PassMark OSForensics Pro

PassMark OSForensics Pro(数据恢复工具)是一款能够快速地找到电脑中隐藏的东西，快速地查找索引文件，恢复已删除文件，并鉴别可疑的文件，数字签名等。结果将会组织并生成报告文件的数据恢复软件。 

【基本简介】

　　PassMark  OSForensics Pro是一个强大的快速文件识别与分析工具，允许你通过Hash值来校验文件的安全性，通过对比即可得知文件是否完整，或是被病毒感染。

　　OSForensics允许您使用散列匹配、驱动器签名比较、电子邮件、内存和二进制数据来识别可疑文件和活动。它让您从计算机中快速提取法医证据与先进的文件搜索和索引，并使这些数据能够有效地管理。

【安装步骤】

　　1、下载PassMark OSForensics Pro官方版的压缩包，解压后，双击exe文件，进入安装界面，查看软件许可协议，点击i  accept the agreement，点击next

　　2、设置软件安装位置，点击browse可以自由设置，建议大家选择安装在D盘，然后点击next

　　3、选择开始菜单文件夹，默认即可，点击next

　　4、选择附加任务，默认即可，点击next

　　5、软件安装准备完毕，点击install

　　6、PassMark OSForensics Pro官方版正在安装，我们耐心等待

　　7、查看软件信息，点击next

　　8、点击finish结束安装

【功能介绍】

　　- 能够引导一个图像作为一个虚拟机从OSForensics。

　　- 添加系统资源使用监视(SRUM)数据库扫描，用于收集用户活动。

　　- OCR(光学字符识别)允许您搜索pdf文件中的文本。

　　- 新的内置哈希集:键盘记录器，点对点(P2P)软件，加密货币。

　　- 支持导入项目VIC散列集。

【使用方法】

　　自动分类

　　第一步、启动自动分类

　　打开PassMark OSForensics Pro并单击位于开始屏幕上的“自动分类”图标。您还可以从工作流中单击“自动分类”模块，如下所示。

　　第二步、查看默认设置

　　将出现“自动分类”窗口。在启动扫描之前，请检查设置并对默认设置进行任何必要的更改。

　　第三步、开始扫描

　　确认案例文件夹位置、驱动器和扫描选项正确后，只需单击“开始扫描”按钮即可启动自动分类扫描。

　　第四步、评审结果

　　您将在“状态”栏下实时查看每个扫描的状态。当所有扫描显示“已完成”时，该过程完成。若要查看结果，只需单击超链接即可查看主OSForensics界面中的数据。

　　第五步、选择其他操作

　　除了生成新报告外，用户还可以在初始扫描后执行其他操作。这些附加操作可以在下图中看到。

　　第六步、新扫描

　　关闭“自动分类”窗口不会重置/删除结果。只有关闭OSForensics应用程序或运行辅助扫描才能执行此操作。但是，这不会影响任何生成的报告。如果您需要在同一个驱动器上或不同的驱动器上执行附加扫描，您只需选择如下所示的“新扫描”按钮，然后重复步骤2-5。

【软件特色】

　　在文件中搜索

　　如果基本文件搜索功能是不够的，OSForensics还可以创建索引的文件在硬盘上。这使得快如闪电的搜索文本文件内所载。技术Wrensoft广受好评的缩放搜索引擎背后的技术。

　　搜索邮件

　　- 能够搜索文件内的一个附加功能是能够搜索电子邮件归档。索引过程中可以打开和阅读最流行的电子邮件格式的文件(PST)，并确定个人信息。

　　- 这允许一个快速的系统上发现的任何电子邮件的文本内容搜索

　　恢复已删除的文件

　　文件已被删除后，甚至一度扔进回收站，它往往仍然存在，直到另一个新的文件在硬盘驱动器取代它的位置。  OSForensics可以追踪到这个的ghost文件数据，并试图将其恢复到可用状态的硬盘驱动器上。

