OSForensics官方版下载-PassMark OSForensics软件v11.0.1007.0 官方版-100手游网

　　OSForensics是一款功能丰富的取证管理软件，可以将案件信息保存到这款软件，将案件相关的磁盘数据保存到软件，以后可以随时在这款软件调取数字案件信息，启动软件就可以创建新的案件，随后将取证的信息添加到案件保存，可以选择将其他电脑提取的证据信息保存为镜像文件，电脑C盘D盘都可以保存为镜像，方便在软件上管理多台电脑的取证信息，也可以在软件挂载镜像直接浏览分区的数据，无论是管理数字证据还是提取案件证据都是非常方便的，需要就下载吧。

软件功能

　　一、案件管理

　　自动分类、创建案件、管理案件、生成报告、查看案件日志、添加设备、管理设备、USB Write Block:Disabled

　　二、文件搜索与索引

　　文件名搜索、不匹配文件搜索、创建索引、搜索索引（文件内容)、文件系统浏览器

　　三、散列与文件识别

　　散列集、创建散列集、验证哈希值、签名、分析卷影副本

　　四、查看工具

　　文件和Hex查看器、内存查看器、原始磁盘查看器、注册表查看器、事件查看器、服务器日志查看器、JSON查看器

　　五、其他数据浏览

　　Email查看器、剪贴板查看器、ThumbCache查看器、ESE数据库查看器、$UsnJrnl查看器、Plist查看器、地图查看器

　　六、系统痕迹与密码

　　删除文件搜索与数据雕刻、用户活动扫描、收集系统信息、密码和密钥扫描、解密文件、加密证书、安卓痕迹、程序痕迹

　　七、管家

　　重建RAID磁盘、创建磁盘镜像、创建逻辑镜像、导出云盘、导出云邮件、挂载磁盘镜像、启动虚拟机、脚本播放器、网页浏览器

软件特色

　　哈希集的导入和导出

　　可定制的系统信息收集

　　通过 OSForensics 管理的案例数量没有限制

　　在一次操作中恢复多个已删除的文件

　　列出和搜索备用文件流

　　按颜色对图像文件进行排序

　　磁盘索引和搜索不限于固定数量的文件

　　Web 捕获上无水印

　　文件解密的多核加速

　　可定制的系统信息收集

　　查看 NTFS 目录 $I 30 条目以识别潜在的隐藏/删除文件

　　内存查看器和转储程序 - 内核模式获取以绕过反转储工具

使用方法

　　1、将OSForensics界面如图所示，可以在软件左侧查看多个功能，可以自动分类，可以创建案件

　　2、基本案件：案件名称、Case Type、调查员、组织、联系方式、时区、显示日期格式

　　3、添加设备，直接在软件添加需要保存的分区，也可以添加镜像文件

　　4、文件系统浏览器，可以在软件快速打开设备查看里面的数据，也可以查看镜像文件

　　5、创建磁盘镜像文件，将您的分区添加到软件就可以制作新的镜像

　　6、镜像恢复功能，可以直接将磁盘镜像添加到软件，选择恢复的一个分区

　　7、创建逻辑镜像，添加一个逻辑分区，在软件设置保存地址

　　8、创建新的虚拟机：镜像文件、检测到的O/S、虚拟机监控程序、虚拟机路径、虚拟机CPU内核

　　9、内存查看功能，在软件查看当前的内存数据，显示进程信息，句柄，内存空间

　　10、静态分析

　　添加内存镜像到案件

　　使用Volatility Workbench打开内存镜像

　　使用OSF文件查看器提取&查看字符串

官方教程

　　原始磁盘查看器

　　原始磁盘查看器模块允许用户分析添加到机箱中的所有设备的原始扇区，以及连接到系统的所有物理磁盘和分区（包括已安装的映像）。此模块提供了对驱动器进行更深入检查的能力，可以查看存储在文件系统文件和目录中的数据之外的内容。如果怀疑感兴趣的信息隐藏在驱动器的原始扇区内，则可能需要执行此级别的分析，这些扇区通常无法通过正常的操作系统机制（例如空闲集群、文件空闲空间）访问。

