OSForensics - Công cụ truy tìm hoạt động trái phép trên máy tính

Phiên bản: 2.2.1000
Cập nhật: 16/09/2013
Sử dụng: Trial
Dung lượng: 43,9 MB
Lượt tải: 206
Nhà phát hành: PassMark Software
Yêu cầu: Windows XP/Server 2003/Vista/Server 2008/7/8/Server 2012


Chia sẻ bởi Taifull.net: OSForensics: OSForensics cho phép người dùng nhận diện các file nguy hiểm và hành động có hại cho hệ thống như so sánh giá trị hash (kết quả thu được sau khi hash sẽ là một giá trị nhỏ hơn dữ liệu nguyên gốc), tìm và kết hợp driver, dữ liệu dạng binary của email cũng như bộ nhớ.

Giới thiệu

OSForensics cho phép người dùng nhận diện các file nguy hiểm và hành động có hại cho hệ thống như so sánh giá trị hash (kết quả thu được sau khi hash sẽ là một giá trị nhỏ hơn dữ liệu nguyên gốc), tìm và kết hợp driver, dữ liệu dạng binary của email cũng như bộ nhớ.

Chương trình có khả năng trích xuất “chứng cứ” từ máy tính một cách nhanh chóng cùng với tính năng tìm kiếm và lập chỉ mục tập tin tiên tiến đồng thời giúp bạn quản lý dữ liệu hiệu quả.

OSForensics

Tính năng:

Tìm kiếm tập tin nhanh hơn

OSForensics cung cấp một trong những phương thức nhanh nhất và mạnh mẽ nhất để xác định các tập tin trên máy tính Windows. Bạn có thể tìm kiếm theo tên tập tin, kích thước, ngày tháng tạo và thay đổi,…

Kết quả tìm thấy sẽ được hiển thị theo nhiều cách khác nhau. Trong đó Timeline View cho phép bạn chọn lọc thông qua các kết quả trên dòng thời gian, làm rõ mô hình hoạt động của người sử dụng trên máy.

OSForensics có khả năng tìm kiếm tập tin nhanh hơn nhiều lần so với công cụ tìm kiếm tích hợp trong Windows. Không giống với Windows khi thường bỏ lỡ tập tin, bạn có thể chắc chắn rằng OSForensics sẽ tìm thấy mọi tập tin trên ổ đĩa của mình.

Tìm kiếm nội dung tập tin

OSForensics còn có thể tìm kiếm nội dung tập tin và hiển thị kết quả ngay sau khi lập chỉ mục. Với Zoom Search Engine mạnh mẽ, nó có khả năng tìm kiếm bên trong hầu hết định dạng tập tin thông dụng.

Timeline Viewer

Timeline Viewer tích hợp trong OSForensics hiển thị hoạt động hệ thống và tập tin một cách trực quan qua thời gian, giúp bạn xác định phạm vi ngày tháng mà hoạt động quan trọng đã diễn ra, hoặc xây dựng mô hình hành vi qua nhiều năm, tháng hoặc ngày.

Trình xem này là một biểu đồ thanh tương tác hiển thị hoạt động hệ thống như ngày tháng tạo tập tin, lịch sử trình duyệt web, cookies, hồ sơ USB và MRU,…

Chi tiết của khoảng thời gian trên Timeline Viewer có thể được điều chỉnh từ năm cho tới tháng tới ngày bằng cách click vào thanh tương ứng trong trình xem. Khi di chuyển con trỏ qua dòng thời gian, bạn có thể xem số lượng tất cả các sự kiện trong khoảng thời gian đó.

Thumbnail View

Thumbnail View khá hữu ích khi tìm kiếm tập tin media, cho phép bạn nhanh chóng duyệt tìm thông qua hình ảnh thu nhỏ và thay đổi kích cỡ của nó bằng cách điều chỉnh thanh biên.

Tìm kiếm trong tập tin

OSForensics cung cấp cho bạn Wrensoft Zoom Search Engine - một trong những cách thức nhanh nhất và mạnh mẽ nhất để tìm kiếm bên trong nội dung của tất cả tập tin có trên ổ đĩa cứng.

Với khả năng tìm kiếm văn bản đã được index của hàng trăm định dạng tập tin, OSForensics cung cấp:

  • Kết quả tìm kiếm được sắp xếp theo sự tương ứng.
  • Phân loại ngày tháng và tìm kiếm phạm vi ngày tháng.
  • Tìm kiếm ký tự.
  • Ghép cụm chuẩn xác.
  • Kết quả ngữ cảnh “dạng Google”.
  • Điểm nổi bật.
  • Tìm kiếm loại trừ.

Định dạng tập tin

OSForensics có thể index nội dung của nhiều định dạng tập tin khác nhau bao gồm DOC, PDF, PPT, XLS, RTF, WPD, SWF, DJVU, JPG, GIF, PNG, TIFF, MP3, DWF, DOCX, PPTX, XLSX, MHT, ZIP,…

Ngoài ra, chương trình còn có chức năng phân tích tập tin để xác định dạng tập tin của chúng nếu thiếu phần mở rộng tập tin.

