数据取证及恢复软件 Elcomsoft System Recovery(ESR) 是一款便携式数字取证工具,专为基于 Windows 的系统进行现场分析而设计。它使调查人员能够在不移除驱动器或启动到已安装的操作系统的情况下检查计算机。ESR 基于 Windows PE 环境构建,提供对本地存储的快速访问,并与所有主要 Windows 文件系统以及各种传统和现代硬件兼容。在时间紧迫的情况下,或对系统的物理访问受到限制时,使用该工具的优势特别突出。
Elcomsoft System Recovery 最新版本 8.34 侧重于扩展该工具的数据采集功能,提高磁盘映像性能,并为通过 Active Directory 管理的系统添加 BitLocker 恢复密钥提取功能。
添加 800 多种文件系统对象支持
除了已经支持的文件系统对象之外,版本 8.34 还引入了对 800 多个文件系统对象的支持。其中包括用户活动数据、系统事件日志、临时文件、应用程序执行历史记录等。目标是最大限度地提高可检索数据的数量和多样性,从而提高在分析的初始阶段快速提取相关证据的机会。
以下是几种新的数据类型:
- 常用防病毒工具(AVG、ESET NOD32、Avira、MalwareBytes Anti-Malware、Symantec、Avast、TotalAV、F-Secure)的日志文件
- 各种即时通讯工具的日志、数据库和文件(Skype、WhatsApp、Signal、Viber、MS Teams......
- VPN 客户端(OpenVPN、Avira VPN、ProtonVPN)的日志和文件
- 远程访问工具(AnyDesk、RAdmin)的日志和文件
- FTP/SSH 工具(Robo-FTP、Free Commander、Tot
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
