Belkasoft Evidence Center 2015
Компания Belkasoft сообщила о выпуске Belkasoft Evidence Center 2015 версии 7.0, своего флагманского продукта для цифровой криминалистики, По ее словам, начиная с версии 7.0, Evidence Center становится по-настоящему полным решением, криминалистическим продуктом, надёжно анализирующим улики со всех мыслимых источников данных, хранились ли они на компьютере или мобильном устройстве, образе или дампе памяти.
Что нового в Evidence Center 7.0
Belkasoft Evidence Center - отличный криминалистический продукт, который с лёгкостью находит и анализирует более 500 типов разных улик, таких как документы, почта, чаты, системные файлы и файлы реестра и так далее. Что же делает новую версию особенной? - Поддержка не только файлов и форматов, которые в компании Belkasoft заранее изучили, а вообще всех данных на устройстве подозреваемого или образе такого устройства. Это достигается с помощью новых модулей, которые дают эксперту возможность производить исследование на низком уровне.
Вот некоторые из новых возможностей в вашем арсенале:
• File System Explorer (Просмотрщик файловой системы) показывает все файлы и папки, включая удалённые и специальные.
• Hex Viewer (шестнадцатеричный просмотрщик) помогает исследователю удобным образом изучить бинарные данные, а Type Converter (конвертор типов) помогает по-разному интерпретировать их.
• Модуль скриптинга позволяет расширять Evidence Center собственными функциями.
• Просмотрщик процессов оперативной (RAM) памяти помогает извлечь и визуализировать память процессов из образа RAM.
Вновь добавленные функции делают Belkasoft Evidence Center 2015 одним из наиболее полных решений в области цифровой криминалистики.
Модуль File System Explorer
Просмотрщик файловой системы позволяет эксперту увидеть полную структуру устройства, образа диска или памяти, мобильного телефона или планшета, а также виртуальных машин. С этим модулем эксперт может проанализировать все тома и разделы, увидев существующие и удалённые файлы и папки, включая специальные, такие как, например, $OrphanFiles, $Log, $BadClus и т.п.
На этой картинке вы видите chip-off образ телефона на базе Android. Показана структура разделов и папок, в частности, вы можете видеть специальную скрытую папку $OrphanFiles.
BelkaScript
Новый движок скриптинга, который в компании назвали "BelkaScript", делает Evidence Center по-настоящему расширяемым инструментом. BelkaScript использует лёгкий для изучения упрощённый вариант языка программирования C#, так что эксперты могут быстро создать свои собственные модули расширения, дополнив существующую функциональность Evidence Center. В Belkasoft включили в инсталляцию продукта несколько примеров скриптов, что позволит вам легко написать ваш первый скрипт, немного изменив один из уже существующих. Например, один из таких скриптов - это реализация собственного восстановления файлов по методике "header-footer carving", когда задаётся сигнатура начала и конца файла для восстановления.
Скрипты пишутся на упрощённом C#. Окно редактирования скрипта позволяет отлаживать свой код с использованием точек останова, пошагового исполнения, просмотрщика значений переменных и т.д.
Шестнадцатеричный просмотрщик и конвертор типов
Шестнадцатеричный просмотрщик, Hex Viewer, даёт возможность изучать бинарные данные в том виде, как они хранятся на носителе - диске, мобильном устройстве, образе, внутри памяти процесса или образа памяти. Удобный преобразователь типов, Type Converter, позволяет инспектировать значение любой части текста, выделенной внутри просмотрщика, и показывает это значение в разных типах, таких как различные числа, времена и даты, IP-адреса и т.п.
Встроенный в продукт шестнадцатеричный просмотрщик позволяет низкоуровневый анализ файлов; удобрый конвертор типов показывает текущее выделение в разных форматах; поддержаны поиск и закладки; сохранение выделенного фрагмента в файл; продвинутое Go to, включающее перемещение по относительному смещению, и много других удобных функций.
Просмотрщик процессов оперативной памяти
Просмотрщик процессов оперативной памяти работает наподобие просмотрщика файловой системы, только вместо файлов он показывает процессы. К примеру, эксперт может изучить все процессы – работающие или "мёртвые" – внутри дампа памяти Windows 7 и исследовать, скажем, память процесса Skype.exe или AppleMobileDev с помощью побайтового анализа внутри шестнадцатеричного просмотрщика и конвертора типов.
На картинке показаны процессы из образа оперативной памяти Windows 7, как они представлены в Evidence Center. Можно заметить один "мёртвый" процесс. Пользователь может выбрать любой процесс и изучить его в окне Hex Viewer.
О продукте Evidence Center
Belkasoft Evidence Center, или, как ласково называют его российские эксперты, "белка", - один из немногих криминалистических инструментов, помогающих в анализе как компьютеров, так и мобильных устройств. В отличие от многих конкурирующих продуктов, работающих исключительно с ОС Windows, "белка" способна разгрызать также носители, используемые операционными системами Mac OS X, iOS, Linux/Unix, Android и прочии.
В дополнение к описанной выше возможности низкоуровневого анализа, продукт позволяет искать и анализировать более 500 различных криминалистически важных типов файлов и форматов: почту, документы, данные мобильных приложений, БД SQLite, реестры и системные файлы, интернет-чаты, социальные сети, картинки, видео, зашифрованные файлы и разделы и многое другое. "Белка" надёжно анализирует следующие источники данных:
- Жёсткие диски
- Образы дисков
- Резервные копии смартфонов
- Образы UFED
- Образы мобильных телефонов "chip-off"
- Образы оперативной (RAM) памяти
- Виртуальные машины (включая вложенные любого уровня вложенности)
и т.д.
Запросить БЕСПЛАТНУЮ лицензию на месяц: http://belkasoft.com/trial
Информацию о том, что ещё нового в версии 7.0, можно найти по адресу: http://belkasoft.com/bec/en/Whats_New_In_Version_7.0 (на английском)