Tìm kiếm email

OSForensics cho phép bạn thực hiện tìm kiếm văn bản bên trong các lưu trữ email được sử dụng bởi nhiều chương trình email phổ biến như Microsoft Outlook, Mozilla Thunderbird, Outlook Express,…

Lập chỉ mục

Bước đầu tiên để có thể tìm kiếm email là tạo ra chỉ mục của lưu trữ. Việc này có thể tốn khá nhiều thời gian nhưng sẽ cho phép tìm kiếm lặp lại nhanh hơn sau này. Một máy tính hoạt động trung bình có thể lập chỉ mục khoảng 10000 email kích thước vừa phải trong vòng 2 phút.

Dạng tập tin email được hỗ trợ

  • .pst (Outlook);
  • .mbox (Thunderbird, Eudora, Unix mail, and more);
  • .msg (Outlook);
  • .eml (Outlook Express);
  • .dbx (Outlook Express).

Lưu ý rằng OSForensics có thể lập chỉ mục những định dạng này mà không cần cài đặt chương trình email tương ứng. Thêm vào đó, tiến trình lập chỉ mục sẽ không chỉ giới hạn với email mà còn cho nhiều tập tin khác như tài liệu Word và PDF để cho phép tìm kiếm nội dung bên trong.

Tiêu chí tìm kiếm nâng cao

Khi chỉ mục được tạo ra, bạn có thể bắt đầu tiến trình tìm kiếm. Thông thường, chương trình sẽ thử và tìm kiếm bất cứ từ khóa cụ thể nào có trong email. Tuy nhiên, cũng có thể tìm kiếm email dựa trên trường ngày tháng, To, From hoặc CC.

Hiệu suất hoạt động

Tiến trình tìm kiếm chỉ mục có thể được thực hiện cực nhanh với khoảng 20000 email chỉ trong vòng 1 giây. Hơn nữa, bạn còn có thể thực hiện tìm kiếm lại với mục lục tương tự mà chỉ cần tạo ra 1 lần.

Xem kết quả

Khi email ưa thích được tìm thấy, nó có thể được mở và xem trực tiếp bên trong OSForensics thông qua trình xem mail tích hợp mà không cần tải chương trình mail tương ứng.

Khôi phục tập tin đã xóa

OSForensics cho phép bạn khôi phục và tìm kiếm các tập tin đã xóa, thậm chí ngay sau khi chúng bị xóa khỏi Recycle Bin. Việc này giúp bạn xem lại những tập tin mà người sử dụng đang cố gắng hủy bỏ.

Mỗi tập tin đã xóa tìm thấy sẽ được hiển thị với bộ chỉ thị chất lượng tương ứng giữa 0 – 100. Giá trị lên tới 100 có nghĩa là tập tin đã xóa phần lớn còn nguyên vẹn, chỉ có một vài cụm dữ liệu bị thiếu.

Xem cụm tập tin đã xóa

OSForensics còn cung cấp trình xem đồ họa đối với sự phân bố của những cụm tập tin đã xóa trên ổ đĩa vật lý. Bảng này hiển thị thông tin phân đoạn của tập tin đã xóa. Đối với kích thước nhỏ hơn, tập tin đã xóa có thể nằm trong MFT (chỉ NTFS).

Bản đồ hiển thị địa điểm của các phân đoạn với ổ đĩa vật lý chứa chúng một cách trực quan.

Khám phá hoạt động gần đây

OSForensics quét hệ thống của bạn để tìm ra chứng cứ của hoạt động gần đây chẳng hạn như trang web đã truy cập, ổ USB, mạng không dây, download, đăng nhập trang web và mật khẩu trang web. Việc này đặc biệt hữu ích khi xác định các xu thế và mô hình của người sử dụng và bất cứ tài liệu hay tài khoản nào mà đã được truy cập gần đây.

Hoạt động trình duyệt web

OSForensics giúp bạn khám phá hoạt động trình duyệt web từ người sử dụng như lịch sử duyệt tìm, cookies và username đã lưu trữ từ các trình duyệt web. Sau đó, chương trình hiển thị những mục có thể được truy xuất từ những trình duyệt web thường được sử dụng nhờ vào module Recent Activity của nó.

Thiết bị USB được kết nối

OSForensics có thể hiển thị chi tiết của các thiết bị USB được kết nối với máy tính gần đây, cung cấp thông tin về ngày tháng kết nối cuối cùng và thông tin thiết bị như Manufacturer Name, Product ID và Serial Number. Những thiết bị được hỗ trợ bao gồm USB Flash Drives (UFDs), Portable Hard Disk Drives và thiết bị kết nối USB ngoài như ổ DVD-ROM.

