FEX Triage

概述

關於FEX Triage™

FEX Triage是一種便攜式計算機取證現場(chǎng)分析工具。它使調查人員能夠就扣押
、取證和處(chù)理嫌疑人做出實時決定。

 

 

 

FEX Triage被設計用於(yú)接受有限計算機取證培訓的調查人員（基本模式），以及現場(chǎng)或實驗室使用的有經驗的法醫檢查人員（高級模式）。

FEX Triage可以在實時機(jī)器上運行，也可以利用法醫引導(dǎo)USB。

FEX Triage使用可定制的搜索配置文件
，可以将任何複(fù)雜任務簡化爲一次單(dān)擊。

 

報告概要包括：

• 搜索並(bìng)報(bào)告虐待兒童材料的存在
• 将所選文件導(dǎo)出到L01或磁盤(pán)
• 注冊(cè)表分析（例如用戶(hù)信息和使用信息）
• 互聯網浏覽器和聊天記錄
• Windows縮略圖
• 定位並提取電子郵件和附件

 

主要特點

 

易用性

FEX Triage易於(yú)使用，隻需少量培訓即可有效。高級模式選項也使其成爲經驗豐富的法醫從業人員的寶(bǎo)貴工具。

 

現場套件

随時(shí)可用的FEX Triage現場(chǎng)套件。

 

 

與Forcensic Explorer集成

FEX Triage掃描會創(chuàng)建一個法醫探索者案例文件
。它以法醫聲音的方式保存用戶操作，並(bìng)使法醫工作人員能夠直接在法醫浏覽器GUI中立即進一步檢查分類結果。

 

便攜式的

FEX Triage是便攜式的，專爲從(cóng)USB運行而設計(jì)。它通常可以在以下情況下運行：

 

法醫引導掃描

啓動掃描是指使用啓動介質（即FEX Triage 加密狗）啓動目标計算機。引導(dǎo)掃描是一個取證合理的過程，因爲它是控制目标系統的調(diào)查者介質。

 

實時掃描

實時掃描指的是在目标實時Microsoft Windows計算機上運行FEX Triage。在許多情況下，這将是最合适的操作
，因爲擔(dān)心關閉(bì)對業務至關重要的運行系統，或者可能調用加密。

可有效用於(yú)通過網絡文件共享進行文件收集（例如，按名稱或内容收集.docx文件，並(bìng)導出爲L01法醫圖像格式）。

 

Forensic桌面掃描

可以從(cóng)調(diào)查人員計算機的桌面上運行，以掃描硬盤或法醫圖像文件。

 

其他關鍵功能

• FEX Triage配有堅固的Wibu編碼器USB3 CMU BMC-1011，存儲容量爲16 GB。它包含軟件許可證，但也充當USB引導和數據採(cǎi)集設備(bèi)。
• 支持從(cóng)Windows和MacOS（通過USB引導）收集數據，包括iOS備(bèi)份。
• 檢測(cè)受BitLocker和FileVault 2保護的驅動(dòng)器。
• 在搜索過(guò)程中查看搜索結(jié)果。
• 将數據(jù)直接導(dǎo)出到磁盤或法庭.L01文件。
• 創(chuàng)建CSV、PDF和RTF報(bào)告。查看圖片和視頻關鍵幀。
• 搜索配置文件是高度可配置的，可以爲(wèi)組織定制。默認(rèn)配置文件包括：

 

基本的

相機按模型制作

兒(ér)童保護(hù)——圖片和視頻

加密文件

文件名搜索

文件名搜索–個(gè)人

互聯網浏覽器

網絡聊天

互聯網-移動

ITunes備份

随機樣本-圖形

随機樣本-視頻

注冊表-當前

 

中間的

Windows–縮(suō)略圖(tú)

電(diàn)子郵(yóu)件–附件（EDB、Mbox、OST、PST）

電(diàn)子郵(yóu)件–查找郵(yóu)件

電(diàn)子郵件-關(guān)鍵字搜索（EDB、Mbox、OST、PST）

導出-擴展（複選框）

導(dǎo)出–Windows系統（複(fù)選框）

文件名搜索（精確）

Hash Match（自動(dòng)）-圖形和視頻(pín)

關(guān)鍵詞(cí)搜索–MS Office

操作系統工件

随機樣本-圖形

Windows–快捷方式（.lnk）

 

高級的

電(diàn)子郵(yóu)件–查找郵(yóu)件（Regex）

導(dǎo)出–自定義(yì)全局搜索

文件名搜索（Regex）

Hash Match（複(fù)選框）-圖形和視頻(pín)

Hash Match（硬編(biān)碼(mǎ)）-圖形和視頻

将文件列表到CSV–自定義(yì)全局搜索

 

技術特點

 

支持的文件系統

Forensic Explorer支持以下分析：

• Windows FAT12/16/32、exFAT、NTFS、，
• Macintosh HFS、HFS+、APFS
• EXT 2/3/4

 

加密支持

解鎖以下内容（需要密碼(mǎ)或恢複(fù)密鑰）：

• Bitlocker（Microsoft Windows）
• FileVault 2（MAC）

 

支持的位圖像格式

FEX Triage支持常見(jiàn)圖(tú)像和法醫圖(tú)像格式，包括：

AD1、AFF、DD、DMG、BIN、RAW、E01、Ex01、L01、Lx01、VMD、VHD、VHDX。

 

支持的電子郵件格式

支持分析PST、OST、EDB和MBOX郵(yóu)件格式。

 

腳本語言

FEX Triage腳(jiǎo)本是用Delphi Pascal編(biān)寫的。

 

Wibu碼表USB

Wibu編(biān)碼器16 GB USB3數據(jù)表

 

搜索配置文件

搜索配置文件是在中創(chuàng)建的。TXML（XML）格式。配置文件使用TCommandTasks來啓動處(chù)理，包括調用和運行腳本和過濾器的功能。

 

屏幕截圖

 

添加案例信息的開(kāi)始窗口：

 

 

選擇要搜索的設備(bèi)、文件夾(jiā)或法醫圖像
：

 

 

選(xuǎn)擇将保存搜索結(jié)果的目标：

 

 

如果需要，請(qǐng)使用可用的篩(shāi)選選項選擇搜索配置文件：

 

 

開(kāi)始搜索。完成的報(bào)告可以在完成時查看：

 

 

購買和授權常見問題解答

 

許可證類型

FEX Triage許(xǔ)可證是一種定期許(xǔ)可證，将在有效期（通常爲(wèi)1年）到期。

 

Wibu碼表激活加密狗（Wibu加密狗）

該軟件由Wibu加密狗上的許可證激活。FEX Triage加密狗具有存儲(chǔ)容量（16或32 GB），可以用作引導(dǎo)USB。

 

許可證管理

Wibu加密狗許可證使用GetData License Manager軟件進(jìn)行管理。許可證管理器用於(yú)：

• 查看許可證信息。
• 向Wibu加密狗添加許(xǔ)可證(zhèng)。
• 重命名加密狗。
• 應用固件更新。