產品介紹

盤古石現場取證系統(簡稱:SafeImager)是一款針對計算機的現場勘驗與調查工具,集計算機正在運行的易失數據固定、文件提取、制作鏡像、生成勘驗報告功能于一體。該系統擁有離線和在線兩種取證方式,離線取證(Offline)是通過離線的方式啟動取證對象計算機,支持Windows、macOS和Linux三大主流系統計算機的離線取證;在線取證通過直接取證對象計算機上運行取證工具,支持Windows、macOS系統計算機的在線取證。同時,該系統支持計算獲取數據的校驗值,輔助取證的截屏、錄像取證功能,可完整的記錄取證過程,確保獲取數據的原始性和勘驗過程的可追溯性。

盤古石現場取證系統

核心功能

離線取證
通過離線啟動對象計算機,進入取證系統的方式獲取數據的稱為離線取證。離線取證支持針對Windows、macOS和Linux三大系統計算機的電子數據固定,包括獲取硬盤/卷鏡像、獲取文件、系統痕跡分析提取和硬盤克隆。
Windows在線取證
Windows在線取證場景不僅支持離線取證(Offline)的所有功能,還支持內存數據取證和系統正在運行的易失數據(賬戶密碼、用戶記錄和動態網絡數據等)取證。
macOS在線取證
macOS在線取證就是在macOS上直接運行取證程序獲取Mac設備硬盤/卷中的數據。支持獲取硬盤/卷鏡像、內存鏡像。

產品特點

跨平臺的取證產品
系統支持在Windows、macOS、Linux三大系統平臺上運行和取證。
macOS在線取證
系統支持在macOS上直接運行取證程序獲取Mac設備硬盤/卷中的數據。
靈活的數據提取策略
系統基于案件類型的數據提取策略根據選擇的案件類型確定默認的數據提取項,且支持現場修改提取項。數據提取策略支持編輯默認策略內容和新增策略。可以滿足不同用戶對象的需求。
適用場景多
系統具備完整的計算機現場勘驗功能與鏡像功能,合適調查人員現場勘驗使用,也適用在針對高度集成的計算機數據固定場景中。

適用場景

現場勘驗
案發現場計算機的數據勘驗,固定及保全。
實驗室不拆機取證
實驗室中不拆機數據提取,特別是針對高度集成的一體化設備的數據獲取,因為此類計算機的硬盤難以拆卸,通過現場取證系統可以不拆機直接獲取取證對象數據。

部署方式

現場取證系統通過配套的維護工具部署在U盤上,支持離線啟動部署在U盤上得取證系統。