Thu thập thông tin hệ thống

Module System Information hiển thị thông tin chi tiết về các thành phần trung tâm của hệ thống bao gồm nhưng không giới hạn tới:

  • CPU, bảng mạch chính và bộ nhớ.
  • BIOS.
  • Card video/thiết bị hiển thị.
  • Bộ điều khiển và thiết bị USB.
  • Cổng (nối tiếp/song song).
  • Bộ điều hợp mạng.
  • Ổ quang và ổ vật lý.

Giải mã và khôi phục mật khẩu

Username và mật khẩu trình duyệt web

Với OSForensics, bạn có thể khôi phục mật khẩu trình duyệt từ Internet Explorer, Firefox và Chrome. Việc này có thể được thực hiện trên máy tính đang chạy hoặc từ bản sao ổ đĩa cứng. Dữ liệu khôi phục bao gồm URL của trang web (thường là HTTPS), username đăng nhập, mật khẩu của trang, trình duyệt sử dụng để truy cập trang và username của Windows. URL đã blackist cũng được báo cáo, chỉ ra rằng người sử dụng đã truy cập trang web nhưng không lưu trữ mật khẩu trong trình duyệt.

Giải mã và khôi phục mật khẩu cho tài liệu văn phòng

OSForensics hỗ trợ 2 phương thức để truy cập vào tài liệu văn phòng đã mã hóa:

  • Phương pháp thứ nhất dành cho tài liệu cũ hơn sử dụng mã hóa 40 bit (tập tin XLS, DOC và PDF cũ). Đối với những tài liệu này, chương trình sẽ thử tất cả các key có thể để giải mã chúng và xuất ra tập tin không mã hóa.
  • Phương pháp thứ 2 hiện đang được nghiên cứu và phát triển để cung cấp khả năng giải mã cao cấp hơn.

Chữ ký ổ đĩa

Tạo chữ ký

Việc tạo chữ ký là tạo ra ảnh chụp màn hình của cấu trúc thư mục của ổ đĩa vào thời điểm tạo. Thông tin này bao gồm dữ liệu về đường dẫn thư mục, kích thước và thuộc tính tập tin. OSForensics có thể được cài đặt để bao gồm hoặc ngoại trừ thư mục và ổ khác nhau khi tạo ra chữ ký ổ, hoặc thậm chí tính toán SHA1 hash cho từng tập tin trên hệ thống

Phân tích chữ ký

OSForensics có thể so sánh các chữ ký mới với chữ ký đã được tạo trước đó, cho phép bạn xác định nhanh chóng sự thay đổi đối với tập tin hay cấu trúc thư mục. Việc so sánh 2 chữ ký sẽ đưa ra bản tóm lược tất cả sự khác biệt tập tin, mà có thể được phân loại theo tên tập tin, dạng khác biệt, thuộc tính tập tin, SHA1 hash,… Trình xem tóm lược còn có thể được lọc để chỉ hiển thị tập tin đã được thay đổi, mới hoặc xóa. Toàn bộ các kết quả so sánh có thể được dễ dàng xuất ra ổ cục bộ của bạn để sử dụng sau.

Quản lý case (quản lý các trường hợp truy cập trái phép)

Case cho phép bạn tổng hợp và sắp xếp các kết quả và mục case từ những chức năng khám phá và xác minh khác của OSForensics, chẳng hạn như File Search, File Mismatch Search, Recent Activity, Deleted Files,… Khi tập tin case đã được tạo hoặc mở, các thư mục case như danh sách và tập tin có thể được mở hoặc xóa trực tiếp bởi người kiểm tra để truy cập nhanh chóng.

Trình xem thuộc tính thư mục case còn cho phép bạn chỉnh sửa tiêu đề và ghi chú mà bạn đã tạo ra trước đây cho từng thư mục.

Tạo báo cáo case

Báo cáo case cung cấp bản tóm lược của tất cả các kết quả và thư mục bạn đã làm việc trong định dạng HTML có thể truy cập. Thư mục case được sắp xếp trong danh sách và tập tin có thể được phân loại trong trình duyệt web theo tiêu đề (ví dụ: Item Title, Originating OSForensics Module, Export Filename và Investigator Notes). Có thể tìm kiếm chi tiết thêm trên mỗi thư mục case bằng cách click vào từng tiêu đề.

Mặc dù OSForensics được thiết kế với 5 template báo cáo có sẵn, bạn vẫn có thể tùy chỉnh template sao cho phù hợp với nhu cầu cá nhân.

Xây dựng lại RAID

OSForensics có thể xây dựng lại hình ảnh RAID từ tập hợp các hình ảnh ổ đĩa vật lý thuộc vào dãy RAID. Các cấp độ RAID được hỗ trợ bao gồm: RAID 0, RAID 1, RAID 3, RAID 4, RAID 5, RAID 0+1, RAID 1+0.

Khi biết các thông số RAID, bạn có thể sử dụng chúng để xây dựng lại hình ảnh logic RAID.

Yêu cầu hệ thống:

  • RAM: 1 GB trở lên (khuyên dùng 4 GB trở lên).
  • Ổ đĩa cứng trống: 30 MB, hoặc chạy từ ổ USB.

Đặng Hương

download.com.vn