7、BEC更具成本效益。该产品以比竞争对手更低的价格提供了更多功能。它不仅可以在购买时节省您的钱,而且还可以帮助您节省成本低廉的续订费用。此外,我们免费的证据阅读器使您可以完全免费地与同事共享部分工作,从而为您节省了更多!
软件功能
1、移动和计算机采集。该产品使您可以从计算机,笔记本电脑或移动设备获取数据。硬盘和可移动驱动器通过可选的哈希计算和验证被获取为DD和E01格式。对于运行iOS的移动设备,在某些情况下或设备越狱时,BEC会获取iTunes备份和完整的文件系统副本;对于Android设备,有多种格式:标准的ADB或基于代理的备份,EDL以及用于根设备的物理备份。
2、移动和计算机设备考试。Belkasoft证据中心支持所有主要的台式机和移动操作系统,适用于移动和计算机取证。它可以解析实际和逻辑驱动器和驱动器映像,虚拟机,移动设备备份,UFED和OFB映像,JTAG和碎片转储。
3、全面的智能分析。该产品可以完全自动在设备上无处不在,并且可以成功识别1000多种数字工件。便捷的证据搜索功能有助于使用过滤器,预定义的搜索或其他选项来缩小发现范围。
4、强大的雕刻。数据雕刻使您能够找到已被删除,破坏或从未存储在硬盘驱动器上的证据(页面文件,休眠文件,RAM内容)。还支持自定义雕刻,包括对Scalpel和FTK集的支持。此外,还可以使用称为BelkaCarving™的高级雕刻模式,从而可以将零碎的块重构为连续的信息,否则这些信息将根本无法访问。
5、本机SQLite解析。恢复损坏和不完整的SQLite数据库,恢复删除的记录和清除的历史记录文件。处理空闲列表,预写日志和日记文件以及SQLite未分配空间。
6、实时RAM分析。证据中心可以从易失性内存中提取潜在的重要信息,例如:私密浏览和清除的浏览器历史记录,在线聊天和社交网络,云服务使用历史记录等等。Belkasoft Live RAM Capturer是用于创建内存转储的强大工具,它是免费的。
7、远程采集。远程采集模块允许您从远程位置执行各种数据源的采集。可用的数据源类型包括硬盘驱动器或可移动驱动器,RAM内存和移动设备。
借助安装在远程设备(例如计算机或便携式计算机)上的代理程序来执行获取。
8、事故调查。事件调查模块旨在帮助用户调查基于Windows的计算机的黑客攻击尝试。通过分析注册表,事件日志和内存转储等众多来源,它可以找到痕迹,这些痕迹是黑客用来渗透公司基础结构的各种技巧所特有的。
9、跨案例搜索。跨案例搜索模块允许您查找当前调查的案例与其他BEC案例之间的交集。将当前案例中找到的信息与所选旧案例中找到的信息进行比较,并将报告所有匹配项。
10、方便的内置工具。PList,注册表和SQLite查看器使您可以更彻底地处理特定类型的数据,并找到比自动搜索所能发现的更多证据。
低级调查。Belkasoft证据中心配备了文件系统资源管理器,十六进制查看器和类型转换器,可让您对设备上文件和文件夹的内容进行深入检查。
可通过BelkaScript扩展。免费的脚本模块允许用户编写自己的自定义脚本,以使某些例程自动化并进一步扩展产品的功能。
日志:
Belkasoft证据中心2020版本9.9中的新增功能
有关新功能的更多信息
移动取证
-大大改进了GrayKey图像分析并加快了速度
-无需越狱即可在iOS采集方面进行更多改进-改进了
基于ADB的Android设备采集
- 改进了基于Agent的Android设备采集
-支持或更新了Android应用
。Android OneDrive支持更新至v。5.40.4
。支持Android Google文档
。Android Google Maps进行了改进
。支持Android Google翻译
-支持或更新了iOS应用
。iOS Yahoo Mail应用程序得到了改进
。改进了iOS Evernote应用程序的文本提取
。现在可以正确提取iOS Evernote的附件
。分析iTunes备份时从Facebook个人资料中提取的联系人
。支持iOS Hangouts Messenger(包括地理位置数据提取)
计算机取证
-显着提高了雕刻性能-大大改进了
基于Zip的数据源分析
-不再将雕刻数据存储在数据库中,这也将为每种情况节省大量空间
-病毒固定的总分析
-改进了Windows的Puffin浏览器
分析
- 继续改进了LNK文件分析-显着改善了LNK雕刻和雕刻LNK文件的分析
-改进了LNK工件的报告
-提取了Mail 163 Windows应用程序邮箱的文件夹名称
-Windows OneDrive应用支持已更新
-修复了为密码暴力破解创建密钥字典时的问题
- 已修复了针对跳转列表和LNK文件显示十六进制的问题
-已针对文档修复了“具有嵌入式文件”的不正确过滤条件修复了
事件调查
-清除了OpenSavePdl工件
-针对计划任务工件修复了作者字段提取
-更好
地显示了预取文件,Shim缓存和Windows Power Shell工件-填充了预取文件的原始路径
-将来为计划任务工件提取了数据-已修复
-支持Windows RDP相关事件日志分析
远程获取
-通过GPO进行了部署。现在有三种部署类型:本地(使用Thumbdrive或网络共享),通过WMI,通过GPO
-当服务器和代理使用不同版本的
SQLite Viewer时,改进了远程代理的稳定性
-刻印的SQLite未分配数据现在始终显示在SQLite Viewer的相应页面上(以前在某些情况下为空白)
-SQLite加载可以更快地在不同版本之间切换工件列表
-已修复从SQLite Viewer创建报表的问题
-正确地在每个SQLite表的底部显示了WAL记录的计数
其他改进
-Windows Google Drive数据提取得到了改进。现在显示了Google云端硬盘工件的偏移量。十六进制现在可以正确地突出显示它们
-改进了面部,皮肤等的视频关键帧分析
-改进了Windows上OneDrive工件的长度提取
-修复了Google云端硬盘和Gmail云下载的Google同意页
-呈现关键帧时概述中图片的计数不正确-修复
-概述中的视频不适用于“复制文件”选项-修复了
-用BEC的先前版本未显示在“搜索结果”选项卡上-已修复
使用帮助
一、创建一个新案例
提示:您可以在https://belkasoft.com/tutorials上观看我们的简短视频教程,以快速使用该工具。
您必须先创建案例,然后才能分析设备或转储。
为此,请运行产品并转到“仪表板”窗口。 在此窗口的顶部,有一个按钮“新案例”。 单击此按钮并填写新的案例属性,例如案例名称,根文件夹,调查员,时区和说明。
通过单击底部的“创建并打开”按钮来完成案例创建。
1、向案例添加数据源
创建案例后,BEC会立即要求您添加设备或转储进行分析。 您可以选择各种类型的映像和转储,甚至是实时驱动器。 稍后将说明各种类型的数据源。