产品概述: X-Ways Captures是一套专业的计算机取证工具,用于在证据采集阶段,获取正在运行的Windows 和 Linux 系统下数据。 X-Ways Capture 将正在运行状态下计算机中的所有数据采集到外置USB硬盘中,这样,在目标系统被获取的当时,一些处于解锁状态下的、原来被加密保护的数据,可以被成功获取下来。 当你发现某些硬盘数据被加密时,可以利用 X-Ways Capture数据获取软件,配合热插拔移动硬盘,制作硬盘镜像,避免徒手而归! 此外,你可以利用X-Ways Capture 软件所获取的内存数据中发现有价值的口令信息。 产品特点: 通过多种方法搜索已知或未知加密软件,并生成报告。 检测发现活动状态的 ATA 加密硬盘保护。 获取物理内存和虚拟内存中所有正在运行的进程。 完整获取当前系统所有的存储介质,可以以raw images 或.e01证据文件格式保存(物理镜像获取)。即可以强行采用此种获取方式,也可根据软件对加密方式的自动检测结果决定采用何种拷贝方法。 将所有磁盘、目录下的可读文件拷贝至目标磁盘 (逻辑拷贝),即可以强行采用此种获取方式,也可根据软件对加密方式的自动检测结果决定采用何种拷贝方法。 所有执行步骤和配置可由用户预先自定义,并可以随时启用或停止。 用户可自行添加、扩充 X-Ways Capture 软件所能检测的加密软件种类。 软件工作同时自动创建操作日志。 如果当前系统内驻留有加密软件,如PGP Desktop 、BestCrypt 等软件,X-Ways Capture可以根据加密程序的名称和以及文件签名把它们检测出来。加密后的虚拟磁盘,当前可能正处于解锁状态,逻辑盘符可见,因此可以利用?#36923;辑拷贝?#26041;式,成功地将加密的文件拷贝出来。利用同样方法可以解决NTFS/EFS加密文件。对于一些专用硬盘加密软件,如 SecureDoc、CompuSec等,X-Ways Capture软件可以被自动检测出来。如果系统当时处于解锁状态,可以采用物理镜像方式成功获取未加密硬盘数据。 产品截图: |