OSForensics是一款功能豐富的取證管理軟件，可以將案件信息保存到這款軟件，將案件相關(guān)的磁盤數(shù)據(jù)保存到軟件，以后可以隨時(shí)在這款軟件調(diào)取數(shù)字案件信息，啟動(dòng)軟件就可以創(chuàng)建新的案件，隨后將取證的信息添加到案件保存，可以選擇將其他電腦提取的證據(jù)信息保存為鏡像文件，電腦C盤D盤都可以保存為鏡像，方便在軟件上管理多臺(tái)電腦的取證信息，也可以在軟件掛載鏡像直接瀏覽分區(qū)的數(shù)據(jù)，無(wú)論是管理數(shù)字證據(jù)還是提取案件證據(jù)都是非常方便的，需要就下載吧。

軟件功能

　　一、案件管理

　　自動(dòng)分類、創(chuàng)建案件、管理案件、生成報(bào)告、查看案件日志、添加設(shè)備、管理設(shè)備、USB Write Block:Disabled

　　二、文件搜索與索引

　　文件名搜索、不匹配文件搜索、創(chuàng)建索引、搜索索引（文件內(nèi)容)、文件系統(tǒng)瀏覽器

　　三、散列與文件識(shí)別

　　散列集、創(chuàng)建散列集、驗(yàn)證哈希值、簽名、分析卷影副本

　　四、查看工具

　　文件和Hex查看器、內(nèi)存查看器、原始磁盤查看器、注冊(cè)表查看器、事件查看器、服務(wù)器日志查看器、JSON查看器

　　五、其他數(shù)據(jù)瀏覽

　　Email查看器、剪貼板查看器、ThumbCache查看器、ESE數(shù)據(jù)庫(kù)查看器、$UsnJrnl查看器、Plist查看器、地圖查看器

　　六、系統(tǒng)痕跡與密碼

　　刪除文件搜索與數(shù)據(jù)雕刻、用戶活動(dòng)掃描、收集系統(tǒng)信息、密碼和密鑰掃描、解密文件、加密證書、安卓痕跡、程序痕跡

　　七、管家

　　重建RAID磁盤、創(chuàng)建磁盤鏡像、創(chuàng)建邏輯鏡像、導(dǎo)出云盤、導(dǎo)出云郵件、掛載磁盤鏡像、啟動(dòng)虛擬機(jī)、腳本播放器、網(wǎng)頁(yè)瀏覽器

軟件特色

　　哈希集的導(dǎo)入和導(dǎo)出

　　可定制的系統(tǒng)信息收集

　　通過(guò) OSForensics 管理的案例數(shù)量沒(méi)有限制

　　在一次操作中恢復(fù)多個(gè)已刪除的文件

　　列出和搜索備用文件流

　　按顏色對(duì)圖像文件進(jìn)行排序

　　磁盤索引和搜索不限于固定數(shù)量的文件

　　Web 捕獲上無(wú)水印

　　文件解密的多核加速

　　可定制的系統(tǒng)信息收集

　　查看 NTFS 目錄 $I 30 條目以識(shí)別潛在的隱藏/刪除文件

　　內(nèi)存查看器和轉(zhuǎn)儲(chǔ)程序 - 內(nèi)核模式獲取以繞過(guò)反轉(zhuǎn)儲(chǔ)工具

使用方法

　　1、將OSForensics界面如圖所示，可以在軟件左側(cè)查看多個(gè)功能，可以自動(dòng)分類，可以創(chuàng)建案件

　　2、基本案件：案件名稱、Case Type、調(diào)查員、組織、聯(lián)系方式、時(shí)區(qū)、顯示日期格式

　　3、添加設(shè)備，直接在軟件添加需要保存的分區(qū)，也可以添加鏡像文件

　　4、文件系統(tǒng)瀏覽器，可以在軟件快速打開(kāi)設(shè)備查看里面的數(shù)據(jù)，也可以查看鏡像文件

　　5、創(chuàng)建磁盤鏡像文件，將您的分區(qū)添加到軟件就可以制作新的鏡像

　　6、鏡像恢復(fù)功能，可以直接將磁盤鏡像添加到軟件，選擇恢復(fù)的一個(gè)分區(qū)

