镜像及现场取证模块-- FTK Imager
• 支持 30种常见类型镜像加载及各式转换,同类工具中支持种类最多
• 支持Windows,Linux,Mac OS等操作系统,及其文件系统检材加载及识别
• 支持镜像文件,物理硬盘,逻辑分区,文件夹,单独文件加载
• 实时抓取内存及注册表,EFS文件检测
• 证据文件归档输出,定向提取任意范围数据,保持数据结构完整
注册表分析– Register
Viewer
• 以注册表文件为分析对象,实现数据的最底层解析
• 自动标示潜在的重要注册表文件,方便用户快速定位关键数据
• 依据用户注册表中的个性化信息定制密码破解字典,极大提高破解成功率
• 不同键值关联解析,为检验复杂行为提供数据基础,灵活定制报告
综合分析检验
• 同类产品中最丰富灵活的过滤器,超过200种以上的预制过滤条件,各种逻辑随意组合
• 专利的dtSearch索引功能,将所有文件进行索引排序,实现搜索“零”等待
• 实时搜索,保证搜索无遗漏,支持所有标准文档编码,搭配过滤器使用
• 分布式运算,标准版FTK可实现一带三协同工作,大幅提高处理速度
• 特有的模糊哈希能力,帮助用户根据样本文件按的哈希值搜索检材中相近文档
• 深度数据挖掘,定制挖掘数据类型,16进制代码视图定位文件碎片并重新制作可打开文件
• 自动视频抽帧,按时间或百分比抽帧,制作摘要,方便用户快速浏览视频关键信息及全貌
• 手机联动功能,可以配合AD手机检验产品MPE,对提取手机数据文件进行深度数据挖掘
• 内存分析功能,高效分析内存中文档图片等常规数据和进程、动态库等挥发性数据
• 流文件检测与自动关联,高效发现隐藏数据
• 链文件分析及解析、回收站深度解析、打印文件解析、互联网痕迹检验、KFF批处理、电子邮件检验、即时聊天工具解析、特殊格式数据识别
