產品介紹

星探網絡取證系統是一款針對攻擊入侵現場勘查場景、網絡遠勘場景設計研發的取證系統,具備入侵痕跡排查、網絡遠程取證、威脅分析與攻擊溯源分析能力。配備高性能的取證勘查箱或取證塔。適用于網路服務器取證、入侵現場勘驗、實驗室入侵痕跡解析與溯源分析取證場景。


盤古石星探網絡取證系統

核心功能

適用多種取證場景:
適用于網路服務器取證、入侵現場勘驗、實驗室入侵痕跡解析與溯源分析等取證場景。

入侵排查取證:
Linux系統主機獲得動態數據包含但不限于系統信息、系統賬號、歷史命令、端口、進程、開機啟動項、定時任務、可疑文件、系統日志。
Windows系統相關信息,包含但不限于系統信息、系統賬號、端口與進程、啟動項、計劃任務、服務、系統與補丁信息、事件日志、注冊表、可疑目錄和文件。

提取卷、存儲設備與虛擬機鏡像:
提取目標主機(取證對象)卷、存儲設備鏡像文件到本地,識別和提取目標主機中保存的虛擬機鏡像文件文件到本地。

文件瀏覽:
索引目標主機(取證對象)文件系統,以文件管理器的方式本地瀏覽目標主機上的文件系統,查找和搜索需要獲取的文件,并提取到本地,完成對文件的固定。

文本搜索:
根據搜索關鍵詞在目標主機上搜索關鍵詞對應文件,將關鍵詞命中的文件及關鍵詞所在文本行信息列出,支持對命中文件的預覽、固定。

接入威脅情報大數據:
星探接入奇安信威脅情報大數據中心,可疑信息可直接在威脅情報中進行查詢,輔助分析。

高效的報告閱讀器:
星探支持導出自帶報告閱讀器的取證報告,便于檢索定位線索,提高辦案效率。

產品特點

入侵排查取證
入侵排查與取證技術相結合,基于奇安信安全應急技術,實現入侵痕跡解析與溯源分析的自動化排查與取證分析。

網絡遠程勘驗
基于網絡方式直接獲取對象數據或者通過網絡代理獲取取證對象數據,實現通過網絡方式對目標主機遠程勘驗取證。

接入威脅情報大數據
星探接入奇安信威脅情報大數據中心,入侵排查與取證分析過程中發現可疑信息,可快速在奇安信威脅情報中心里查詢威脅情報信息。

安全高效
基于網絡獲取服務器數據,采用加密傳輸,支持斷點續傳,保證數據安全性與取證高效性。

動態分析
一鍵仿真存儲鏡像,模擬環境,以系統用戶的視角直觀的檢查和操作目標主機系統。

便于檢索的取證報告
取證報告自帶閱讀器,便于檢索定位線索,提高辦案效率。

適用場景

網路服務器遠程取證
入侵現場勘驗取證
實驗室入侵痕跡挖掘與溯源分析

部署方式

桌面工具軟件安裝于配套取證主機或勘查箱中。