编辑该文件。知识兔建议在对该文件进行任何修改之前，应进行备份，知识兔以防文件需要恢复到其原始状态。知识兔可以在文件本身中找到编辑文件的其他说明

　　已删除文件搜索结果视图

　　用户可以在四个视图之一中查看删除的文件搜索结果。

　　文件详细信息视图