passmark osforensics Pro(数据恢复软件)

　　passmark osforensicss Pro是一款功能强大的数据恢复软件，其提供了自动分类、文件名搜索、索引编制、用户活动、不匹配的文件搜索、内存查看器、原始磁盘查看器、文件系统浏览器、SQLite数据库浏览器、网页浏览器、系统信息、验证创建哈希、引导虚拟机、注册表查看器、事件日志查看器、邮件浏览器、剪贴板查看器、缩略图缓存查看器、ESE数据库查看器等多种强大的功能，可以帮助您检索与查看各类数据，并允许快速从磁盘中恢复丢失的文件，有需要的朋友赶紧下载体验吧！

软件功能

　　查找文件，按文件名、大小和时间搜索

　　使用缩放搜索引擎在文件内容中搜索

　　搜索来自Outlook，ThunderBird，Mozilla等的电子邮件存档

　　恢复和搜索已删除的文件

　　发现网站访问，下载和登录的近期活动

　　收集详细的系统信息

　　从网络浏览器恢复密码，解密办公文件

　　发现并显示硬盘中的隐藏区域

　　浏览Volume Shadow副本以查看文件的过去版本

软件特色

　　扫描整台计算机并检索可疑文件

　　OSForensics是一个应用程序，通过检查电子邮件存档，已删除文件甚至网络浏览历史记录中的任何内容，您可以使您彻底检查并扫描计算机以查找可能为您提供洞察力的任何证据。另外，您可以通过创建单独的案例来组织证据，这些案例可以使数据彼此分开。

　　如果您要处理加密文件，该实用程序可以使用流行的SHA-256或MD5哈希来验证和匹配文件，以检查其签名是否匹配。而且，几乎可以访问硬盘和操作系统的任何区域，包括注册表，卷影副本，甚至是缓存。

　　生成大量报告并重建RAID阵列

　　由于调查往往会积累大量的信息，因此很难对它进行跟踪和分类，特别是如果您同时处理多个案件。在这种情况下，您可以利用应用程序的报告生成器功能，该功能使您可以将数据合成为更易于访问的块，并查看每个块的总体进度。

　　该实用程序还提供了一些稍微高级的功能，可用于恢复特定类型的数据，例如RAID阵列或SQL数据库文件。此外，您可以确定目标计算机上安装的各种其他应用程序的运行频率，以及查看操作系统的预取器记录的信息。

安装方法

　　1、下载并解压软件，双击安装程序进入许可协议，勾选【I accept the agreement】的选项，然后进入下一步的安装。

　　2、选择安装文件夹，可以选择默认的C:\Program Files\OSForensics。

　　3、选择开始菜单文件夹，用户可以选择默认的OSForensics。

　　4、选择附加任务，勾选Create a desktop icon创建桌面快捷图标的选项。

　　5、准备安装，点击【install】开始进行安装。

　　6、弹出如下的OSForensics安装成功的提示，单击【finish】完成安装。

　　7、打开补丁文件夹，将其中的补丁文件复制到软件的安装目录，默认路径为CC:\Program Files\OSForensics。

　　8、弹出如下的目标包含同名文件的提示，选择【替换目标中的文件】。

使用说明

　　创建索引

　　创建索引可以使调查人员在整个驱动器或驱动器的整个部分中执行基于内容的快速搜索。此过程涉及扫描硬盘驱动器上文件和电子邮件的内容，然后构造找到的单词的索引。

　　提示：为大型数据建立索引时，强烈建议使用64位OSForensics。

　　如果您在索引编制不正确或出现很多错误方面遇到问题，请参阅此页面以获取常见原因和解决方案。

　　索引编制过程以向导形式出现。

　　步骤1：选择要索引的文件类型

　　在此步骤中，您必须选择要索引的文件类型。您可以在一组预定义的文件类型之间进行选择，也可以从以前保存的配置中加载。通常，选择的文件类型越多，索引编制过程将花费更长的时间和更多的资源消耗。

　　电子信箱

　　扫描磁盘上找到的电子邮件文件。支持.pst，.ost，.msg，.eml，.mbox，.mbx，.dbx和.msf文件。

　　附件

　　扫描电子邮件中找到的所有附件文档。

　　Office + PDF文件

　　扫描Microsoft Office文档，OpenOffice文档和PDF文件。支持.doc，.dot，.ppt，.pps，.pot，.xls，.xlt，.docx，.pptx，.xlsx，.dotx，.pdf，.odt，.sxw，.ods和.odp。

