Oxygen Forensic Detective手机取证软件
产品简介:
Oxygen Forensic Detective是一款一体式取证软件,可从多种来源提取和分析数据,如移动设备、备份、SIM卡和多媒体存储卡、云服务和无人机等,采用的前沿技术允许绕过屏幕锁定密码,定位加密备份的密码,从安全应用程序中提取数据,以及恢复删除的数据,移动设备、云和无人机提取合并在一个直观的图形用户界面中,具有丰富的分析功能,包括确定多个设备的公共位置和联系人,并在强大的时间线视图中查看所有事件。
产品特点:
高级物理提取:支持LG、摩托罗拉、三星、MTK、展讯和高通设备的高级物理提取,可绕过锁屏密码,且不需要root权限;
合并联系人:显示从各种来源获得的联系人,如标准电话簿、呼叫日志、消息和应用程序数据库,具有相同字段的联系人合并为一个元联系人,合并数据可以在取证调查的案件级别和设备级别使用;
提取计算机上的证书:KeyScout模块能够搜索和定位保存在计算机以及各种桌面Web浏览器(如Internet Explorer、Google Chrome和Mozilla)上的令牌和密码,该实用程序可从Oxygen Forensic Detective中的“工具”菜单中获得,安装到可移动媒体,并从Windows PC收集当前的,并导入云提取模块以供立即使用;
数据报告:可以将数据从任何部分导出到多种文件格式,包括:PDF、RTF、XLS、XLSX、XML和HTML,可以创建一个报告,以包含单个设备、多个设备、多个部分甚至选定的记录,报告高度可定制,可只显示任何类型的案件所需的数据,XML报告可以通过内置的XML导出规范文档集成到许多常见的分析软件平台中;
删除数据恢复:可从SQLite数据库中恢复大量已删除的证据,如联系人、消息、电话、笔记、应用程序中的用户数据,还可从Android和Windows Phone设备的物理图像中恢复照片、视频、数据库和文件,所有恢复的证据都用一个特殊的垃圾箱图标标记,以便于识别;
Android Jet Imager:与MITRE公司技术合作,为Android设备提供了最快的物理提取方法,使用Jet Imager模块,Android设备的获取速度比以前的方法快25%,16GB设备可以在5-7分钟内提取,32GB设备可以在8-10分钟内提取;
应用程序支持:显示从460多种流行的社交网络、通讯软件、网络浏览器、导航、生产效率、旅行、金融、健身、无人机和多媒体应用程序中提取和解析的用户数据,取证调查人员可以查看应用程序帐户详细信息、联系人、消息、呼叫、日志、缓存和其他相关数据,甚至加密的应用程序也会被解密并显示在这个区域中;
备份和镜像导入:导入和解析在官方设备软件、第三方程序或其他取证工具中创建的数十种设备备份和镜像,取证调查人员可以导入iTunes、ADB、Nokia备份、JTAG/ISP、Chip-off和安卓镜像、xry、UFED和完整的文件系统镜像;
事件日志:提供对电话和FaceTime呼叫以及消息和数据包的访问,取证调查人员可以应用时间过滤器只查看特定时段的呼叫,并允许将所有或选定的数据导出到PDF、RTF、XLS、XML和HTML报告;
文件浏览器:允许访问用户的照片、视频、文档和设备数据库,内置的文本、十六进制、多媒体、SQLite和Plist查看器,允许取证调查人员检查文件及其元数据,丰富的过滤和强大的搜索功能有助于锁定所需的证据;
IOT设备支持:支持从Amazon Alexa和Google Home获取完整的证据集,包括帐户和设备详细信息、联系人、消息、日历、通知、列表、活动、技能等,可以通过谷歌用户名、密码或移动设备中的主令牌提取谷歌家庭数据,提取的谷歌家庭数据包括帐户和设备详细信息、语音命令和用户信息;
CDR分析:内置的CDR模块允许导入和分析从移动服务提供商接收的CDR文件,无论其列格式和文件布局有何差异,该程序可方便地引导取证调查人员完成调用数据记录文件导入和将文件转换为统一格式所需的任何字段映射的过程,并在统一视图上可视化显示直接和间接的关联关系;
云数据:内置云提取模块,从最流行的69种云服务获取数据,包括:WhatsApp、iCloud、Google、Microsoft、Mi Cloud、华为、三星、电子邮件(IMAP)服务器等,此外,还支持各种社交媒体服务,包括但不限于:Facebook、Twitter、Instagram等,取证调查人员可以使用用户名和密码组合或从移动设备中提取的令牌来访问云存储,即使在所选服务上启用了双因子身份验证;
设备信息:提供有关所获取设备的一般信息,如设备的具体信息(例如,品牌、型号)、SIM卡和网络信息、电话号码和案例详细信息,取证调查人员还可以通过各种应用程序和服务的登录信息和密码信息找到所有设备所有者帐户的摘要信息;
