Belkasoft Evidence Center 2016
Belkasoft Evidence Center 2016

Программа Belkasoft Evidence Center 2016 выполняет сканирование носителей информации, а также образов накопителей в криминалистических форматах: 

EnСase Evidence Files (e01, Ex01), FTK (aff), SMART (s01)X-Ways (ctr), Логические образы (L01, Lx01), DMG, Atola, DD.

Поддерживает многофайловые образы, отсутствует ограничений на размер образа накопителя.

Сканирует образы мобильных устройств и резервных копий мобильных устройств в следующих форматах: iPhone и iPad (анализ резервных копий iTunes), Android (анализ резервных копий ADB), Blackberry (анализ резервных копий в форматах IPD и BBB), образы мобильных устройств в формате Cellebrite UFED physical и UFED logical, бинарные образы мобильных устройств в форматах JTAG и chip-off.

Belkasoft Evidence Center 2016 сканирует файлы следующих виртуальных машин: VMWare, Virtual PC, VirtualBox, XenServer.

Проводит анализ бинарных образов оперативной памяти для ОС Windows, Linux, Android с целью нахождения последней коммуникации через такие программы: Bebo, Facebook, Google+, Odnoklassniki, Orkut, Twitter, Vkontakte.ru

Выполняет анализ Windows-обозревателей сети Интернет с целью выявления обстоятельств работы пользователя в глобальной сети Интернет: Microsoft Internet Explorer, Mozilla Firefox, Opera, Google Chrome, Apple, Baidu (Android), Dolphin (Android), Maxthon (Android), Mercury (Android), а также прочие браузеры, основанные на технологии Chromium (в частности, Yandex.Browser).

Осуществляет анализ контактных листов и файлов истории обмена мгновенными сообщениями («чатов») распространенных программ (в списке ниже программы без уточнения ОС являются программами под ОС Windows):  &RQ, Adium (MacOS), AIM, AIM (MacOS), AIM Express, aMSN, (Linux), aMSN (MacOS), Any.do (Android), Badoo, BBM (Android), Brosix (iOS). Brosix (Mac OS), ChatON (iOS), ChatON (Android), CommFort (Android), Digbsy, E-buddy, E-buddy XMS (Android), E-buddy XMS (iOS), eM, Emesene, Emesene (Linux), Empathy (Linux), Evernote (Android), Facebook (Android), Facebook Desktop, Fire (MacOS), FireChat (Android), FireChat (iOS), Foursquare (Android), Fring (Android), Fring (iOS), Gadu-Gadu (old), Gadu-Gadu 10, Gajim, Gajim (Linux), Google Hello, Google Talk, Google+ (Android), Grindr (Android), Grindr (iOS), Growlr (Android), Hangouts (Android),  HeyTell (iOS), iChat (MacOS), ICQ 99b, ICQ 2000a, ICQ 2000b, ICQ 2003b, ICQ 4 - ICQ 5, ICQ 6 Lite, ICQ 6.5, ICQ 7, ICQ 7.5+, ICQ 8.2, ICQ (Lunix), ICQ (MacOS), ICQ (Android), Icq2Go, Im+ (Android), Im+ (iOS), InstantBird (Win, MacOS), Ircle (MacOS), JClaim (MacOS), Jitsi (MacOS), Kadu (MacOS), Kakao Talk (Android), Kakao Talk (iOS), Kik (iOS), Kmess (Linux), Kopete (Linux), Line (Android), Line (iOS), Mail.Ru Agent, Mail.Ru Agent, Mail.Ru Agent для Win8, Mail.Ru Agent (MacOS), Mail.Ru Agent (Android), Meebo, MeetMe (Android), MeetMe (iOS), MeowChat (Android), MeowChat (iOS), Mercury (MacOS), Messenger Plus!, Miranda IM, Mirc, MSN/Live Messenger, MySpace IM, Nimbuzz, Nimbuzz (MacOS), Odnoklassniki (Android), ooVoo, Paltalk, Paltalk (iOS), Pidgin, Pidgin (Linux), Psi (Linux), Qip 2005, Qip Infium/2010, QQ 2008, QQ 2009, 2010, 2011, 2012, qutIM, Rambler Virtus, SIM, Sina Weibo (Android), Skype 2-3-4-5, Skype (Linux), Skype (Android), Skype (iOS), Skype (Mac OS), Snak (Mac OS), SnapChat (Android), Swarm (Android), Tango (Android), Tango (iOS), TeamViewer, TeamViewer Chat, Telegram (Android), TextMe (Android), TextMe (iOS), Textie (Android), TextPlus (Android), Tinder (Android),  Touch (Android), Touch (iOS), Trillian, Trillian (MacOS), Tumblr (Android), Twitter (Android), Viber, Viber для Windows 8, Viber (Android), Viber (iOS), Vipole (Android), Vkontakte 3.8-3.10 (Android), Vkontakte после 3.10 (Android), Voxer (Android), Wamba (Android), WhatsApp (Android), WhatsApp (iOS), WhatsApp с шифрацией crypt7 и crypt8 (Android), Whisper (Android), Xabber (Android), X-Chat Acqua (MacOS), Ya-Online, Yahoo! Messenger, Yahoo! Messenger (MacOS), Yahoo! Messenger (Android), Yahoo! Messenger (iOS), Yahoo Webmail Chat, Zello (Android).