　　ZIP和压缩档案

　　扫描ZIP存档的内容，查找与其他所选类型匹配的文件。因此，您应该选择其他文件类型以及此选项，因为zip文件仅仅是容器，它们本身并没有包含很多有趣的信息。支持的其他压缩归档文件包括：.zipx，.tar.gz，.tar，.tgz，.taz，.rar，.arj，.dmg，.iso，.chm，.bz2，.lzo和.7z

　　图片

　　扫描图像文件以获取元数据信息。支持.jpg，.gif，.tiff，.png和.bmp。

　　纯文本文件

　　扫描纯文本文件和RTF文档。

　　网络文件+ XML

　　扫描HTML网页和脚本，包括.html，.htm，.shtml，.shtm，.xml，.xhtml，.php，.asp，.aspx，.cfm，.js，.pl，.cgi和.swf文件。

　　所有其他受支持的文件类型

　　扫描索引过程支持的所有其他受支持的文件类型。这包括以下文件类型：.nfo，.dat，.wpd，.mp3，.dwf，.torrent，.mht，.avi，.wmv，.mpg，.mpeg，.rmv，.rmvb，.flv 、. mov，.qt，.exe，.dgn，.wma，.tar，.gz，.cab，.rar，.psd，.qbb

　　未知文件

　　扫描其扩展名无法确定或根本没有扩展名的文件。索引过程将尝试识别正在处理的文件类型。由于将扫描大量文件，因此该选项可能会稍微增加索引时间。

　　系统休眠和分页文件

　　扫描系统休眠文件（hiberfile.sys）和系统页面文件（pagefile.sys）。文本字符串将从这些系统文件中提取，这些文件通常很大。该选项将显着增加索引时间和索引数据。我们建议这些文件使用单独的索引。

　　步骤2：位置和进阶选项

　　在此步骤中，您将指定OSForensics将在其中扫描要索引的文件的起始目录。单击“添加”按钮以指定要添加到列表中的开始位置：

　　您可以指定整个驱动器或特定目录（例如“我的文档”文件夹）进行索引。对于整个驱动器，您还可以选择扫描驱动器的未分配群集。但是，这将大大增加索引时间和资源需求。未分配群集的索引可用于所有受支持的文件系统。

　　如果选择索引未分配的群集，则在未分配的群集中找到的数据将忽略所选的文件类型。从某种意义上说，未分配的群集中没有文件。在未分配的群集中找到的所有数据将被视为相同。字符串被提取并添加到索引中。例如，即使未分配群集中的数据片段曾经是.doc文件的一部分，也仍然无法像Word文档那样进行处理。仅字符串提取完成。

　　高级设置（可选）

　　在步骤2上，您还可以配置高级索引设置，例如文件扩展名，跳过文件/文件夹，语言，先验搜索等。单击“编辑”按钮以配置这些设置组中的每组。

　　步骤3：内存优化/索引限制

　　为了更有效地索引文件，OSForensics需要知道大约文件数量和将要扫描的最大文件大小。如果不知道，可以选择“不知道”，它将对位置和文件进行初步扫描，以确定索引过程的适当限制。要设置自定义限制，请选择“自定义”，然后单击“编辑”以弹出一个对话框，以指定限制。

　　为了进一步减少索引时间，请选中“使用RAM驱动器”以创建一个临时RAM驱动器，索引器应将其用作读取和写入文件的工作空间。

　　步骤4：案例详细信息

　　在此步骤中，您将需要输入要将此索引添加到案例中的详细信息。如果没有打开案例，将提示您创建/打开一个案例，然后再进行下一步。此步骤允许您为要存储在案例中的索引指定标题和注释。