　　7、創(chuàng)建邏輯鏡像，添加一個(gè)邏輯分區(qū)，在軟件設(shè)置保存地址

　　8、創(chuàng)建新的虛擬機(jī)：鏡像文件、檢測(cè)到的O/S、虛擬機(jī)監(jiān)控程序、虛擬機(jī)路徑、虛擬機(jī)CPU內(nèi)核

　　9、內(nèi)存查看功能，在軟件查看當(dāng)前的內(nèi)存數(shù)據(jù)，顯示進(jìn)程信息，句柄，內(nèi)存空間

　　10、靜態(tài)分析

　　添加內(nèi)存鏡像到案件

　　使用Volatility Workbench打開(kāi)內(nèi)存鏡像

　　使用OSF文件查看器提取&查看字符串

官方教程

　　原始磁盤查看器

　　原始磁盤查看器模塊允許用戶分析添加到機(jī)箱中的所有設(shè)備的原始扇區(qū)，以及連接到系統(tǒng)的所有物理磁盤和分區(qū)（包括已安裝的映像）。此模塊提供了對(duì)驅(qū)動(dòng)器進(jìn)行更深入檢查的能力，可以查看存儲(chǔ)在文件系統(tǒng)文件和目錄中的數(shù)據(jù)之外的內(nèi)容。如果懷疑感興趣的信息隱藏在驅(qū)動(dòng)器的原始扇區(qū)內(nèi)，則可能需要執(zhí)行此級(jí)別的分析，這些扇區(qū)通常無(wú)法通過(guò)正常的操作系統(tǒng)機(jī)制（例如空閑集群、文件空閑空間）訪問(wèn)。

　　要查看驅(qū)動(dòng)器的原始扇區(qū)，用戶可以從要掃描的設(shè)備下拉框中選擇設(shè)備。

　　如果在磁盤上找到恢復(fù)的分區(qū)，也可以選擇。

　　配置。。。

　　打開(kāi)一個(gè)對(duì)話框以配置查看器的顯示設(shè)置。

　　排列方式-調(diào)整查看器上字節(jié)的分組方式（分別為1、2、4、8個(gè)字節(jié)）。

　　范圍限制-配置當(dāng)前所選驅(qū)動(dòng)器上可見(jiàn)的最小和最大扇區(qū)

　　自動(dòng)突出顯示-切換感興趣字節(jié)的自動(dòng)突出顯示

　　文件頭

　　?圖形文件-gif、jpg、png、bmp

　　?存檔文件-zip

　　?文檔文件-pdf、rtf

　　?網(wǎng)絡(luò)文檔-html

　　文件系統(tǒng)對(duì)象

　　?可用空間-分區(qū)中未分配的簇

　　?系統(tǒng)文件-磁盤/分區(qū)內(nèi)部用于記賬/管理目的的字節(jié)（例如MBR、MFT）

　　?空閑空間-文件或卷未使用的分配空間

　　?文件-文件占用的字節(jié)數(shù)

　　?目錄-目錄用于存儲(chǔ)索引信息的字節(jié)

　　?備用流-文件備用流占用的字節(jié)（僅限NTFS）

　　操作/右鍵菜單

　　雕刻選擇。。。

　　將所選字節(jié)保存到文件中。如果未進(jìn)行選擇，則保存當(dāng)前集群。

　　將選擇雕刻到案例中。。。

　　將所選字節(jié)保存到文件中，然后添加到案例中。

　　使用內(nèi)部查看器查看所選內(nèi)容。。。

　　在OSForensics查看器中查看所選字節(jié)。如果未進(jìn)行選擇，則查看當(dāng)前集群。

　　從所選內(nèi)容創(chuàng)建標(biāo)記。。。

　　使用選定的偏移范圍創(chuàng)建標(biāo)記。如果未進(jìn)行選擇，則會(huì)顯示一個(gè)對(duì)話框，提示用戶創(chuàng)建標(biāo)記。

