Belkasoft Evidence Center X - программное обеспечение для произведения компьютерно-технических экспертиз, компьютерной криминалистики, разработанное специально для заказчиков из правоохранительных органов, и используется различными отделениями полиции и структурами правопорядка по всему миру.
Назначение
Поддерживает индустриальные стандарты (EnCase, AFF, DD, SMART);
Формирует отчёты, принимаемые судом;
Извлекает и анализирует данные, находит скрытые или стёртые доказательства.
Преимущества: ниикогда не модифицирует данные диска или образа, которые подвергается исследованию;
Всеобъемлющее исследование: обнаруживает более 1000 типов артефактов, поддерживает все основные программы мгновенного обмена сообщениями, браузеры, почтовые клиенты, социальные сети, пиринговые программы и т.п;
Меньше упущенных доказательств: ищет скрытые данные, исследует необычные места и "знает" файлы не очень хорошо известных форматов, чтобы найти ещё больше улик;
Исключительная быстрота: анализирует информацию со скоростью передачи данных с диска;
Лёгок в освоении и применении: разработанный специально для экспертов-криминалистов, Belkasoft Evidence Center исключительно лёгок в использовании и применим даже для расследования единичных инцидентов;
Применим для выездных экспертиз: портативная редакция может быть запущена с флеш-накопителя, подключённого к любому компьютеру без необходимости инсталляции и конфигурации;
Отчёты, которые можно представить в суде: генерирует понятные и чёткие отчёты, которые можно представить в суде;
Обнаруживает уничтоженные доказательства: технология "карвинга" данных позволяет найти улики, которые были удалены или же никогда не хранились на диске в виде файлов (с помощью анализа файлов подкачки и гибернации или же образов оперативной памяти);
Поддержка взаимодействия: многопользовательская редакция "Team Edition" позволяет совместную работу над делом, включая распределение прав и централизованное хранение данных.
Основные функции
Управление делами: Извлечённые данные могут храниться в базе данных, разбитые по "делам";
Карвинг данных и анализ оперативной (RAM) памяти: Восстанавливает удалённые улики и доказательства, хранящиеся в образах памяти, файлах гибернации и подкачки;
Поддержка индустриальных стандартов: Монтирует образы в форматах EnCase, AFF, SMART и DD images, включая диски с файловыми системами Windows, Mac OS X и Linux/Unix, а также файлы популярных виртуальных машин VMWare и Virtual PC. Интегрирован с EnCase v.7 и Passware Kit Forensic;
Поддержка больших объёмов данных: Продукт может работать с десятками гигабайт данных, хранящихся в одном деле;
Лёгкость взаимодействия: Редакция Team Edition позволяет одновременную многопользовательскую работу над делом;
Хранение результатов анализа: Проанализированные данные навсегда сохраняются в базе данных;
Список событий ("таймлайн"): Все найденные события (письма, отправленные и полученные мгновенные сообщения, переписка в социальных сетях и т.п.) будут отображены в едином окне и отсортированы по времени. Мощная система фильтров позволяет провести углублённое исследование интересующих следователя видов деятельности;
Собственные алгоритмы работы с БД SQLite: Низкоуровневая поддержка SQLite позволяет восстанавливать повреждённые, фрагментированные и неполные базы данных. Базы в формате SQLite используются многими продуктами (в т.ч. Skype) для ведения журнала событий;
Поддержка списка удалённых записей "freelist": Позволяет восстанавливать записи, удалённые из баз SQLite;
Работа с фрагментированными слепками памяти: Windows записывает данные в оперативную память в виде множества отдельных фрагментов. Встретить крупный участок данных, который не был бы фрагментирован - большая редкость. Уникальный алгоритм BelkaCarving (TM) позволяет дефрагментировать содержимое слепков памяти и восстановить улики, которые в противном случае были бы утрачены;
Поддержка реестров Windows: Продукт автоматически обнаружит и проанализирует файлы реестров Windows.