您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態

img
×  登入
 各類專區
跳到主要內容區塊 目前檢視身分

現場電腦鑑識工具包(InfoDetector) V9.x

標案名稱108年第四次電腦軟體共同供應契約採購
組  別22
單  位
項  次143
採購數量級距1-30
產  地
評  價

產品功能規格

InfoDetector支援作業系統為Windows平台之目標證物,可在開機狀態下快速完整採集重要數位證據至外接儲存裝置,讓任何人在面對智財侵權、員工洩密、駭客入侵時,都能第一時間快速完整保存數位證據。本工具也可支援各種防寫機制來進行鑑識分析,以及具備TimeLine模式、Gallery模式與檔案系統快取至記憶體功能。

本工具包支援中文化操作介面。
針對易消逝性數位證據於關機後即消失不見,本工具可支援以防寫式之USB碟來蒐證以下易消逝性的數位證據資料進行採集。
針對非消逝性數位證據採集,本工具可取得儲存在本機上的帳號密碼、取得本機Web使用之行為所留下的記錄、檢視電腦最近開啟的文件、獲取本機所使用過的USB設備列表。

功能規格/基本需求

(一) 本工具包支援中文化操作介面
(二) 針對易消逝性數位證據於關機後即消失不見,本工具必需可支援以防寫之USB碟來蒐證:
1. 系統目前的時間及時區
2. 系統目前的網路連線狀態
3. 系統目前的綱路設定及路由表
4. 系統暫存的ARP Cache
5. 系統目前開啟的UDP及TCP 埠
6. 哪些程式開啟目前的UDP及TCP埠
7. 系統目前登入的使用者帳號
8. 系統目前正在執行的程式
9. 系統目前正在執行的服務
10. 系統目前所有被開啟的檔案
11. 系統的排程工作程序
12. 記憶體的映像檔
13. 系統硬體資訊及作業系統資訊
(三) 以上數位證據檔有對應的各項MD5摘要檔以具有蒐證之不可否認性。
(四) 非消逝性數位證據採集:
1. 取得儲存在本機上的帳號密碼
2. 取得本機Web使用行為所留下的記錄
3. 取得本機所使用通訊軟體的對話記錄
4. 檢視電腦最近開啟的文件
5. 獲取本機所使用過的USB設備列表
6. 檢視使用者用戶資料列表
7. 檢視目前Windows系統資料及所安裝的Service及Driver資訊
8. 檢視目前Windows系統中所安裝的軟體或Patch資訊
9. 檢視本機桌面或開始功能表的捷徑
10. 檢視網路傳輸、IP等資訊
11. 本機開啟會自動執行的程式列表
12. 系統稽核政策
13. 檢視本機事件紀錄檔
14. 檢視本機常用程式
15. 檢視本機使用記錄
16. 檢視本機曾經開啟過的資料夾路徑
17. 經常執行的程序列表
(五) 以上數位證據檔有對應的各項MD5摘要檔以具有蒐證之不可否認性。
(六) 可結合FTK或EnCase來進行證物映像檔檢視。
(七) 具備TimeLine模式
視覺化的日曆型態展示可快速瞭解所在檔案在各日期下的更動狀況。
可直接依顏色區分,檢視所有檔案最後的修改、存取、建立及NTFS Entry修改時間的數量。
點擊某一天之日期,可快速瀏覽當天所有有修改、存取、建立及NTFS Entry修改時間的檔案。
(八) 具備Gallery模式
視覺化的圖形顯示模式,可快速瞭解蒐證磁區下的所有圖形相關檔案。
可搭配TimeLine模式來篩選檢視所有檔案最後的修改、存取、建立及NTFS Entry修改時間的圖檔呈現。
可救援並回復呈現出已遭刪除但未被覆寫之圖檔檔案。
(九) 具備檔案系統快取至記憶體功能,能夠使蒐集數位證據更有效率:
1. 具備第一次搜尋即把檔案暫存到記憶體中,待之後每次搜尋時不經過Windows核心及Windows檔案系統,所有搜尋可在數秒內完成。
2. 每次搜尋的結果均暫存於記憶體內以頁次的方式顯示,可快速切換各頁次檢視比對所有搜查的結果。
3. 可勾選各頁次中的目標檔案,並可綜合來檢視所有已勾選的文件,任何匯出的文件必需確保原始檔案的MACE時間及屬性未遭任何更改狀態。
4. 具備檔案過濾功能,可以依照下列項目進行檔案之過濾:
檔案名稱
檔案路徑
檔案大小
建立時間、修改時間、存取時間、MFT修改時間
只搜尋刪除檔。
5. 具備救援回復刪除檔以及複製檔案之功能。
6. 具備產生CSV報告之功能。
7. 具備產生操作記錄報告之功能,詳細記錄每次操作本工具之動作、行為以及其時間。
(十) 工具碟所採集之數位證據必須有對應的各項MD5摘要檔。
(十一) 所有操作及搜尋有使用紀錄檔。
(十二) 蒐證模式能以讀取MFT及FAT檔案系統方式分類重要數位證據資料包含下列:
1. 電子郵件:
Outlook、Outlook Express、Windows Live Mail、Exchange、Lotus
2. 網頁相關:
IE cookie、IE Cache、IE History、Firefox Cache、Firefox Config、Chrome Cache、我的最愛
3. 電腦最近開啟之文件。
4. 電腦最近修改之文件,且可設定天數進行搜尋。
5. 可採集下列可能成為關鍵數位證據之重要資料:
作業系統稽核政策、作業系統紀錄檔、IIS網頁伺服器紀錄檔、Windows機碼、暫存檔區、使用者帳號資訊、虛擬記憶體、Thumbs.db、即時通訊記錄
(十三) 可對檔案做特徵值比對,以分辨該檔案特徵值是否與檔案類型相符。
1. Match:檔案類型和該檔案特徵值相對應
2. Alias:檔案類型及該檔案特徵值皆在特徵值清單列表內,但並非互相對應,或檔案類型不在特徵值清單列表內
3. Bad Signature:該檔案特徵值不在徵值清單列表內
4. Unknown:檔案類型及該檔案特徵值皆不在徵值清單列表內
(十四) 具備雲端蒐證模式,可針對本機有安裝以下雲端硬碟進行搜尋。
One Drive、DropBox、Google Drive
(十五) 提供檔案副檔名與檔案標頭比對,可辨識檔案真偽。
作業系統:Windows XP(含)以上版本作業系統。
記憶體:1GB RAM(含)以上,建議2GB RAM(含)以上。
連接介面:需具備USB 2.0(含)以上連接介面。