PassMark OSForensics Pro

PasMark OSForensics Pro官方版是一款专业的数据恢复软件。PasMark OSForensics Pro最新版可以创建索引的文件在硬盘上。这使得快如闪电的搜索文本文件内所载。技术Wrensoft广受好评的缩放搜索引擎背后的技术。PasMark OSForensics Pro官方版还能够搜索文件内的一个附加功能是能够搜索电子邮件归档。索引过程中可以打开和阅读最流行的电子邮件格式的文件(PST)，并确定个人信息。

基本简介

PasMark OSForensics Pro是一个数据恢复工具软件，能够快速地找到电脑中隐藏的东西，快速地查找索引文件，恢复已删除文件，并鉴别可疑的文件，数字签名等。结果将会组织并生成报告文件。PasMark OSForensics Pro是一个强大的快速文件识别与分析工具，允许你通过Hash值来校验文件的安全性，通过对比即可得知文件是否完整，或是被病毒感染。

OSForensics允许您使用散列匹配、驱动器签名比较、电子邮件、内存和二进制数据来识别可疑文件和活动。它让您从计算机中快速提取法医证据与先进的文件搜索和索引，并使这些数据能够有效地管理。

功能介绍

- 能够引导一个图像作为一个虚拟机从OSForensics。

- 添加系统资源使用监视(SRUM)数据库扫描，用于收集用户活动。

- OCR(光学字符识别)允许您搜索pdf文件中的文本。

- 新的内置哈希集:键盘记录器，点对点(P2P)软件，加密货币。

- 支持导入项目VIC散列集。

软件特色

在文件中搜索

如果基本文件搜索功能是不够的，OSForensics还可以创建索引的文件在硬盘上。这使得快如闪电的搜索文本文件内所载。技术Wrensoft广受好评的缩放搜索引擎背后的技术。

搜索邮件

- 能够搜索文件内的一个附加功能是能够搜索电子邮件归档。索引过程中可以打开和阅读最流行的电子邮件格式的文件(PST)，并确定个人信息。

- 这允许一个快速的系统上发现的任何电子邮件的文本内容搜索

恢复已删除的文件

文件已被删除后，甚至一度扔进回收站，它往往仍然存在，直到另一个新的文件在硬盘驱动器取代它的位置。 OSForensics可以追踪到这个的ghost文件数据，并试图将其恢复到可用状态的硬盘驱动器上。

揭开近期活动

- OSForensics可以发现最近在系统上执行的用户操作，包括但不限于：

- 打开的文档

- 网页浏览历史

- 连接USB设备

- 连接网络共享

收集系统信息

-硬件系统上运行的详细信息：

- CPU的类型和数量的CPU

- RAM的数量和类型

- 已安装的硬盘驱动器

- 连接USB设备

- 等等。

查看活动的记忆体

- 看看什么是目前的系统主内存直接。尝试发现密码和其他敏感信息，否则将无法访问。

- 选择检测系统的活动进程的列表。 OSF也可以其内存转储到磁盘上的文件，以备后查。

提取的登录名和密码

恢复从最近访问过的网站的用户名和密码，在常见的网页浏览器，包括IE浏览器，火狐，Chrome浏览器和Opera。

使用方法

自动分类

第一步、启动自动分类

打开PasMark OSForensics Pro并单击位于开始屏幕上的“自动分类”图标。您还可以从工作流中单击“自动分类”模块，如下所示。

第二步、查看默认设置

将出现“自动分类”窗口。在启动扫描之前，请检查设置并对默认设置进行任何必要的更改。

第三步、开始扫描

确认案例文件夹位置、驱动器和扫描选项正确后，只需单击“开始扫描”按钮即可启动自动分类扫描。

第四步、评审结果

您将在“状态”栏下实时查看每个扫描的状态。当所有扫描显示“已完成”时，该过程完成。若要查看结果，只需单击超链接即可查看主OSForensics界面中的数据。

第五步、选择其他操作

除了生成新报告外，用户还可以在初始扫描后执行其他操作。这些附加操作可以在下图中看到。

第六步、新扫描

关闭“自动分类”窗口不会重置/删除结果。只有关闭OSForensics应用程序或运行辅助扫描才能执行此操作。但是，这不会影响任何生成的报告。如果您需要在同一个驱动器上或不同的驱动器上执行附加扫描，您只需选择如下所示的“新扫描”按钮，然后重复步骤2-5。

为什么我在PasMark OSForensics Pro官方版中看不到网络驱动器?

在Windows Vista和更高版本上，存在与用户访问控制(UAC)和映射网络驱动器相关的问题。当以提升的管理员身份运行时，映射的网络驱动器不可见，这正是OSForensics大多数时间运行的内容。

对于大多数操作，您应该能够简单地浏览到网络驱动器指向的位置并以这种方式访问文件。

有一个可用的解决方案，使网络驱动器可用于提升的管理员，并通过扩展可用于OSForensics。

单击“开始”，在“开始搜索”框中键入regedit，然后按ENTER键。

找到以下注册表子项，然后右键单击：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem公司

指向“新建”，然后单击“DWORD值”。

键入EnableLinkedConnections，然后按回车键。

右键单击“启用链接连接”，然后单击“修改”。

在“值数据”框中，键入1，然后单击“确定”。