　　管理標(biāo)簽

　　打開(kāi)標(biāo)簽窗口以管理驅(qū)動(dòng)器上的標(biāo)簽

　　搜索。。。

　　打開(kāi)搜索窗口，查找驅(qū)動(dòng)器上的十六進(jìn)制/文本模式

　　跳到。。。

　　允許用戶跳轉(zhuǎn)到原始磁盤上的特定位置

　　偏移量-跳轉(zhuǎn)到指定的字節(jié)、扇區(qū)或邏輯簇號(hào)（LCN）偏移量。

　　From-指定在選擇字節(jié)或扇區(qū)偏移量時(shí)從哪里（磁盤的開(kāi)始、當(dāng)前位置或磁盤的結(jié)束）跳轉(zhuǎn)。負(fù)值（例如12月為-4096，或十六進(jìn)制為-1F84）將從當(dāng)前的“跳轉(zhuǎn)”選項(xiàng)向后跳轉(zhuǎn)。

　　分區(qū)-（僅限物理磁盤）跳轉(zhuǎn)到指定分區(qū)的開(kāi)頭

　　文件-（僅限有效的文件系統(tǒng)）跳轉(zhuǎn)到分區(qū)上指定文件的起始集群

　　文件記錄-（僅限有效文件系統(tǒng)）跳轉(zhuǎn)到分區(qū)上指定文件的文件記錄結(jié)構(gòu)（例如NTFS文件系統(tǒng)的MFT記錄）

　　搜索窗口

　　原始磁盤查看器搜索窗口允許用戶在當(dāng)前設(shè)備的原始扇區(qū)上執(zhí)行搜索。搜索從設(shè)備的第一個(gè)可視扇區(qū)開(kāi)始順序執(zhí)行，結(jié)果在搜索結(jié)果表中即時(shí)更新。

　　搜索模式

　　要在驅(qū)動(dòng)器上查找的搜索字符串

　　搜索選項(xiàng)

　　十六進(jìn)制

　　在驅(qū)動(dòng)器上搜索特定的十六進(jìn)制模式。十六進(jìn)制模式必須以字節(jié)為增量，并且只能包含有效的十六進(jìn)制字符（0-9，a-f）。

　　文本

　　在驅(qū)動(dòng)器上搜索指定的文本字符串

　　ASCII-如果選中，則以ASCII搜索文本模式

　　UTF-8-如果選中，則以UTF-8搜索文本模式

　　Unicode-如果選中，則以Unicode搜索文本模式

　　匹配大小寫-如果選中，搜索將區(qū)分大小寫

　　通配符（？）-如果選中，則為“？”在搜索模式中，將匹配任何單個(gè)字符。通配符不能與正則表達(dá)式結(jié)合使用。

　　正則表達(dá)式-如果選中，則搜索模式應(yīng)被解釋為正則表達(dá)式。正則表達(dá)式模式可以由用戶指定或從預(yù)設(shè)表達(dá)式列表中選擇。正則表達(dá)式不能與通配符結(jié)合使用。有關(guān)語(yǔ)法信息和示例，請(qǐng)參見(jiàn)正則表達(dá)式。

　　搜索結(jié)果

　?。▽?shí)時(shí)）顯示在驅(qū)動(dòng)器上找到的搜索模式的所有實(shí)例。雙擊結(jié)果將在原始磁盤查看器中突出顯示匹配的字節(jié)。匹配字符串的最大長(zhǎng)度為256個(gè)字符。

　　字節(jié)偏移量-起始字節(jié)偏移量

　　上下文-發(fā)現(xiàn)模式的上下文（前后10個(gè)字符）

　　編碼-十六進(jìn)制、ASCII、UTF8或Unicode之一

　　扇區(qū)-起始邏輯扇區(qū)

　　分區(qū)-所選驅(qū)動(dòng)器上的分區(qū)號(hào)

　　LCN-起始邏輯群集號(hào)

