闪电下载吧 最新软件 免费软件 绿色软件

网络资源 软件专题

您的位置:闪电下载吧_绿色免费软件下载网站 > 工具软件 > PassMark OSForensics Professional 7.0 Build 10006破解版 安装激活教程

PassMark OSForensics Professional 7.0 Build 10006破解版 安装激活教程

  • 软件大小:未知
  • 更新日期:2019-08-13
  • 官方网站:闪电下载吧
  • 软件等级:★★★☆☆
  • 运行环境:Winxp/Win7/Win8/Win10
PassMark OSForensics Professional 7.0 Build 10006破解版 安装激活教程
  • 软件说明
  • 软件截图
  • 下载地址
  • 相关软件
  • 用户评论
  • 投诉建议: 858898909@qq.com
PassMark OSForensics破解版是一款功能强大的综合计算机取证工具,用于搜索,收集,分析和恢复可用作法庭法律证据的数字工件。这款工具的目的旨在帮助用户轻松发现、识别和管理计算机系统和数字存储设备中的数字证据。并通过简单易用的模块化界面简化了分析实时系统和存储介质上的大量数据的任务。 这些模块包括文件名搜索模块,其可以在几秒内通过文件名识别证据材料,以及更复杂的模块,例如删除文件搜索模块,用于识别难以定位的数字证据工件。有效地减少了分析实时系统和存储介质上的大量数据的任务。 OSForensics包括可以在几秒钟内识别证据材料的工具(例如搜索特定文件名),以及更复杂的工具(例如在已删除文件中查找有罪数据),以识别难以定位的数字证据工件。功能非常强大,本次小编带来最新破解版,含破解补丁,一键完成破解,有需要的朋友不要错过了!

安装破解教程

1、在本站下载并解压,如图所示,得到osf.exe安装程序和OSForensics v6.1.1005-patch.exe破解补丁

2、双击
osf.exe运行,勾选我接受协议,点击next

3、选择软件安装路径,点击next

4、安装完成,点击finish退出向导

5、将破解补丁复制到安装目录中,运行,点击patch按钮并等待完成即可

功能特色

1、案例管理
该模块用于将来自所有其他模块的结果汇总到一个位置,一个案例,允许以后对整个结果进行分析并报告结果。
2、自动分诊
Triaging为调查员提供了一种自动启动常见取证任务的简单方法,以便在有限的时间范围内快速获取最相关的证据数据。即使对于非法医学培训的人员来说,此功能对于现场获取可能具有潜在波动性或危险性的情报也很有用。
3、文件名搜索
该模块允许通过其文件名搜索文件/目录。
4、索引
索引允许在文件内容中进行全文搜索。还能够在电子邮件存档中搜索并从未分配的磁盘扇区中提取文本。
5、近期活动
该模块允许调查员扫描系统以获取最近活动的证据,例如访问过的网站,USB驱动器,无线网络和最近的下载。
6、删除文件搜索
搜索并恢复最近从硬盘驱动器中删除的文件。
7、不匹配搜索
查找文件扩展名与文件内容不同的文件。例如。 .jpeg文件重命名为.txt文件。
8、内存查看器
内存查看器允许调查员收集和分析易失性存储器中的数字证据。由于存储器的非持久性,一些数字证据可能仅在实时系统上可用。
9、预取查看器
Prefetch查看器显示操作系统的Prefetcher存储的信息,其中包括运行应用程序的时间和频率。
10、原始磁盘查看器
原始磁盘查看器显示磁盘的原始扇区内容。可以使用该模块识别和分析隐藏在文件系统外部扇区中的数据。
11、Registry Viewer
注册表查看器允许在OSForensics中打开和查看Windows注册表配置单元,包括可以锁定/使用文件的实时系统。
12、文件系统浏览器
文件系统浏览器以分层方式显示添加到案例的所有设备,类似于Windows资源管理器。与Explorer不同,将显示特定于取证分析的其他信息。
13、SQLite数据库浏览器
SQLite数据库浏览器以有组织的方式显示SQLite数据库文件的内容,便于导航和搜索。
14、网页浏览器
Web浏览器提供具有取证功能的基本Web查看器。这包括保存网页的屏幕截图并将其添加到当前打开的案例的功能。
15、密码
从各种来源恢复和解密密码。
16、系统信息
可以查看和导出有关系统核心组件的详细信息。
17、验证/创建哈希
创建文件或整个硬盘的哈希值(SHA1,MD5,CRC32)
18、哈希集
哈希集是一种快速识别已知安全或已知可疑文件的工具,以减少进一步耗时分析的需要。
19、签名
签名是系统在不同时间点的目录结构的快照。可以比较签名以识别已添加,删除和更改的文件。
20、驱动器准备
驱动器准备允许在连接到系统的固定和可移动驱动器上执行字节模式验证测试。
21、法医成
将磁盘的逐位副本保存到映像文件中。将映像文件还原回磁盘。创建感兴趣的文件/目录的逻辑映像。
22、内部查看器
内部文件查看器允许从OSForensics中预览最常见的文件格式,而无需打开外部应用程序。
23、Email Viewer
电子邮件查看器提供了一个简单的界面,用于浏览和分析具有取证功能的电子邮件。
24、缩略图缓存查看器
缩略图缓存查看器提取存储在Windows缩略图缓存文件中的缩略图图像以供查看。缩略图缓存文件可能包含已在系统上删除的图像的证据。
25、ESE数据库查看器
ESE数据库查看器显示ESE数据库文件中包含的表和记录。各种Microsoft应用程序(包括Windows搜索和Microsoft Exchange Server)以ESE数据库文件格式存储具有潜在取证值的数据。
26、$ UsnJrnl Viewer
$ UsnJrnl查看器解析并显示存储在NTFS $ UsnJrnl卷更改日志中的日志记录。此信息对于识别文件系统或$ MFT中不再存在的可疑文件(例如,恶意软件)非常有用。
27、Plist查看器
查看Plist(属性列表)文件的内容,OSX和iOS通常使用这些文件来存储设置和属性。
28、Android工件
此模块允许调查员扫描Android案例设备和备份以获取最近活动的证据,例如访问的呼叫日志,网站,消息和联系人。