无人机数据:可以对无人机进行物理提取,并解析GPS位置,在内置的时间线和地图中显示有价值的路线数据,还允许取证调查人员将无人机日志.dat文件直接导入到软件地图中,以可视化位置和跟踪无人机路线,并物理提取所选DJI无人机的内存,此外,还提供了许多无人机应用程序(如DJI-Go)的数据解析,用于iOS和Android设备,同时允许从无人机云服务中提取数据,如DJI云和SkyPixel;
加密备份和镜像导入:允许对iOS和Android备份和镜像进行解密,内置的Passware mobile kit模块有助于使用最新的算法和技术查找密码,支持ATI和NVIDIA计算卡进行分布式处理和GPU加速,可用的攻击包括暴力、字典、Xieve等,并经过高度优化以在最短时间内提供结果;
关键证据:显示了取证调查人员在其他部分登记的重要记录,将确定为与案件相关的证据的条目放在同一位置,使数据分析更容易,取证调查人员可以将一个或多个设备中的重要证据加入书签,然后将其导出到一个数据报告中;
关键词搜索:允许创建和使用关键词列表在单个搜索函数中快速查找相关案件信息,也可以在数据提取之前输入关键字或从.txt文件导入关键词,以便在提取过程完成后接收结果;
禁用屏幕锁:允许取证调查人员禁用基于安卓操作系统的LG设备上的用户锁定代码,并获得对关键数据的访问,该过程需要几分钟时间,不需要特殊的数据线或工具,只需安装LG United Mobile Driver驱动程序,插入一个常规的USB即可让软件禁用锁定;
间谍软件检测:可以检测安卓和苹果设备上安装的间谍软件应用程序,发现并处理其日志和配置文件,间谍软件日志文件可能包括应用程序配置数据、正在运行的服务列表、应用程序用户名,有时还附带一个允许检测应用程序的唯一代码、数据传输时使用的单元ID以及带有地理坐标和时间戳的GPS日志;
地理位置信息:从各种来源收集地理数据,如照片和视频EXIF文件头、网络连接信息和应用程序数据库,地理坐标可以从移动设备和云服务中提取,地理点的完整列表可以在“时间线”部分的“地理时间线”选项卡上找到,Oxygen Forensic地图也可以从该部分打开,以查看覆盖在地图视图上的坐标;
关联分析:通过分析呼叫、消息和应用程序通信活动,提供了几种工具来探索设备所有者和联系人之间或多个设备之间的社交关系,可以使用图形或图表来查看和识别社会联系,找到共同的联系人,分析沟通统计数据;
数据提取:通过通用的USB数据线提供设备采集的逻辑和物理方法,支持运行iOS、Android、Windows Phone、Windows Mobile、BlackBerry、Bada、Symbian操作系统或完全没有操作系统(功能手机)的29000多种设备,支持MTK、高通和展讯芯片组,还可以通过专门的读卡器从多媒体存储卡和SIM卡中提取和恢复数据;
地理位置可视化:内置的Oxygen Forensic地图模块支持在线和离线模式,允许取证调查人员快速识别用户经常访问的地方,在指定时间内可视化路线,并精确定位多个设备用户的公共位置;
消息:允许取证调查人员访问设备中的短信息、彩信、iMessage和电子邮件(带附件),可以在表格或可视聊天视图中阅读对话,“导出”按钮可用于直接从此部分向数据报告发送所有或选定的带有附件的邮件;
Organizer:显示有关日历事件、笔记和任务的详细信息,可以解密在运行iOS 9-12的Apple设备中创建和加密的笔记,还可以直接从自定义和生成任何受支持的文件格式的数据报告;
密码:显示已提取的iOS、Android和Windows Phone设备的登录名、密码和令牌,解密iOS密钥链中的凭证,在应用程序数据库和Web表单中找到它们,取证调查人员可以找到各种应用程序帐户的密码以及用于连接WiFi网络的密码;
电话本:提供有关设备联系人的完整信息,如电话和SIM卡联系人、标准和客户字段、快速拨号和生日、创建和上次修改日期,提供了丰富的排序和过滤功能,并允许调查人员生成所有或选定联系人的数据报告;
Plist查看器:内置的Plist查看器提供了对Plist文件的高级分析,取证调查人员可以打开纯XML和二进制XML文件,根据其类型(字符串、数据、数字等)查看条目,转换值,打开外部文件进行分析,以XML格式导出.plist文件数据,以供外部工具进一步分析;
SQLite查看器:内置的SQLite查看器是检查SQLite文件及其内容的强大工具,可以打开任何SQLite数据库、恢复删除的记录、将值转换为可读格式、构建可视的SQL查询并将其保存以供进一步使用、运行搜索并最终将所选条目导出到自定义数据报告;
时间线:按时间顺序汇总所有事件,如日历事件、消息、呼叫、网络缓存、网络连接、语音邮件、照片和视频历史记录等,为取证调查人员提供了许多功能强大的过滤器和方便的数据呈现模式,使他们能够仅对相关数据进行分析,时间线还包含一个活动矩阵,通常称为热点图,它显示单个用户或多个用户的大量使用情况;
网络连接:了解设备所有者何时何地使用Internet访问,并收集有关iOS用户频繁访问位置的信息;
WebKit数据:分析用户通过网页访问的电子邮件和网页的内容,如访问的电子邮件、Web搜索历史记录、存储在WebKit数据库中的位置和其他数据;