美國(guó)ADF定向取證分析軟件

產(chǎn)品概況

ADF-Triage定向取證分析軟件是在司法取證工作中，用于檢測(cè)嫌疑計(jì)算機(jī)與合理安排案件處理順序的綜合分析軟件。該軟件結(jié)合高級(jí)搜索和圖片分析功能于一體，通過(guò)識(shí)別無(wú)證據(jù)價(jià)值的計(jì)算機(jī)來(lái)減少司法檢材積壓。ADF-Triage定向取證分析軟件已經(jīng)被世界多個(gè)國(guó)家的機(jī)構(gòu)使用，并被作為司法取證的利器。對(duì)于減少司法檢材積壓，有不俗表現(xiàn)。

產(chǎn)品優(yōu)勢(shì)

操作極其簡(jiǎn)單，培訓(xùn)時(shí)間僅需1天或更短；

輕巧便攜，使用一個(gè)堅(jiān)固耐用的USB密匙即可完成部署工作；

可從計(jì)算機(jī)和電子設(shè)備上快速收集相關(guān)數(shù)據(jù)；

自動(dòng)分類(lèi)，哈希分類(lèi)，關(guān)鍵詞匹配；

智能分析，展示關(guān)聯(lián)性；

獲取的數(shù)據(jù)，可以方便地存儲(chǔ)到其它設(shè)備；

可自動(dòng)生成和整理情報(bào)報(bào)告；

可掃描關(guān)機(jī)的電腦，包括：Windows (NTFS/FAT)、Apple ( HFS+/FAT) 、 Linux (EXT);

可掃描開(kāi)機(jī)的電腦，包括獲取易失性數(shù)據(jù)(RAM鏡像)；

強(qiáng)大的啟動(dòng)能力(包括UEFI加密啟動(dòng)和Macs ),可輕松訪問(wèn)容易被刪除的內(nèi)存；

可從未分配的驅(qū)動(dòng)器空間中恢復(fù)圖像；

具備有聲模式和模式，方便司法取證的隱秘操作；

具有BitLocker全加密USB密匙。

具體功能

?數(shù)分鐘之內(nèi)就可以發(fā)現(xiàn)證據(jù)：ADF取證軟件通過(guò)四種方式來(lái)分析嫌疑硬盤(pán)，并且整合的技術(shù)，其中包括ActivitySensor™ ,可以讓用戶快速發(fā)現(xiàn)重要文件.該技術(shù)可使調(diào)查員在時(shí)間特別緊迫的現(xiàn)場(chǎng)快速瀏覽計(jì)算機(jī)；

?即時(shí)查看證據(jù)：將ADF-Triage插入嫌疑電腦之后，可以立即收集重要的信息并識(shí)別重要證據(jù)。收集的數(shù)據(jù)可以在嫌疑電腦上被即時(shí)預(yù)覽并可留作以后分析使用；

?強(qiáng)大的搜索功能：SearchPaks,使用操作步驟來(lái)獲取和實(shí)施強(qiáng)大的搜索功能。用戶可以很容易地進(jìn)行配置，以此來(lái)識(shí)別電子證據(jù)，包括檢索項(xiàng)目，哈希校驗(yàn)，鏡像分析和常規(guī)壓縮。這種搜索可以通過(guò)文件屬性，比如說(shuō)日期，文件大小等來(lái)縮小搜索范圍。ADF-Triage也可以收集大量的系統(tǒng)文件，包含網(wǎng)絡(luò)搜索和瀏覽器歷史記錄，瀏覽器地圖搜索歷史、USB歷史記錄和常用設(shè)備;

?匯總綜合報(bào)告;

?單個(gè)設(shè)備可以檢驗(yàn)Windows、 Macintosh/Linux系統(tǒng)的電腦：在現(xiàn)場(chǎng)時(shí)，對(duì)于檢驗(yàn)人員來(lái)說(shuō)，有一個(gè)簡(jiǎn)單的工具可以從多種設(shè)備和系統(tǒng)中提取數(shù)據(jù)特別重要。ADF-Triage就很好地實(shí)現(xiàn)了這一點(diǎn)，并且可以支持多種操作平臺(tái)的電腦 , 例如,Windows. Macintosh 和Linux ;