使用帮助

一、免费的OSF助手工具
OSForensics有许多免费的帮助工具,用于执行主应用程序范围之外的任务。这些可以在这个页面找到。
http://www.osforensics.com/tools/index.html
1、OSFClone
OSFClone是一种免费的自启动解决方案,使您能够快速创建或克隆精确的原始磁盘映像,而不依赖于已安装的操作系统。创建或克隆磁盘映像后,可以在使用PassMark OSForensics进行分析之前使用PassMark OSFMount挂载映像。
OSFClone创建磁盘的取证映像,保留原始硬盘中任何未使用的扇区,松弛空间,文件碎片和未删除的文件记录。启动到OSFClone并创建FAT,NTFS和USB连接驱动器的磁盘克隆! OSFClone可以从CD / DVD驱动器或USB闪存驱动器启动。
通过使用OSFClone比较克隆和源驱动器之间的MD5或SHA1哈希,验证磁盘克隆是否与源驱动器相同。创建映像后,您可以选择压缩新创建的映像,从而节省磁盘空间。
2、OSFMount
OSFMount与OSForensics捆绑在一起,因此无需单独下载。它可以通过带有OSF的侧边菜单启动。
OSFMount允许您在Windows中使用驱动器号装入本地磁盘映像文件(磁盘分区的逐位副本)。然后,您可以使用已安装卷的驱动器号,使用PassMark OSForensics™分析磁盘映像文件。默认情况下,图像文件以只读方式挂载,以便不更改原始图像文件。
OSFMount还支持创建RAM磁盘,基本上是安装在RAM中的磁盘。与使用硬盘相比,这通常具有很大的速度优势。因此,这对于需要高速磁盘访问的应用程序,例如数据库应用程序,游戏(例如游戏缓存文件)和浏览器(缓存文件)是有用的。第二个好处是安全性,因为磁盘内容不存储在物理硬盘上(而是存储在RAM中),并且在系统关闭时磁盘内容不是持久的。
3、ImageUSB
ImageUSB是一个免费的实用程序,它允许您同时将图像写入多个USB闪存驱动器。 ImageUSB能够创建USB闪存盘(UFD)的精确位级副本,是UFD大规模复制的极其有效的工具。 ImageUSB还可用于将OSFClone安装到USB驱动器以与PassMark OSForensics™一起使用。
与其他USB复制工具不同,ImageUSB可以在克隆过程中保留所有未使用和松弛的空间,包括主引导记录(MBR)。 ImageUSB可以对所有UFD图像执行完美的大量复制,包括可启动的UFD。
二、检查系统页面文件
页面文件是Windows用于临时从主内存中临时卸载数据的特殊系统文件。 即使在系统关闭后,此文件也可以包含部分易失性数据。
使用内置在文件查看器中的OSForensics,可以检查和搜索此文件以查找感兴趣的数据字符串。 但是,无法查看活动系统的页面文件来执行此操作,目标驱动器必须安装在非活动状态。 (即Windows当前没有从此驱动器运行)
查看页面文件。 从OSF起始页面选择“内部文件查看器”并浏览到pagefile.sys的位置,该位置通常位于Windows安装到的驱动器的根目录中。 页面文件可能已移动到另一个驱动器或由用户完全删除,因此这并不总是如此。
三、
OSForensics代码签名
OSForensics受整个可执行文件的签名保护,以防止篡改。 对可执行文件的任何修改都将删除此签名。 这有助于确保实时采集中目标计算机上的恶意应用程序无法修改OSForensics以隐藏内容。
右键单击OSForensics安装目录中的osf.exe,选择属性并转到“数字签名”选项卡,即可查看此签名。
如果此选项卡不存在,或者签名不是来自“PassMark Software Pty Ltd”,则可执行文件已被篡改。
四、日期和时间
OSForensics中的所有日期和时间信息都在内部存储为UTC。 从外部源读入的任何日期时间信息都不会转换为UTC。
显示此信息时,时间将转换为当前打开的案例中指定的时区。 默认情况下,这是本地时区,如果没有打开大小写,则还使用本地时区。 创建新案例或更改现有案例的属性时,可以修改案例时区。
显示时间的格式由当前系统的区域设置指定。 如果要更改日期/时间显示格式,可以转到Windows控制面板中的“区域和语言”设置。