　　文件-（僅分區(qū)）找到的模式所屬的文件。請(qǐng)注意，此信息不適用于物理磁盤。

　　對(duì)象類型-包含找到的模式的分配空間的任何特定屬性。（例如，文件、目錄、可用空間、空閑空間）

　　自動(dòng)分類

　　法醫(yī)分診是在有限的時(shí)間內(nèi)從系統(tǒng)中獲取最相關(guān)證據(jù)數(shù)據(jù)的過(guò)程。對(duì)于在時(shí)間緊迫的情況下需要收集取證數(shù)據(jù)的取證知識(shí)有限的現(xiàn)場(chǎng)人員來(lái)說(shuō)尤其如此。這種做法對(duì)非法醫(yī)培訓(xùn)人員、急救人員、負(fù)責(zé)在現(xiàn)場(chǎng)獲取情報(bào)的軍事人員非常有用，特別是在潛在的動(dòng)蕩局勢(shì)中（例如對(duì)進(jìn)行家訪的緩刑和假釋官員）。通過(guò)在現(xiàn)場(chǎng)收集和優(yōu)先處理最有價(jià)值的證據(jù)，現(xiàn)場(chǎng)人員不需要提交大量數(shù)據(jù)進(jìn)行調(diào)查，因此可以快速專注于特定的興趣領(lǐng)域（例如，緩刑官的互聯(lián)網(wǎng)和申請(qǐng)歷史）。

　　通過(guò)單擊工作流或開(kāi)始窗口中的自動(dòng)分類，可以啟動(dòng)取證分類過(guò)程。完成此操作后，將顯示以下配置對(duì)話框，允許研究人員自定義分型過(guò)程。

　　默認(rèn)情況下，分診掃描預(yù)先配置了最常見(jiàn)的設(shè)置，以允許調(diào)查員創(chuàng)建新病例并立即啟動(dòng)證據(jù)收集。但是，調(diào)查員可以通過(guò)單擊（Config…）鏈接將文件配置為保存到邏輯映像。

更新日志

　　V11.0 build 1015 2024 年 10 月 29 日

　　文件查看器

　　文件信息，將 LCN 更改為稀疏片段顯示 “” 而不是 “-1”

　　用戶活動(dòng)

　　修復(fù)了 Cookie 掃描期間可能發(fā)生的崩潰問(wèn)題

　　雜項(xiàng)

　　將 VolatilityWorkbench 更新到 v3.0.1009

　　V11.0 build 1014 2024 年 10 月 3 日

　　文件查看器

　　在映像中打開(kāi)加密文件時(shí)，如果無(wú)法解密文件的臨時(shí)副本，則回退到使用直接訪問(wèn)

　　雜項(xiàng)

　　修復(fù)了嘗試從 USB 啟動(dòng)時(shí) OSF 崩潰的問(wèn)題

　　V11.0 build 1013 2024 年 9 月 24 日

　　文件查看器

　　修復(fù)了打開(kāi)文件時(shí)某些計(jì)算機(jī)上可能發(fā)生的崩潰

　　V11.0 build 1012 20 年 2024 月 20 日

　　創(chuàng)建磁盤映像

　　在使用壓縮時(shí)，E01 和 Ex01 磁盤映像速度得到了進(jìn)一步改進(jìn)。與 build 1010 相比，這可以帶來(lái) 7 倍的性能提升（取決于硬件和設(shè)置）。5 小時(shí)的成像工作現(xiàn)在可能需要 40 分鐘??！

　　修復(fù)了在創(chuàng)建 E01/Ex01 圖像時(shí)未更新的“正在準(zhǔn)備復(fù)制”狀態(tài)的問(wèn)題

　　修復(fù)了當(dāng)壓縮設(shè)置為 None 時(shí)顯示壓縮速度的問(wèn)題

　　修復(fù)了無(wú)法將 # 線程設(shè)置為最大值 32 的問(wèn)題

　　修復(fù)了在編輯成像設(shè)置時(shí)偶爾出現(xiàn)不正確的圖像格式和選項(xiàng)變灰的問(wèn)題

　　將默認(rèn)線程數(shù)更改為 dymanic，以根據(jù)使用的硬件優(yōu)化性能

　　當(dāng) # 線程數(shù)大于 16 或 CPU 內(nèi)核數(shù)時(shí)顯示警告消息

　　將默認(rèn)壓縮級(jí)別設(shè)置為 'Medium'。這樣做是因?yàn)橹械葔嚎s現(xiàn)在比以前快得多，并且現(xiàn)在是投注的默認(rèn)選項(xiàng)。

　　在 “Options” 列下的 Create Disk Image 中顯示壓縮級(jí)別和 # 個(gè)線程