OSForensics

Обзор OSForensics

OSForensics — мощный, комплексный пакет для максимально глубокой и тщательной компьютерной экспертизы. Возможности бандла достаточно обширны и разнообразны: так, с помощью OSForensics можно анализировать и искать всевозможную информацию в операционной системе, детально изучать и исследовать следы предварительной активности пользователя за ПК, обнаруживать и восстанавливать утерянные файлы, осуществлять взлом паролей с помощью радужных таблиц и dictionary-атак, а также выполнять другую сопутствующую активность. Вдобавок, утилита отслеживает подключения внешних USB-накопителей, сетевых адаптеров, способна управлять WiFi-паролями, а также получать доступ к браузерной активности клиентского ПК. Еще одно весомое достоинство инструментария OSForensics — это извлечение содержимого скрытых DCO и HPA областей накопителя, которые могут быть задействованы для хранения вредоносного или нелегального контента, запрещенного к распространению.

Основные функции OSForensics

• развернутый поиск сохраненных паролей, несоответствия типов данных, удаленных файловых объектов, следов веб-активности. Данные можно искать, используя персонализированный движок релевантного ранжирования, фильтр по дате, точное соответствие указанной фразы, или “Google-подобные” контекстные результаты (в частности, с указанием маски или дополнительных ключей)
• тщательное изучение данных, доступных в выбранном почтовом клиенте (поддерживаются Mozilla, Thunderbird, Outlook и др.), документах Acrobat и Office, ZIP-архивах, вложениях, почте, графических ресурсах (с применением технологии OCR),а также в нераспределенных кластерах дискового раздела и бинарных файлах
• восстановление информации, случайно удаленной из корзины ранее или уничтоженной намеренно
• просмотрщик шкалы времени OSForensics, где доступно наглядное визуальное представление файловой и системной активности пользователя в недавнем времени. В свою очередь, такой подход поможет определить диапазоны дат, в течение которых наблюдалась пользовательская деятельность, или построить паттерн поведения целевой фокус-группы за последние дни, месяцы или годы
• поддержка виртуальных образов с последующей их загрузкой при запуске OSForensics. Тулкит совместим лишь с виртуальным эмулятором Oracle VM VirtualBox, образы VMware Workstation не поддерживаются
• наличие полновесного редактора реестра с интегрированным механизмом экспорта выбранного ключа/значения в текстовый файл в качестве резервной копии. Более того, также доступен экспорт отчетов реестра в HTML-файл
• live-анализ системных процессов с индикацией процентного соотношения загрузки RAM и CPU, а также дампом физической памяти.

Недостатки OSForensics

• дистрибуция набора осуществляется на коммерческой, проприетарной основе. Тем не менее, новым пользователям предоставляется 30-дневный триальный период, в течении которого можно досконально изучить все функциональные средства и компоненты дистрибутива и в полной мере сформировать свое впечатление о продукте.