　　揭开近期活动

　　- OSForensics可以发现最近在系统上执行的用户操作，包括但不限于：

　　- 打开的文档

　　- 网页浏览历史

　　- 连接USB设备

　　- 连接网络共享

　　收集系统信息

　　-硬件系统上运行的详细信息：

　　- CPU的类型和数量的CPU

　　- RAM的数量和类型

　　- 已安装的硬盘驱动器

　　- 连接USB设备

　　- 等等。

　　查看活动的记忆体

　　- 看看什么是目前的系统主内存直接。尝试发现密码和其他敏感信息，否则将无法访问。

　　- 选择检测系统的活动进程的列表。 OSF也可以其内存转储到磁盘上的文件，以备后查。

　　提取的登录名和密码

　　恢复从最近访问过的网站的用户名和密码，在常见的网页浏览器，包括IE浏览器，火狐，Chrome浏览器和Opera。

【软件特征】

更快发现取证证据，更快地

查找文件，按文件名，大小和时间进行

搜索，使用Zoom搜索引擎在文件内容中进行

搜索通过Outlook，ThunderBird，Mozilla等的电子邮件归档进行

搜索恢复和搜索已删除的文件

揭示网站访问，下载和更新的近期活动登录

收集详细的系统信息

从Web浏览器中恢复密码，解密Office文档

发现并显示硬盘中的隐藏区域

浏览Volume Shadow副本以查看文件的先前版本

识别可疑文件和活动

验证并匹配带有MD5，SHA-1和SHA-256哈希的

文件，查找内容与扩展名不匹配的名称错误的文件

创建并比较驱动器签名以识别差异

时间线查看器提供了系统活动的直观表示时间

可以显示流，十六进制，文本，图像和元数据的文件

查看器可以直接从存档

注册表查看器显示消息的电子邮件查看器，可以轻松访问Windows注册表配置单元文件

文件系统浏览器，用于在浏览器上像浏览器一样浏览受支持的文件系统物理驱动器，卷和映像

原始磁盘查看器可浏览和搜索物理驱动器，卷和映像上的原始磁盘字节

Web浏览器浏览和捕获在线内容以进行脱机证据管理

ThumbCache查看器浏览Windows缩略图缓存数据库以获取图像/文件的证据，这些图像/文件可能曾经存在于系统

SQLite数据库浏览器中，以查看和分析SQLite数据库文件

ESEDB查看器以查看和分析ESE DB(.edb)数据库文件的内容，ESE DB(.edb)数据库文件是各种Microsoft应用程序使用的一种通用存储格式

。Prefetch查看器可以识别系统上正在运行的应用程序的时间和频率，并由此由O / S的Prefetcher

Plist查看器可查看MacOS，OSX和iOS通常用于存储设置的Plist文件的内容

$ UsnJrnl查看器查看存储在USN Journal中的条目，NTFS使用该条目跟踪卷的更改

管理数字调查

案例管理使您能够汇总和组织结果和案例项目

HTML案例报告提供了与案例相关联的所有结果和项目的摘要

集中管理存储设备，以方便地访问所有OSForensics的功能

驱动器映像创建/恢复存储设备的精确副本

从单个磁盘映像重建RAID阵列

在USB闪存驱动器上安装OSForensics，以实现更大的可移植性

维护调查过程中进行的确切活动的安全日志

【常见问题】

　　为什么我在PassMark OSForensics Pro官方版中看不到网络驱动器?

　　在Windows  Vista和更高版本上，存在与用户访问控制(UAC)和映射网络驱动器相关的问题。当以提升的管理员身份运行时，映射的网络驱动器不可见，这正是OSForensics大多数时间运行的内容。

　　对于大多数操作，您应该能够简单地浏览到网络驱动器指向的位置并以这种方式访问文件。

　　有一个可用的解决方案，使网络驱动器可用于提升的管理员，并通过扩展可用于OSForensics。

　　单击“开始”，在“开始搜索”框中键入regedit，然后按ENTER键。

　　找到以下注册表子项，然后右键单击：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem公司

　　指向“新建”，然后单击“DWORD值”。

　　键入EnableLinkedConnections，然后按回车键。

　　右键单击“启用链接连接”，然后单击“修改”。

　　在“值数据”框中，键入1，然后单击“确定”。

　　退出注册表编辑器，然后重新启动计算机。

【专业版】

和可引导版本OSForensics的专业版和可引导版本具有许多免费版本中未提供的功能，包括：

散列集的导入和导出

可自定义的系统信息收集

对通过OSForensics管理的案件数量没有限制。

一次操作即可恢复多个已删除的文件

列出并搜索备用文件流

按颜色排序图像文件

磁盘索引和搜索不限于固定文件数

Web上没有水印

解密文件的多核加速

可定制系统信息收集

查看NTFS目录$ I30条目以识别潜在的隐藏/删除的文件

【更新日志】

　　1、修复上个版本的bug

　　2、优化部分功能

【软件对比】

　　Hasleo BitLocker Data Recovery是款紧凑型占据内存不是很大的数据恢复工具。Hasleo BitLocker Data  Recovery可以从已删除已格式化的硬盘中恢复你所需要的文件，而且重点是它支持加密驱动器的恢复。Hasleo BitLocker Data  Recovery还可以有效地从格式化的、不可访问的、失败的、损坏的BitLocker加密驱动器中恢复丢失的数据，兼容硬盘、U盘、SD卡等存储设备。

　　AceThinker Disk Recovery是一款磁盘恢复软件。AceThinker Disk  Recovery允许恢复丢失或删除的照片、视频、音频、文档、存档和各种格式的电子邮件。