计算机/移动设备/无人机/汽车/微信取证

(天津)鸿萌数据安全2026-05-19 16:29

本取证方案用于对所有类型的数字媒体设备和数据源进行深度调查,包括计算机、移动设备、内存、无人机、汽车镜像及云端。它是数字取证实验室不可或缺的分析工具。

一、核心能力

计算机取证

  • 从硬盘中提取数据,挂载并分析硬盘、磁盘镜像、虚拟机及内存(RAM)
  • 检查并分析数百种痕迹:即时通讯软件、浏览器、邮箱、文档、图片与视频、系统文件、在线游戏、支付应用及云端痕迹

移动取证

  • 解锁多种 iOS 和 Android 设备的锁屏密码
  • 通过多种获取方法(标准备份、基于代理的转储、锁定文件、checkm8、应用降级等)获取多种 iOS 和 Android 设备型号的镜像
  • 分析旧型号的黑莓和 Windows 手机
  • 检查并分析移动痕迹------通话与短信、邮箱、即时通讯应用数据(WhatsApp、Signal、Telegram、Snapchat、微信等)、社交媒体应用(Facebook、Twitter、Tinder 等)、加密货币、浏览器等
  • 挂载第三方工具镜像(UFED、GrayKey 等)、移动备份、芯片提取转储、TWRP 镜像、JTAG 转储等

云端取证

  • 从云端数据源获取并分析数据

汽车取证

  • 分析 Berla 镜像,将来自汽车的电子痕迹添加到单个案件的时间线中

无人机取证

  • 检查来自数十种支持型号的无人机的电子痕迹

二、核心分析功能

  • 关系图:揭示案件中痕迹与人员之间的关联
  • 时间线:识别特定时间段内的所有事件
  • 智能数据恢复:定位被删除、销毁或从未永久保存在硬盘上的证据(页面文件、休眠文件、内存内容)
  • 文件系统浏览器:对设备上的文件和文件夹内容进行深度检查
  • 内置查看器:包括 Plist 查看器、注册表查看器、SQLite 查看器、MFT 查看器、备用数据流查看器以及底层十六进制查看器
  • 解密:访问采用全盘加密(WDE)的设备,如 APFS、BitLocker、TrueCrypt 等
  • 自动化:简化工作流程,并在不同工作站之间并行处理任务
  • 云端镜像分析:在兼容 Amazon S3 的云中轻松共享较大的镜像文件
  • 永久许可证,而非基于期限的许可证

三、移动设备与计算机获取

本取证方案支持从计算机、笔记本电脑或移动设备中获取数据:

  • 硬盘和可移动驱动器可获取为 DD 和 E01 格式,并可选择性进行哈希计算与校验
  • iOS 设备:通过基于代理、基于 checkm8 的方法,或在设备已越狱的情况下,获取 iTunes 备份及包含钥匙串的完整文件系统副本
  • Android 设备:支持标准 ADB 或基于代理的备份、高通/联发科专用转储、已 root 设备的物理与逻辑备份、APK 降级等多种方式
  • 支持 E01/DD 镜像、越狱设备、checkm8、基于代理的获取

四、移动与计算机设备检查

本取证方案支持所有主流桌面和移动操作系统,能够解析:

  • 物理与逻辑驱动器及镜像
  • 虚拟机
  • 移动设备备份
  • UFED 和 GrayKey 镜像
  • JTAG 及芯片提取转储

可检查的痕迹类型包括:聊天应用、邮箱、图片与视频、系统文件、支付应用、云端、浏览器、文档、音频、移动应用、在线游戏、P2P 等。

五、智能全面的分析

  • 全自动检查设备上的每一个角落,成功识别数千种数字痕迹
  • 便捷的痕迹搜索、排序、添加书签和筛选功能
  • 内置工具:文件系统浏览器、SQLite 查看器、Plist 查看器、高级图片与视频分析、时间线、痕迹查看器、注册表查看器、哈希集分析、全盘加密与文件解密、关系图

六、原生 SQLite 解析

  • 恢复损坏和不完整的 SQLite 数据库
  • 还原已删除的记录及被清除的历史文件
  • 处理空闲列表、预写日志、回滚日志文件以及 SQLite 未分配空间

七、实时内存分析

  • 从易失性内存中提取关键信息,如隐私浏览记录、已清除的浏览器历史、在线聊天与社交网络内容、云服务使用历史等
  • 附赠实时内存捕获工具,用于创建内存转储

八、便捷的内置工具

  • Plist 查看器、注册表查看器、SQLite 查看器,帮助深入处理特定类型的数据,找到比自动搜索更多的证据

九、底层调查

  • 通过文件系统窗口、十六进制查看器和类型转换工具,深度检查设备中的文件和文件夹内容
  • 可自定义的文件和数据恢复(雕刻)功能:恢复已删除和隐藏的痕迹
  • 内存进程分析:查看内存转储中的活动进程和已终止进程
  • 哈希算法搜索:支持 NSRL RDSv3 和 ProjectVic 等哈希集格式

十、多格式可定制报告

支持生成多种格式的报告:文本、HTML、XML、CSV、PDF、RTF、Excel、Word、EML、KML、ProjectVIC JSON、Relativity Short Message Format、Semantics21 等。

十一、免费便携式案件查看器

附赠免费的证据查看器,以便与其他调查人员分享调查结果,无论对方是否安装本取证方案。

相关推荐
xin^_^4 个月前
2023美亚杯个人赛[计算机取证系列]
计算机取证
sysin.org2 年前
Oxygen Forensic Detective 16.0 Windows Multilingual - 一体化数字取证软件
电子取证·oxygen·计算机取证·数字取证·移动取证·forensic
蘇小沐2 年前
【网络取证篇】Windows终端无法使用ping命令解决方法
windows·网络取证·计算机取证
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03Gemini大升级、AI眼镜首发、Android XR亮相,13天后见分晓04CC-Switch & Claude 基于 Linux 服务器安装使用指南05【AI】2026 年具身智能模型和世界模型总结06Codex 手机端连接教程:三分钟搞定,附完整步骤07裂开!ChatGPT 居然开始要手机号验证,附详细解决方法08【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法09codex app每次打开重连5次Reconnecting问题解决10几个好用的ip纯净度检测网站