OSForensics для экспертизы данных на компьютере

В последнее время всё чаще стали появляться программные комплексы по принципу «всё в одном» с массой самых разнообразных функций. В сегодняшнем обзоре утилита именно из такого разряда под названием OSForensics. Программа позволяет выполнять поиск файлов, ищет и восстанавливает удалённые файлы, помогает анализировать активность пользователя в системе, показывая недавно открытые документы, историю браузера, подключённые устройства и сетевые диски. Утилита отображает содержимое оперативной памяти и дисков. Наконец, OSForensics умеет создавать сигнатуры для выявления различий и изменений в папках, извлекать из браузеров сохранённые пароли. Не менее полезной окажется возможность создания индекса файлов для последующего поиска и экспертизы изменённых на компьютере данных.

После запуска OSForensics в нашем распоряжении появляется целый набор инструментов. В виде пиктограмм отображаются кнопки для доступа к самым важным функциям.

В разделе File Name Search собраны инструменты для поиска файлов на диске. Поиск выполняется очень быстро. В поле Search String вводим имя файла или его часть (можно использовать символы для задания маски файла). Кнопка [Config] открывает окно дополнительных настроек, где можно указать минимальный и максимальный размер файла, диапазон даты создания или модификации. Список найденных файлов легко сортируется как в порядке возрастания, так и в порядке убывания, для этого в выпадающем списке выбираем любой способ: по имени, размеру, типу, дате, папке. Если выполняется поиск картинок, для них можно задать сортировку по преимущественному цвету фона или переднего плана.

В OSForensics предусмотрена возможность создания индекса наиболее важных файлов на диске (Create Index). Чтобы создать индекс файлов, потребуется указать несколько параметров в пять этапов. Сначала выбираем типы файлов, диски, и даём название индексу. Затем ожидаем, пока программа выполнит поиск и сканирование файлов.

В дальнейшем благодаря индексу можно легко и быстро отследить изменения в файлах. Достигается это за счёт того, что при создании индекса OSForensics запоминает размеры и даты изменения файлов, и даже структуру их содержимого.

Раздел Memory Viewer отображает карту использования оперативной памяти. В списках представлены приложения, использующие в данный момент память, а также диапазоны адресов.

Двойной клик на диапазоне адресов в памяти открывает новое окно с содержимым выбранного сегмента. Просмотреть его можно как в шестнадцатеричном режиме, так и в обычном текстовом (правда, в последнем случае большая часть данных прочитать будет попросту невозможно). Кнопка [Dump] позволяет выгрузить дамп памяти в файл с расширением BIN.

В разделе Raw Disk Viewer отображается содержимое диска, а нажав кнопку [Passwords], мы получаем доступ к инструментам для просмотра паролей в браузерах. OSForensics просканирует файлы браузеров и извлечёт из них сохранённые пароли. Для этого достаточно нажать кнопку [Retrieve Passwords]. В списке указан адрес сайта, логин и пароль пользователя, а также расположение файла с паролями.

OSForensics позволяет создавать сигнатуры целых папок или дисков. В разделе Create Signature выбираем папку и жмём кнопку [Start], чтобы программа обсчитала размеры файлов и создала файл сигнатур. После этого указываем, где его сохранить. В дальнейшем можно выяснить, какие изменения произошли в папке. Для этого повторно создаём сигнатуру и даём ей другое имя. В разделе Compare Signature выбираем оба файла сигнатур и жмём кнопку [Compare]. Если содержимое папки изменилось, и сигнатуры отличаются, программа отобразит в списке изменившиеся файлы. В столбце Differenced указана причина несовпадения сигнатур (файл удалён, изменён, переименован и т.д.).

Напоследок отметим ещё несколько функций OSForensics. Mismatch File Search позволяет найти на дисках файлы, видимые расширения (тип) которых не соответствуют содержимому. В списке мы увидим названия и пути файлов, а также отметки об их вероятном правильном типе (Identifed type:).

В разделе System Information можно получить информацию об устройствах компьютера.

При выборе Verify/Create Hash в нашем распоряжении появляются инструменты для создания или сравнения хеша файлов.

Модуль Create/Mount Drive Image представляют собой аналог известных утилит Daemon или Alcohol, позволяющих создавать виртуальные приводы и подключать образы дисков.

Характеристики:
Язык интерфейса: английский
ОС: Windows 2000, XP, 2003, 2008, Vista, 7 (32- и 64-разрядные)
Размер файла: 34,1 Мб
Лицензия: бесплатная на стадии тестирования