Belkasoft Evidence Center - программное обеспечение для произведения компьютерно-технических экспертиз, компьютерной криминалистики, разработанное специально для заказчиков из правоохранительных органов, и используется различными отделениями полиции и структурами правопорядка по всему миру.
Назначение
- Поддерживает индустриальные стандарты (EnCase, AFF, DD, SMART);
- Формирует отчёты, принимаемые судом;
- Извлекает и анализирует данные, находит скрытые или стёртые доказательства.
Преимущества
Решение для криминалистов
- Никогда не модифицирует данные диска или образа, которые подвергается исследованию;
Всеобъемлющее исследование
- Обнаруживает более 800 типов артефактов, поддерживает все основные программы мгновенного обмена сообщениями, браузеры, почтовые клиенты, социальные сети, пиринговые программы и т.п;
Меньше упущенных доказательств
- Ищет скрытые данные, исследует необычные места и "знает" файлы не очень хорошо известных форматов, чтобы найти ещё больше улик;
Исключительная быстрота
- Анализирует информацию со скоростью передачи данных с диска;
Лёгок в освоении и применении
- Разработанный специально для экспертов-криминалистов, Belkasoft Evidence Center исключительно лёгок в использовании и применим даже для расследования единичных инцидентов;
Применим для выездных экспертиз
- Портативная редакция может быть запущена с флеш-накопителя, подключённого к любому компьютеру без необходимости инсталляции и конфигурации;
Отчёты, которые можно представить в суде
- Генерирует понятные и чёткие отчёты, которые можно представить в суде;
Обнаруживает уничтоженные доказательства
- Технология "карвинга" данных позволяет найти улики, которые были удалены или же никогда не хранились на диске в виде файлов (с помощью анализа файлов подкачки и гибернации или же образов оперативной памяти);
Поддержка взаимодействия
- Многопользовательская редакция "Team Edition" позволяет совместную работу над делом, включая распределение прав и централизованное хранение данных.
Основные функции
Управление делами
- Извлечённые данные могут храниться в базе данных, разбитые по "делам";
Карвинг данных и анализ оперативной (RAM) памяти
- Восстанавливает удалённые улики и доказательства, хранящиеся в образах памяти, файлах гибернации и подкачки. Читать о Анализе оперативной памяти и анализе файлов гибернации и подкачки;
Поддержка индустриальных стандартов
- Монтирует образы в форматах EnCase, AFF, SMART и DD images, включая диски с файловыми системами Windows, Mac OS X и Linux/Unix, а также файлы популярных виртуальных машин VMWare и Virtual PC. Интегрирован с EnCase v.7 и Passware Kit Forensic;
Поддержка больших объёмов данных
- Продукт может работать с десятками гигабайт данных, хранящихся в одном деле;
Лёгкость взаимодействия
- Редакция Team Edition позволяет одновременную многопользовательскую работу над делом;
Хранение результатов анализа
- Проанализированные данные навсегда сохраняются в базе данных;
Список событий ("таймлайн")
- Все найденные события (письма, отправленные и полученные мгновенные сообщения, переписка в социальных сетях и т.п.) будут отображены в едином окне и отсортированы по времени. Мощная система фильтров позволяет провести углублённое исследование интересующих следователя видов деятельности;
Собственные алгоритмы работы с БД SQLite
- Низкоуровневая поддержка SQLite позволяет восстанавливать повреждённые, фрагментированные и неполные базы данных. Базы в формате SQLite используются многими продуктами (в т.ч. Skype) для ведения журнала событий;
Поддержка списка удалённых записей "freelist"
- Позволяет восстанавливать записи, удалённые из баз SQLite;
Работа с фрагментированными слепками памяти
- Windows записывает данные в оперативную память в виде множества отдельных фрагментов. Встретить крупный участок данных, который не был бы фрагментирован - большая редкость. Уникальный алгоритм BelkaCarving (TM) позволяет дефрагментировать содержимое слепков памяти и восстановить улики, которые в противном случае были бы утрачены;
Поддержка реестров Windows
- Продукт автоматически обнаружит и проанализирует файлы реестров Windows.