　　步骤5：建立索引

　　现在正在创建索引。根据选择的选项，此过程可能需要很长时间。要在执行索引编制时实时查看日志，请单击“打开日志...”以打开如下所示的日志窗口。

　　可以根据消息类型过滤日志条目。

　　在索引编制过程结束时，如果没有发生严重错误，您现在可以通过搜索索引模块针对索引进行搜索。

新版功能

　　自动分类/用户活动：

　　修复了使用实时获取选项运行用户活动（或自动分类）时可能发生的崩溃

　　删除的文件：

　　NTFS，读取$ ATTRIBUTE_LIST现在使用动态大小的缓冲区，而不是固定大小的缓冲区。这可以解决扫描MFT时的缓冲区溢出问题

　　NTFS，在扫描$ MFT属性时添加了更多详细输出

　　创建索引：

　　修复了多线程索引和从系统二进制文件和非系统二进制文件提取文本时的崩溃错误

　　找回密码：

　　添加了一个对话框，允许在尝试在作为包含多个分区的整个磁盘安装的磁盘映像上运行时选择单个分区

　　修复了恢复密码时可能发生的潜在崩溃（主要影响Chrome密码）

　　注册表查看器：

　　进行了一些更改以更好地处理装入的磁盘映像，因为整个磁盘包含多个分区，现在将扫描多个分区以查找已知的注册表文件

　　用户活动：

　　添加了一个对话框，允许在尝试在作为包含多个分区的整个磁盘安装的磁盘映像上运行用户活动时选择单个分区

　　AmCache查看器：

　　改进读取amcache配置单元的性能

　　创建/比较SSignature：

　　添加了对SHA-256哈希的支持。这需要更改签名文件格式并将签名文件版本从6-> 7递增。

　　添加支持以将以前的签名文件版本与v7签名文件进行比较

　　创建索引：

　　添加了“内存转储文件”文件类型选项

　　添加了电子邮件附件索引选项（“按文件类型索引附件”）

　　更新的索引器具有分块的大型二进制文件索引和进度指示

　　新的索引器建立了对.mem，.dmp和.mdmp的大文件支持（如果在ZIP文件中，则不支持大文件）

　　带有崩溃错误修复的新索引器版本

更新日志

　　新的事件日志查看器：

　　新查看器显示Windows事件日志文件。打开E01图像中的日志，过滤日志，将日志条目添加到案例等。

　　Android逻辑副本：

　　完成后，日志将显示通过文件扩展名复制的文件计数。

　　剪贴板查看器：

　　在调用ComBase.dll函数时添加了一些检查，检查它们是否存在，以防止在尝试收集扩展剪贴板数据时Win7中可能发生的崩溃

　　创建/搜索索引：

　　新的索引器版本增加了XFS文件系统支持

　　更新了索引器已修复的错误，该错误中包含ZIP文件的电子邮件附件的搜索结果显示在“文件”选项卡下，而不是

　　电子邮件附件：

　　在“历史记录”选项卡上添加了“将搜索结果导出到CSV”功能，该功能允许用户一次从多个搜索查询和多个索引中导出结果。

　　调试模式-（“开始”窗口）：

　　在“房间整理”下添加了“在调试模式下重启OSF”图标，以使用“ DEBUGMODE”参数集重启OSF

　　ESEDB查看器：

　　将libesedb库更新为libesedb-20181229

　　修复了非常大的ESEDB文件（4GB +）的主要性能问题。实现了大约40倍的速度改进。以前，大文件的处理速度太慢，以至于用户活动模块看起来像已被锁定。这样可以解决这个问题

　　文件系统支持：

　　添加了对Linux XFS文件系统的支持

　　逻辑成像：

　　修复了未复制从“其他可用设备”添加的根路径的错误。

　　注册表查看器：

　　添加了右键单击菜单，用于将报告导出到磁盘/案例

　　用户活动：

　　在配置“移动的下载（慢速）”中添加了一个新选项，以控制扫描驱动器上已移动的下载（Zone.Identifier流）的天气，默认情况下此功能处于关闭状态，因为这可能是一个缓慢的过程

　　获取EDGE / IE10历史记录时，ESEDB库（libesedb）替代了Jetblue API的使用

　　为注册表和浏览器过程添加了更多状态消息

　　固定SRUM DB信息的列排序

　　其他：

　　在启动时对分区的物理驱动器扫描已更新，因此OSF的启动速度应更快并且使用更少的RAM。

　　修复了磁盘分区检测代码中的错误，该错误在调试模式下运行时不是线程安全的，这可能导致启动时发生罕见的崩溃

　　帮助文件更新