　　要查看驱动器的原始扇区，用户可以从要扫描的设备下拉框中选择设备。

　　如果在磁盘上找到恢复的分区，也可以选择。

　　配置。。。

　　打开一个对话框以配置查看器的显示设置。

　　排列方式-调整查看器上字节的分组方式（分别为1、2、4、8个字节）。

　　范围限制-配置当前所选驱动器上可见的最小和最大扇区

　　自动突出显示-切换感兴趣字节的自动突出显示

　　文件头

　　•图形文件-gif、jpg、png、bmp

　　•存档文件-zip

　　•文档文件-pdf、rtf

　　•网络文档-html

　　文件系统对象

　　•可用空间-分区中未分配的簇

　　•系统文件-磁盘/分区内部用于记账/管理目的的字节（例如MBR、MFT）

　　•空闲空间-文件或卷未使用的分配空间

　　•文件-文件占用的字节数

　　•备用流-文件备用流占用的字节（仅限NTFS）

　　操作/右键菜单

　　雕刻选择。。。

　　将所选字节保存到文件中。如果未进行选择，则保存当前集群。

　　将选择雕刻到案例中。。。

　　将所选字节保存到文件中，然后添加到案例中。

　　使用内部查看器查看所选内容。。。

　　在OSForensics查看器中查看所选字节。如果未进行选择，则查看当前集群。

　　从所选内容创建标记。。。

　　使用选定的偏移范围创建标记。如果未进行选择，则会显示一个对话框，提示用户创建标记。

　　管理标签

　　打开标签窗口以管理驱动器上的标签

　　搜索。。。

　　打开搜索窗口，查找驱动器上的十六进制/文本模式

　　跳到。。。

　　允许用户跳转到原始磁盘上的特定位置

　　偏移量-跳转到指定的字节、扇区或逻辑簇号（LCN）偏移量。

　　From-指定在选择字节或扇区偏移量时从哪里（磁盘的开始、当前位置或磁盘的结束）跳转。负值（例如12月为-4096，或十六进制为-1F84）将从当前的“跳转”选项向后跳转。

　　分区-（仅限物理磁盘）跳转到指定分区的开头

　　文件-（仅限有效的文件系统）跳转到分区上指定文件的起始集群

　　文件记录-（仅限有效文件系统）跳转到分区上指定文件的文件记录结构（例如NTFS文件系统的MFT记录）

　　搜索窗口

　　原始磁盘查看器搜索窗口允许用户在当前设备的原始扇区上执行搜索。搜索从设备的第一个可视扇区开始顺序执行，结果在搜索结果表中即时更新。

　　搜索模式

　　要在驱动器上查找的搜索字符串

　　搜索选项

　　十六进制

　　在驱动器上搜索特定的十六进制模式。十六进制模式必须以字节为增量，并且只能包含有效的十六进制字符（0-9，a-f）。

　　文本

　　在驱动器上搜索指定的文本字符串

　　ASCII-如果选中，则以ASCII搜索文本模式

　　UTF-8-如果选中，则以UTF-8搜索文本模式

　　Unicode-如果选中，则以Unicode搜索文本模式

　　匹配大小写-如果选中，搜索将区分大小写

　　通配符（？）-如果选中，则为“？”在搜索模式中，将匹配任何单个字符。通配符不能与正则表达式结合使用。

　　正则表达式-如果选中，则搜索模式应被解释为正则表达式。正则表达式模式可以由用户指定或从预设表达式列表中选择。正则表达式不能与通配符结合使用。有关语法信息和示例，请参见正则表达式。

　　搜索结果

　　（实时）显示在驱动器上找到的搜索模式的所有实例。双击结果将在原始磁盘查看器中突出显示匹配的字节。匹配字符串的最大长度为256个字符。

　　字节偏移量-起始字节偏移量

　　上下文-发现模式的上下文（前后10个字符）

　　编码-十六进制、ASCII、UTF8或Unicode之一

　　扇区-起始逻辑扇区

　　分区-所选驱动器上的分区号

　　LCN-起始逻辑群集号

　　文件-（仅分区）找到的模式所属的文件。请注意，此信息不适用于物理磁盘。

　　对象类型-包含找到的模式的分配空间的任何特定属性。（例如，文件、目录、可用空间、空闲空间）

　　自动分类

　　法医分诊是在有限的时间内从系统中获取最相关证据数据的过程。对于在时间紧迫的情况下需要收集取证数据的取证知识有限的现场人员来说尤其如此。这种做法对非法医培训人员、急救人员、负责在现场获取情报的军事人员非常有用，特别是在潜在的动荡局势中（例如对进行家访的缓刑和假释官员）。通过在现场收集和优先处理最有价值的证据，现场人员不需要提交大量数据进行调查，因此可以快速专注于特定的兴趣领域（例如，缓刑官的互联网和申请历史）。