系统:PC
日期:2021-09-16
类别:行业软件
版本:v2021
美亚柏科取证大师是一款适合基层执法人员使用的电子取证软件,我们的用户可以通过这款软件来保存通话录音、照片、录像等重要的文件资料。而且美亚柏科取证大师专业版还拥有强大的取证分析功能,能够将所有的证据进行分析和总结,从而让你从这些证据中寻找到重要的线索。
美亚柏科取证大师可以支持静态取证、自动取证、动态取证等多种强大的功能,而且操作起来非常简单,基层执法人员只需要简单几步操作就可以完成取证的工作,从而大大提升了用户们的工作效率。
1、界面改版。取证大师V6采用最新扁平化设计风格,包括全新取证结果视图和窗口自定义布局等功能,提供更好的交互体验。新增全新案例管理、案例概览统计、提供取证结果展示及易用性。
2、人工智能。取证大师V6全面提升智能分析能力,增加智能分析、文件溯源、即时通讯的语音转文字功能等功能。
3、脚本扩展。取证大师V6支持自定义脚本功能,可由用户自定义编程扩展脚本功能、满足更广泛的取证业务需求。该功能主要为了解决小众应用和应用细分版本过多无法进行取证的问题,对行业内编程能力较强的用户开放脚本编辑功能,将更多专家的智慧集成进来,更好地扩展取证大师的支持范围和取证能力,满足取证人员的不同需求。
4、底层升级。取证大师V6全面提升底层支持能力,新增15款新应用,包括钉钉、邮箱大师、IBM Lotus Notes、TeamViewer等;10余种文件系统支持格式,包括FusionDrive磁盘结构、MDADM磁盘结构、Storage Spaces磁盘结构、虚拟机虚拟磁盘解密以及iTunesBackup数据等;以及镜像挂载、哈希值计算小工具等功能。
静态存储介质分析、傻瓜式操作自动取证,在线状态下动态获取相关信息,简单操作打打勾就完成取证分析内容,方便快捷打印取证报告;
提取各种硬盘中嫌疑人所安装的操作系统的各种信息包括操作系统开关机时间、安装日期、网络信息、服务信息、安装软件列表、共享文件夹信息、用户最后一次登录时间等;
直接察看用户最近访问的文档、USB设备的使用情况;
打印信息记录分析调查;
上网记录分析调查;
即时通讯软件聊天记录自动分析;
邮件调查;
全球优势的WEB邮件分析功能;
反取证软件检测技术;
文档自动分类和快速提取
查找加密文件;
在手机取证的过程中,第一步的工作是从手机各个相关证据源中获取有线索价值的电子证据。手机的SIM卡、内存、外置存储卡和移动网络运营商的业务数据库一同构成了手机取证中的重要证据源。
1.移动网络运营商
移动网络运营商的通话数据记录数据库与用户注册信息数据库存储着大量的潜在证据。通话数据记录数据库中的一条记录信息包括有主/被叫用户的手机号码、主/被叫手机的IMEI号、通话时长、服务类型和通话过程中起始端与终止端网络服务基站信息。另外,在用户注册信息数据库中还可获取包括用户姓名、证件号码、住址、手机号码、SIM卡号及其PIN和PUK、IMSI号和所开通的服务类型信息。在我国即将实行“手机实名制”的大环境下,这些信息可在日后案件调查取证过程中发挥巨大的实质性作用。
2.SIM卡
在移动通信网络中,手机与SIM卡共同构成移动通信终端设备。SIM(SubscribeIdentityModule)卡即为客户识别模块,它也被称为用户身份识别卡。移动通信网络通过此卡来对用户身份进行鉴别,并且同时对用户通话时的语音信息进行加密。目前,常见SIM卡的存储容量有8kB、16kB、32kB和64kB这几种。从内容上看,SIM卡中所存储的数据信息大致可分为五类:
(1)SIM卡生产厂商存储的产品原始数据。
(2)手机存储的固有信息,主要包括各种鉴权和加密信息、GSIM的IMSI码、CDMA的MIN码、IMSI认证算法、加密密匙生成算法。
