Программа "Forensic Assistant" предназначена для экспертов государственных экспертных учреждений и негосударственных экспертов, проводящих компьютерные и компьютерно-технические экспертизы. Разработчики программы имеют многолетний опыт производства экспертиз и работы в сфере компьютерной безопасности, что позволило сделать программу удобной для практического применения.

Позволяет искать и анализировать криминалистически значимую информацию из:

баз программ обмена сообщениями (ICQ, ICQ Lite, &RQ/R&Q, Trillian, QIP, QIP Infium, QIP PDA, Miranda, VyPress Chat) - контакт-листы и переписка пользователей;

баз программ обмена сообщениями (Mail.ru Agent, Skype, Skype 4) - контакт-листы и переписка пользователей [*];

баз обмена сообщениями игровых программ (NetSpeakerPhone, Counter-Strike);

баз почтовых программ (Outlook, Outlook Express, TheBat!) - письма и почтовые вложения, в том числе - в удаленном виде;

индексных файлов ОС Windows (index.dat) - все блоки, включая LEAK;

системных журналов событий (Event Logs) ОС Windows (*.evt) - информация о работе в сети и о подключении сменных носителей;

служебных файлов ОС Windows (Prefetch - *.pf, Link - *.lnk, setupapi.log);

реестра ОС Windows - с показом даты и времени добавления ключей в реестр [*];

служебных файлов программ-браузеров (Internet Explorer, Opera, Firefox);

документов в форматах OLE2, ODF (Open Office), Office Open XML (Microsoft Office 2007) - все необходимые метаданные в корректном виде;

графических файлов распространенных форматов - метаданные и миниатюры изображений;

и т.д.

Все детектируемые программой файлы сведены в 4 основные категории по хранимой информации и решаемым с их помощью задачам: "Работа пользователей", "Работа в сети", "Переписка пользователей", "Описание файлов". В меню "Описание файлов" представлена информация о файлах криптографических программ (ключи шфирования, зашифрованные файлы и диски), файлах вредоносных программ (присылаемые ими отчеты и базы данных с украденной пользовательской информацией), образах дисков различных форматов (включая VmWare), базах данных (MDB, DBF, SQLite).

Встроенные утилиты:

создание среза файлов по списку файлов ("чистый" список, отчет "Антивируса Касперского", отчеты программ "AvSearch" и "Архивариус 3000");

кодирование/декодирование информации в формате base64 (MIME);

кодирование/декодирование информации простейшими алгоритмами (для извлечения настроек вредоносных программ);

криминалистический учет номеров ICQ [*];

блокировка записи на USB-устройства (для Windows XP SP2+ и Windows Vista);

утилита "RegWalker", позволяющая осуществлять работу с неактивным реестром ОС Windows;

утилита "Hash Sets", позволяющая создавать базы хэшей, проводить детектирование файлов с их использованием, сравнивать группы файлов (в том числе - программу и ее дистрибутив).

Дополнительные возможности:

результаты представляются в табличной форме, доступна сортировка по любому полю таблицы и поиск текстовых строк (в том числе - по списку);

результаты можно экспортировать в текстовый файл (RTF) или файл программы Excel (CSV) (при этом наличие офисных приложений на компьютере эксперта не требуется) [*];

экспортируемые результаты адаптированы для включения в текст заключения эксперта;

поиск и анализ информации осуществляется, в том числе, внутри архивов 14-ти форматов;

обнаружение архивов, защищенных паролем, и файлов некоторых криптографических программ;

многоязычный интерфейс (в дистрибутив входят языковые файлы на русском и английском языках);

предпросмотр найденных файлов с использованием внешних утилит;

открытый интерфейс для подключения модулей, разработанных другими авторами (как пользователями программы, так и сторонними разработчиками);

проверка целостности подключаемых модулей программы;

возможность добавления пользователями собственных сигнатур для детектирования файлов (меню Программа -> Настройки -> Настройки модулей -> General -> Сигнатуры пользователя);

программа обновляется через сеть Интернет, в том числе через прокси-сервер.