 ПО Belkasoft Evidence Center 2016 выполняет анализ пиринговых программ: Ares Galaxy, eMule, Frostwire, Gigatribe, Shareaza, Torrent.

Анализирует программы платёжных систем: QIWI Wallet.

Осуществляет анализ мгновенных сообщений (чатов) внутри игр: Karos, Lineage, World of Warcraft.

Проводит анализ программ обмена мгновенными сообщениями («чатов») и истории обозревателей различными способами: 1) анализ существующих файлов на диске; 2) анализ удалённых данных в незанятом пространстве носителя информации, а также в файловых «зазорах»; 3) анализ дампа оперативной памяти для программ, не хранящих информацию на носителе данных (Facebook, Google Talk и др.); возможность дефрагментации данных для таких дампов; 4) анализ системных файлов pagefile.sys и hiberfil.sys. 

Анализирует файловы баз данных программ-клиентов электронной почты: Apple mail (EML/EMLX), GMail offline,  Единичные письма в формате MIME, o Mozilla Thunderbird, Outlook 2003, Outlook 2007, Outlook 2010, Outlook 2013, Outlook Express, The Bat!, Windows Live Mail.

Обнаруживает почтовые сообщения в образах оперативной памяти: GMail, Hotmail, MIME emails, Yahoo Mail.

Распознавает файлы графических форматов: 3FR, ARW, BAY, BMP, BMQ, CAP, CINE, CR2, CRW, CS1, CUT, DC2, DCR, DDS, DIB, DNG, DRF, DSC, EMF, ERF, EXIF, EXR, FAX, FFF, G3, GIF, HDR, IA, ICO, IFF, IIQ, J2K, JFIF, JNG, JP2, JPE, JPEG, JPG, K25, KC2, KDC, KOA, LBM, MDC, MEF, MNG, MOS, MRV, NEF, NRW, ORF, PBM, PCD, PCX, PEF, PFM, PGM, PICT, PNG, PNM, PPM, PSD, PTX, PXN, QTK, RAF, RAS, RAW, RDC, RLE, RPBM, RPGM, RPPM, RW2, RWZ, SGI, SR2, SRF, STI, TGA, TIF, TIFF, WBMP, WMF, XBM, XPM.

Извлекает дополнительные свойства файлов графических (EXIF-метаданных, для форматов, которые поддерживают такие свойства), фильтрует по EXIF-свойствам, показ фотоизображений с GPS координатами на Google Maps и Google Earth.

Выполняет поиск системных файлов, а также восстановливает такие файлы с помощью сигнатурного поиска («карвинга») таких как: Реестры Windows, Журналы системных событий, Файлы переходов (Jumplist), Файлы миниатюр (в форматах Thumbs.db и Thumbs cache),

Извлекает важные данные из файлов реестров, таких как:  пользователи ОС (имя, последний вход, последний неудачный вход, время сменя пароля, user RID, LM-hash, NT-hash), автозагрузка (USB, CD, DVD), Имя компьютера, Местоположение системного журнала, Список USB-устройств, когда-либо подключённых к системе, Список подключённых устройств, Последние файлы, открытые с помощью разных приложений из пакетов Microsoft Office и Adobe Acrobat, Сетевые карты, Дата установки ОС, Версия ОС, Файлы “prefetch”, Программы, которые запускаются при входе в систему (Program startup), Время последнего выключения компьютера, Временная зона, Данные «UserAssists», Профили беспроводных сетей.

Выполняет распознавание  фотоизображений лиц и отсканированных текстов на русском и английском языках.

Ищет видеофайлы и выделяет ключевые кадры из них, возможность анализа ключевых кадров по критериям графических изображений.

Программное обеспечение Belkasoft Evidence Center 2016 исследует офисные и текстовые документы, извлекает и индексирует тексты из таких документов, извлекает вложенные объектов на диск, показывает метаданные, поддерживает следующие форматы: Microsoft Office: DOC, DOCX, XLS, XSLX, PPT, PPTX, Open Office: ODP, ODS, ODT, PDF, RTF.