(3)在手机使用过程中存储的个人数据,如短消息、电话薄、行程表和通话记录信息。
(4)移动网络方面的数据中包括用户在使用SIM卡过程中自动存入和更新的网络服务和用户信息数据,如设置的周期性位置更新间隔时间和最近一次位置登记时手机所在位置识别号。
(5)其它的相关手机参数,其中包括个人身份识别号
(PIN),以及解开锁定用的个人解锁号(PUK)等信息。
3.手机内/外置存储卡
随着手机功能的增强,手机内置的存储芯片容量呈现不断扩充的趋势。手机内存根据存储数据的差
异可分为动态存储区和静态存储区两部分(见图1)。动态存储区中主要存储执行操作系统指令和用户应用程序时产生的临时数据,而静态存储区保存着操作系统、各种配置数据以及一些用户个人数据。
从手机调查取证的角度来看,静态存储区中的数据往往具有更大的证据价值。GSIM手机识别号IMEI、CDMA手机识别号ESN、电话薄资料、收发与编辑的短信息,主/被叫通话记录、手机的铃声、日期时间以及网络设置等数据都可在此存储区中获取。但是在不同的手机和移动网络中,这些数据在读取方式和内容格式上会有差异。另外,为了满足人们对于手机功能的个性化需求,许多品牌型号的手机都提供了外置存储卡来扩充存储容量。当前市面上常见的外置存储卡有SD、MiniSD和MemoryStick。外置存储卡在处理涉及版权或着作权的案件时是一个重要的证据来源。
第1步:前期准备
首先,从百度下载一张“。jpg”格式的图片复制到手机内置存储空间根目录下,文件名为“meiya.jpg”,如下图所示。
在手机中向“1234567890”这个号码(当然了,这个号码并不存在)发送一条短信,内容是“Mobile Forensics”,如下图所示。
第2步:删除相关信息
在手机文件管理器中删除图中所示的图片“meiya.jpg”;在手机中删除刚才发送的短信。
第3步:使用手机助手获取短信
将手机连接电脑,分别使用小米手机助手和91手机助手查看、导出短信,没有发现刚才删除的那条短信。
第4步:使用ADB Shell查看文件
在电脑上安装adb.exe(“adb”是“Android Debug bridge”的缩写,大部分手机助手都自带且安装了adb.exe),在命令提示符中将工作目录切换到adb.exe所在目录,输入“adb shell”进入ADB Shell 模式,接着输入“su”获取Root权限,输入“cd /mnt/sdcard”切换当前工作路径到手机内置存储空间根目录下,输入“ls -l”查看详细文件/文件夹列表,没有发现刚才删除的图片“meiya.jpg”。如下图所示。
第5步:获取手机镜像
使用DC-4500手机取证系统“工具箱”中的“Android镜像下载”工具获取手机“/data”分区的dd镜像,如下图所示。
第6步:分析镜像
使用winhex打开刚才创建的dd镜像,在其偏移02BE522FB附近找到了如下图所示内容,我们可以看到刚才发送的短信内容“Mobile Forensics”,并在附近发现了发送的号码1234567890,同时还在附近发现了一串数字“11*****39”,这是这部手机登录的小米帐号。
接下来,还在镜像文件偏移005CCFFF0附件中找到了如下图所示的内容,根据经验判断,这里有“。jpg”格式图片的文件头,继续往下看,还找到了一个“。jpg”格式文件的结束标识。将这之间的内容另存为一个文件“未命名”,使用“Windows照片查看器”顺利打开,如下图所示。
评分及评论
看看好不好用
这个软件真的比较不错了。
不打广告。。真心觉得挺好
这个软件用过好多年,一直都这么好用 感谢分享
刚好在找这个新版本
点击星星用来评分