?用一個(gè)許可證可同時(shí)檢驗(yàn)多部電腦,大大縮短調(diào)查成本：ADF-Triage使用的是一個(gè)基于USB的軟件許可證和一個(gè)通用的USB收集工具。這樣一來(lái)，用戶就可以設(shè)置通用USB收集設(shè)備并且利用一個(gè)簡(jiǎn)單的ADF許可證在多部計(jì)算機(jī)上進(jìn)行即時(shí)掃描；

?可在正在運(yùn)行的Windows系統(tǒng)的計(jì)算機(jī)上進(jìn)行即時(shí)分析,來(lái)獲取易失證據(jù)：有時(shí)候調(diào)查時(shí)不能關(guān)閉計(jì)算機(jī)，以防止丟失重要信息，他們需要在正在運(yùn)行的設(shè)備上進(jìn)行電子證據(jù)獲取。ADF-Triager允許對(duì)正在運(yùn)行Windows系統(tǒng)的計(jì)算機(jī)進(jìn)行即時(shí)分析，這樣可以大程度的減少因?yàn)殛P(guān)機(jī)而丟失珍貴情報(bào)的幾率；

?可全面配置的方式：包含收集文件時(shí)可配置的文件頭定義和未分配的空間文件雕復(fù)。這些主要特性讓取證人員對(duì)檢驗(yàn)的結(jié)果特別有信心；

?可重復(fù)利用并且可以分享取證情報(bào)：Search Paks®可加密且有訪問(wèn)權(quán)限，這樣可以便于向組織內(nèi)部或外部的取證人員進(jìn)行宣傳。檢驗(yàn)社區(qū)可主動(dòng)分享強(qiáng)大的SearchPaks功能，包括那些不雅圖片檢測(cè)，不雅關(guān)鍵字檢驗(yàn)，注冊(cè)表收集，反取證應(yīng)用程序檢測(cè)和加密應(yīng)用程序檢測(cè)；

?的圖片檢索功能可快速識(shí)別非法圖片：ADF-Triager包含的圖片配對(duì)技巧，可以繞過(guò)傳統(tǒng)的哈希值限制來(lái)識(shí)別被改變過(guò)的或者相似圖片，包括那些被刪除的文件，在圖片緩存中發(fā)現(xiàn)的文件等。該技術(shù)已經(jīng)用來(lái)幫助識(shí)別確鑿證據(jù),而不需要耗時(shí)分析所有檢材；

?取證過(guò)程防篡改，以此來(lái)確保監(jiān)管鏈：當(dāng)調(diào)查比較敏感的案例時(shí)，保證所有的必要證據(jù)都具有司法有效性非常重要，因?yàn)檫@樣才可以者。ADF-Triager提供了防篡改策略，在保證案件和所收集的資料(包括日志記錄)完整性的同時(shí)可以更快地得到結(jié)果。

經(jīng)典案例

案例一-美國(guó)聯(lián)邦調(diào)査局：利用ADF對(duì)兒童性侵案的數(shù)據(jù)進(jìn)行有針對(duì)性的司法取證檢査，快速篩選出證據(jù)硬盤(pán)內(nèi)的非法圖片和視頻，為辦案節(jié)省了寶貴時(shí)間；

案例二-美國(guó)某縣級(jí)局:利用ADF軟件，一年內(nèi)對(duì)125臺(tái)待取證電腦進(jìn)行有效分析，成功解決了數(shù)起積壓案件，有助于提高破案率；

案例三-美國(guó)邁阿密局電子物證科：積壓了 2000多個(gè)易損/無(wú)法打開(kāi)的數(shù)據(jù)存儲(chǔ)介質(zhì)，利用傳統(tǒng)的取證軟件， 容易損壞這些存儲(chǔ)介質(zhì)，且很難生成有效的檢測(cè)報(bào)告。使用ADF快速無(wú)損地進(jìn)入該類(lèi)設(shè)備進(jìn)行取證，解決了90%取證難的問(wèn)題。