五、常用表达
在浏览搜索索引时过滤显示的结果时使用Perl兼容的正则表达式(PCRE)。已经预定义了几个正则表达式以便快速使用,但您也可以在列表下方的编辑中键入自己的正则表达式。目前搜索不区分大小写,因此“TEST”将返回与“test”相同的结果。
例如,要搜索包含单词“test”的任何条目,请从过滤器下拉列表中选择“自定义”选项,键入“test”,然后单击“搜索”按钮。要仅查找以“test”开头的条目,请使用“^ test”,“^”字符用于表示模式匹配必须从找到的单词的开头开始。
要搜索其中一个特殊字符(例如$ ^。),您需要使用“\”转义字符,例如“\ .com”。有关使用的格式和特殊字符的更多信息,请参阅Perl正则表达式帮助页面。
下拉列表中提供了几个预配置的正则表达式,这些正则表达式位于OSForensics程序数据目录(ProgramData \ PassMark \ OSForensics)的“RegularExpressions.txt”文件中。这些已经从各种来源收集并尽可能简单,同时仍然返回相当准确的结果,请注意这些在所有情况下都不会100%准确。
RegularExpressions.txt每个正则表达式需要2行,第一个是表达式的名称(用于在下拉选择字段中显示),然后是下一行的PCRE表达式,例如默认的前两行档案是;

American Express
3\d{3}(\s|-)?\d{6}(\s|-)?\d{5}

更新日志

V6.1 build 1005 2018年11月28日
Android工件
 - 修正了错误列出呼叫类型的错误(例如传入,未接等等)
 - 合并/清理联系人列表。具有相同RawContactId的联系人被合并到一个列表中(以前每个电子邮件,每个电话等有一个条目)
 - 将OSFExtract Android App更新至V1.0.1002
文件名搜索
 - 修复了在没有启用任何文件详细信息列的情况下搜索过程中可能发生的崩溃
杂项
 - 在自定义列配置文件中添加了一些健全性检查,保存/重新加载可防止隐藏所有列的情况
 - 更新了Android Artifact和OSFExtract Android App的帮助文件。
PassMark OSForensics Professional.rar
本类排行
关于本站 - 网站帮助 - 广告合作 - 下载声明 - 友情连接 - 网站地图 - 网站标签-香港服务器 -群英
有任何意见或者建议请联系邮箱:858898909[at]qq.com 本站部分内容收集于互联网,如果有侵权内容、不妥之处,请联系我们删除。敬请谅解!
Copyright © 2012 SDBETA.com. All Rights Reserved 豫ICP备12021367号 豫公网安备 41019702002546号闪电下载吧