passmark osforensics Pro是一款能够轻松进行数据恢复的软件。一款专业的数据恢复工具passmark osforensics Pro。它提供自动分类,文件名搜索,索引编制,用户活动,不匹配的文件搜索,内存查看器,原始磁盘查看器,文件系统浏览器,SQLite数据库浏览器,Web浏览器,系统信息,验证创建哈希,引导虚拟机,注册表查看器,事件日志查看器,邮件浏览器,剪贴板查看器,缩略图缓存查看器,ESE数据库查看器和许多其他强大的功能可以帮助您检索和查看各种Class数据,并允许从磁盘上快速恢复丢失的文件,有需要的朋友可以快速下载体验!
使用说明:
创建索引
创建索引使调查人员可以在整个驱动器或整个驱动器部分中执行基于内容的快速搜索。此过程涉及扫描硬盘驱动器上的文件和电子邮件的内容,然后构造找到的单词的索引。
提示:索引大型数据时,强烈建议使用64位OSForensics。
如果您遇到索引编制错误或有许多错误的问题,请参阅此页面以获取常见原因和解决方案。
索引编制过程显示为向导。
步骤1:选择要建立索引的文件类型
在此步骤中,您必须选择要建立索引的文件类型。您可以在一组预定义的文件类型之间进行选择,也可以从以前保存的配置中加载。通常,选择的文件类型越多,索引过程越长,并且资源消耗也更多。
电子邮件
扫描磁盘上找到的电子邮件文件。支持.pst,.ost,.msg,.eml,.mbox,.mbx,.dbx和.msf文件。
配饰
扫描电子邮件中找到的所有附件文档。
办公室
+ PDF文件
扫描Microsoft Office文档,OpenOffice文档和PDF文件。支持.doc,.dot,.ppt,.pps,.pot,.xls,.xlt,.docx,.pptx,.xlsx,.dotx,.pdf,.odt,.sxw,.ods和.odp。
ZIP和压缩文件
扫描ZIP存档的内容以查找与其他选定类型匹配的文件。因此,您应该选择其他文件类型和此选项,因为zip文件只是容器,它们本身并不包含很多有趣的信息。支持的其他压缩存档文件包括:.zipx,.tar.gz,.tar,.tgz,.taz,.rar,.arj,.dmg,.iso,.chm,.bz2,.lzo和.7z
图片
扫描图像文件以获取元数据信息。支持.jpg,.gif,.tiff,.png和.bmp。
纯文本文件
扫描纯文本文件和RTF文档。
网络文件+ XML
扫描HTML页面和脚本,包括.html,.htm,.shtml,.shtm,.xml,.xhtml,.php,.asp,.aspx,.cfm,.js,.pl,.cgi和.swf文件。
所有其他受支持的文件类型
扫描索引过程支持的所有其他受支持的文件类型。这包括以下文件类型:.nfo,.dat,.wpd,.mp3,.dwf,.torrent,.mht,.avi,.wmv,.mpg,.mpeg,.rmv,.rmvb,.flv 、. mov,.Qt,.exe,.dgn,.wma,.tar,.gz,.cab,.rar,.psd,.qbb
未知文件
扫描无法确定扩展名或根本没有扩展名的文件。索引过程将尝试识别正在处理的文件的类型。由于将扫描大量文件,因此此选项可能会稍微增加索引时间。
系统睡眠和页面文件
扫描系统休眠文件(hiberfile.sys)和系统页面文件(pagefile.sys)。文本字符串将从这些系统文件中提取,这些文件通常很大。该选项将显着增加索引时间和索引数据。我们建议为这些文件使用单独的索引。
步骤2:位置和进阶选项
在此步骤中,您将指定OSForensics将在其中扫描要建立索引的文件的起始目录。单击“添加”按钮以指定要添加到列表中的起始位置:
您可以指定整个驱动器或特定目录(例如“我的文档”文件夹)进行索引。对于整个驱动器,您还可以选择扫描未分配的驱动器群集。但是,这将大大增加索引时间和资源需求。未分配的群集索引可用于所有受支持的文件系统。
如果选择具有未分配索引的群集,则在未分配群集中找到的数据将忽略所选文件类型。从某种意义上说,未分配的群集中没有文件。在未分配的群集中找到的所有数据将被视为相同。字符串被提取并添加到索引中。例如,即使未分配群集中的数据片段曾经是.doc文件的一部分,也仍然无法像Word文档一样对其进行处理。仅字符串提取完成。
高级设置(可选)
在步骤2中,您还可以配置高级索引设置,例如文件扩展名,跳过文件/文件夹,语言,优先搜索等。单击“编辑”按钮来配置每个设置组。
步骤3:内存优化/索引限制
为了更有效地索引文件,OSForensics需要知道文件的大概数量和要扫描的最大文件大小。如果您不知道,则可以选择“不知道”,它将对位置和文件进行初步扫描,以确定索引过程的适当限制。要设置自定义限制,请选择“自定义”,然后单击“编辑”以弹出一个对话框来指定限制。
