STATEMENT
声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。
雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
NO.1 前言
分子实验室 https://molecule-labs.com/
官网 http://www.forensicimager.com/
基于windows程序,文件格式取证转换工具
Forensic Explorer (FEX) 是用户保存、分析和展示电子证据的软件。该软件的主要用户是执法机构、政府、军队和企业调查机构。
NO.2 主要特点
特点
• 获取物理、逻辑、文件夹和文件。
• 重新获取现有的取证图像文件。
• 支持使用GetData Forensics Servlet从远程设备进行获取。
• 使用MD5,SHA1或SHA256采集哈希值获取.E01或DD格式。
• 使用完整的MD5,SHA1或SHA256文件哈希获取L01格式的文件夹和文件。
• 创建后自动验证采集哈希。
• 对整个设备成像或设置开始和结束扇区位置。
• 将图像文件分割成没有段大小限制的自定义段。
• 设置设备扇区大小以获取512、2048或4096扇区大小的选项。
• 强制将Windows兼容文件名与Magnet Forensics产品一起使用的选项。
压缩格式
支持E01和L01格式的EnCase None,Fast,Good,Best压缩设置,包括E01和L01格式写入采集信息。
日志
记录详细的日志文件,包括设备详细信息以及源和验证哈希信息。
NO.3 FEX imager官方使用手册
(已翻译)