Встроенный просмотрщик баз данных SQLite, поддерживающий следующие типы анализа: Показ всех таблиц базы, показ схемы базы, при выборе таблицы визуализация всех данных из таблицы,  возможность скрыть или показать ранее скрытую колонку таблицы, возможность создать отчёт по всем записям таблицы или по выбранным, показ нераспределённого места внутри файла БД («unallocated space»), возможность просмотреть выбранную запись из нераспределённого пространства в шестнадцатеричном просмотрщике, возможность автоматически анализировать сопутствующий файл журнала БД (в форматах .journal и .wal), возможность находить и визуализировать удалённые данные (записи типа freelist), подкрашивая их отличающимся цветом, возможность просмотреть как базу, добавленную в дело, так и произвольную базу на носителе информации, возможность просмотреть базу SQLite, полученную с помощью сигнатурного поиска («карвинга») на дисках, образах дисков и образах оперативной памяти.

Встроенный просмотрщик реестров, включая повреждённые или реестры, найденные в образах оперативной памяти с помощью сигнатурного поиска («карвинга»).

Встроенный просмотрщик файловой системы анализируемого диска, образа диска или мобильного устройства, а также резервных копий мобильного устройства, поддерживающий следующую функциональность: поддержка файловых систем FAT, exFAT, NTFS, HFS, HFS+, ext2, ext3, ext4, YAFFS, YAFFS2, показ всех папок на исследуемом источнике данных, включая системные и скрытые, для выбранной папки показ списка подпапок и файлов внутри папки, для выбранного файла визуализация его содержимого во встроенном шестнадцатеричном редакторе, возможность извлечения всего содержимого источника данных или подпапки рекурсивно с источника данных на компьютер пользователя для дальнейшего исследования.

Поиск процессов внутри образа оперативной памяти и встроенный просмотрщик найденных процессов, отображающий смещение найденного процесса, его статус («живой» или «мёртвый»), размер. Выделенный в просмотрщике процесс должен визуализироваться во встроенном шестнадцатеричном просмотрщике.

Встроенный шестнадцатеричный просмотрщик обладает следующей функциональностью: показ выбранного файла в деле, показ процесса из дампа оперативной памяти, показ записи из нераспределённого пространства в выбранной базе SQLite, показ информации, найденной с помощью сигнатурного поиска, возможность создания закладок по произвольному смещению в содержимом файла и произвольной длины, возможность задания закладке цвета, имени, описания, возможность навигации между разными закладками, возможность изменения кодировки просматриваемого текста, в частности, поддержка кириллических кодировок, кодировок ANSI, Unicode, UTF7, UTF8, китайских и кодировок азиатских стран, возможность сохранения выделенного фрагмента текста в файл, возможность навигации по тексту по смещению относительно начала файла, конца файла, текущего положения курсора.

Встроенный просмотрщик файлов в формате plist.

Встроенный просмотрщик Гугл-карт с возможностью просмотра данных, обладающих геолокацией (изображений или мобильных приложений с GPS-данными), возможность создания отчёта из просмотрщика, включающего текущий вид Гугл-карты.

Поиск по извлечённым данным со следующей функциональностью: поиск по слову или фразе, поиск по файлу ключевых слов, поиск по регулярному выражению, история поисков должна сохраняться между запусками программы, результаты разных запусков поиска должны визуализироваться в разных окнах программы, результаты поиска могут фильтроваться по источнику данных и типу данных, по результатам поиска можно сгенерировать отчёт, результаты поиска можно добавить в закладку.

Сканирование носителя с целью выявления зашифрованных файлов более чем 200 типов.

Подсчёт значений хэш-функции для всех файлов исследуемого носителя по алгоритмам SHA и MD5.

Формирование отчётов с результатами работы программы в форматах TXT, HTML, CSV, XML, PDF, DOCX, RTF, XLSX, EML (для отчёта по почтовым отправлениям).

Возможность экспорта данных чатов в формат Cellebrite Link Analysis (UFDR).

Возможность создавать пользовательские расширения («скрипты») с помощью встроенного визуального редактора, запускать их на исполнение, отлаживать с помощью пошаговой отладки, точек останова и окна инспектирования свойств переменных. 

Программный продукт Belkasoft Evidence Center 2016 сохраненяет информацию, извлечённую в процессе анализа,  в базе данных на диске в формате SQLite; позволяет хранить несколько дел одновременно, открывать и редактировать дела в произвольном порядке, добавлять в дело новые источники данных (диски, образы дисков, мобильные устройства, дампы оперативной памяти и т.п.), возможность удалять дела, назначать в качестве папки хранения дела произвольную папку на жёстком диске пользователя

Возможность анализа нескольких источников данных в одном деле (например, нескольких жёстких дисков, образов устройств и мобильных телефонов) без необходимости создания нового дела для каждого источника данных.

 

 

 

 

© 2017 ForensicMall.ru