为了进一步减少索引时间,请选择“使用RAM驱动器”来创建临时RAM驱动器,索引器应将其用作读取和写入文件的工作空间。
步骤4:案例详情
在此步骤中,您将需要输入详细信息以将该索引添加到案例中。如果没有打开案例,系统将提示您创建/打开案例,然后再继续下一步。此步骤使您可以为要存储在案例中的索引指定标题和注释。
步骤5:创建索引
现在正在创建索引。根据选择的选项,此过程可能需要很长时间。要在执行索引编制时实时查看日志,请单击“打开日志...”以打开如下所示的日志窗口。
您可以根据消息类型过滤日志条目。
在索引编制过程结束时,如果没有发生严重错误,您现在可以通过搜索索引模块搜索索引。
新功能
自动分类/用户活动:
修复了使用实时获取选项运行用户活动(或自动分类)时可能发生的崩溃
删除
d文件:
NTFS,读取$ ATTRIBUTE_LIST现在使用动态大小的缓冲区,而不是固定大小的缓冲区。这样可以解决扫描MFT时缓冲区溢出的问题
NTFS,在扫描$ MFT属性时添加了更详细的输出
创建索引:
修复了多线程索引和从系统二进制文件和非系统二进制文件提取文本时的崩溃错误
恢复密码:
添加了一个对话框,该对话框允许在尝试在作为包含多个分区的整个磁盘安装的磁盘映像上运行时选择单个分区
修复了恢复密码时可能发生的潜在崩溃(主要影响Chrome密码)
注册表查看器:
进行了一些更改以更好地处理已安装的磁盘映像,因为整个磁盘包含多个分区,所以现在将在多个分区中扫描已知的注册表文件
用户活动:
添加了一个对话框,允许在尝试在作为包含多个分区的整个磁盘安装的磁盘映像上运行用户活动时选择单个分区
AmCache查看器:
提高读取amcache配置单元的性能
创建/比较SSignature:
添加了对SHA-256哈希的支持。这需要更改签名文件格式,并将签名文件版本从6增至7。
添加了支持以将以前的签名文件版本与v7签名文件进行比较
创建索引:
添加了“内存转储文件”文件类型选项
添加了电子邮件附件索引选项(“按文件类型索引附件”)
更新的索引器具有大块二进制文件索引和进度指示器
新的索引器已经建立了对.mem,.dmp和.mdmp大型文件的支持(如果在ZIP文件中,则不支持大型文件)
带有崩溃错误修复的新索引器版本
软件特色:
查找文件,按文件名,大小和时间搜索
使用缩放搜索引擎搜索文件内容
从Outlook,ThunderBird,Mozilla等搜索电子邮件存档。
恢复和搜索已删除的文件
发现网站访问,下载和登录的最新活动
收集详细的系统信息
从Web浏览器中恢复密码,解密Office文件
发现并显示硬盘中的隐藏区域
浏览Volume Shadow的副本以查看文件的过去版本
安装方式:
1.下载并解压缩软件,双击安装程序以输入许可协议,选中[我接受协议]选项,然后进入下一步安装。
2.选择安装文件夹,可以选择默认的C:\ Program Files \ OSForensics。
3.选择开始菜单文件夹,用户可以选择默认的OSForensics。
4.选择其他任务,然后选中“创建桌面图标”选项。
5.准备安装,单击[安装]开始安装。
6.弹出以下成功安装OSForensics的提示,单击[完成]以完成安装。
7.打开破解补丁文件夹,将破解补丁文件复制到软件安装目录,默认路径为CC:\ Program Files \ OSForensics。
8.弹出以下提示,目标中包含相同名称的文件,选择[替换目标中的文件]。
软件功能:
扫描整台计算机并检索可疑文件
OSForensics是一个应用程序,通过检查电子邮件存档,已删除的文件甚至网络浏览历史记录中的任何内容,您可以彻底检查并扫描计算机以查找可能为您提供洞察力的任何证据。此外,您可以通过创建将数据彼此分开的单独案例来组织证据。
如果要处理加密文件,该实用程序可以使用流行的SHA-256或MD5哈希来验证和匹配文件,以检查其签名是否匹配。而且,几乎可以访问硬盘和操作系统的任何区域,包括注册表,卷影副本甚至是缓存。
生成大量报告并重建RAID阵列
由于调查往往会积累大量信息,因此很难对其进行跟踪和分类,尤其是当您同时处理多个案件时。在这种情况下,您可以利用应用程序的报告生成器功能,该功能可将数据合成为更多可访问的块,并查看每个块的总体进度。
该实用程序还提供了一些稍微高级的功能,可用于还原特定类型的数据,例如RAID阵列或SQL数据库文件。此外,您可以确定目标计算机上安装的各种其他应用程序的运行频率,并查看由操作系统的预取器记录的信息。
