Netanalysis 網路歷史記錄分析工具(轉)


NetAnalysis v1.37g 最新版本的互聯網歷史紀錄分析工具

在各種民事和刑事案件中,對於用戶在計算機系統中的行為分析是一件非常重要的事情。

隨著網絡色情現象和網絡犯罪的增長,對於計算機取證人員來說更加重要的是能夠以一種容易被理解的方式準確地分析數據和提取證據。

更加重要的是,作為一個取證專業人員,你需要確定的是你所使用的軟件是能夠準確無誤地在嫌疑係統內恢復現有的和已刪除的數據。

Internet History Analysis


NetAnalysis 於2001年由原英國警局電子證據專業調查人員開發,目前已經成為了對於互聯網歷史紀錄分析和恢復的行業標準。經世界各國的執法部門人員廣泛應用後證明,該軟件是分析互聯網歷史紀錄的理想工具。一些取證工具僅僅具有只讀那些可能來自成千上萬種地址的數據的能力。你怎樣通過篩選過濾所有的數據以識別所有重要的證據呢?答案是使用NetAnalysis互聯網歷史紀錄分析工具!它具有強大的搜索、過濾和證據識別以及特定的目標證據顯示功能。



查看緩存數據


離線緩存數據察看器具有非常強大的功能。 - NetAnalysis 能夠從緩存數據中分析數據,自動將頁面中的原始圖片找出來,自動重建 HTML 頁面,恢復出的頁面與嫌疑人所看到的頁面完全一樣。
離線緩存數據察看器還可以作為其他分析軟件,如Encase,X-Ways Forensics協同工作,是一個體積小,速度快,支持Flash、圖像,和office文檔、PDF的外掛查看器,


自動分析功能


NetAnalysis 還具有一個特殊的功能,即可以自動、快速檢測可能存在的兒童色情網站,通過搜索用戶輸入的搜索分類、口令、帳戶名,並自動登陸網站。
NetAnalysis 能自動過濾並分類搜索詞彙。這使得可以將其作為證據單獨提交。如果嫌疑人宣稱某些圖片是意外出現或無意被保存下來的,但調查員卻找到了大量的相應詞彙的搜 索分類表明他/她正在搜索這些材料,那麼嫌疑人最終也是無法抵賴的。此外,NetAnalysis 還支持關鍵詞庫和SQL 查詢。這些詞庫和查詢可以與其他調查員分享或留作其他分析時使用。

恢復刪除的數據


NetAnalsis軟件還支持從未分配空間中恢復互聯網歷史紀錄。可以從未分配空間、Swap交換文件、 File Slack, 文件殘留區、未使用磁盤空間 、DD 鏡像和二進制文件中查找、恢復歷史記錄。一個案件中,調查員成功恢復出22 00萬條歷史記錄。軟件還可以直接從寫保護的物理和邏輯磁盤中查找記錄。

HstEx v3 即將發佈。此版本可以直接從Encase 證據文件中查找數據。




下面是 NetAnalysis 的工作界面。點擊可放大查看。

軟件界面

點擊放大

Normal Analysis Window with Additional Analytical Views常用的帶特定分析觀點的分析窗口

這是主要的帶有可見的主機列表的NetAnalysis窗口。這個主機列表窗口在主要界面中標出了經過記錄過濾的用戶曾經訪問過的範圍.

點擊放大

Cookie Analysis Window

這個窗口展示了已激活的Cookie察看器,調查員正在主地址欄中尋找一個Cookie記錄。一般情況下,如果Cookie記錄伴隨著索引文件從你的主要取證工具中被輸出,NetAnalysis也會展示出這些文件的目錄。

點擊放大

Reporting Window報告窗口



NetAnalysis擁有數量強大的內置報告,這個窗口展示了所有你也許會需要涉及的適當領域細目的高級報告。

點擊放大

HstEx v2 - History Extractor


NetAnalysis 使用其獨特的工具來提取已被刪除的數據。不管你所看見的產品是什麼類型的,HstEx都可以幫助你獲取那些已刪除數據。HstEx能夠從傳統的dd鏡像文件、二進制輸出文件、交換文件等中提取出已刪除數據 。

HstEx第三版本即將面世. 這一版本可以從眾多標準的鏡像文件中直接提取諸如以下文件:Encase使用的專門證據壓縮格式,分段的DD鏡像文件, FTK數據存取鏡像文件和智能鏡像。

這個窗口顯示了HstEX v2 偵查出的一個單一的2.44TB的DD鏡像文件。.

Click on the image to enlarge


轉自計算機取證

0 意見: