产品介绍

星探网络取证系统是一款针对攻击入侵现场勘查场景、网络远勘场景设计研发的取证系统,具备入侵痕迹排查、网络远程取证、威胁分析与攻击溯源分析能力。配备高性能的取证勘查箱或取证塔。适用于网路服务器取证、入侵现场勘验、实验室入侵痕迹解析与溯源分析取证场景。


盘古石星探网络取证系统

核心功能

适用多种取证场景:
适用于网路服务器取证、入侵现场勘验、实验室入侵痕迹解析与溯源分析等取证场景。

入侵排查取证:
Linux系统主机获得动态数据包含但不限于系统信息、系统账号、历史命令、端口、进程、开机启动项、定时任务、可疑文件、系统日志。
Windows系统相关信息,包含但不限于系统信息、系统账号、端口与进程、启动项、计划任务、服务、系统与补丁信息、事件日志、注册表、可疑目录和文件。

提取卷、存储设备与虚拟机镜像:
提取目标主机(取证对象)卷、存储设备镜像文件到本地,识别和提取目标主机中保存的虚拟机镜像文件文件到本地。

文件浏览:
索引目标主机(取证对象)文件系统,以文件管理器的方式本地浏览目标主机上的文件系统,查找和搜索需要获取的文件,并提取到本地,完成对文件的固定。

文本搜索:
根据搜索关键词在目标主机上搜索关键词对应文件,将关键词命中的文件及关键词所在文本行信息列出,支持对命中文件的预览、固定。

接入威胁情报大数据:
星探接入奇安信威胁情报大数据中心,可疑信息可直接在威胁情报中进行查询,辅助分析。

高效的报告阅读器:
星探支持导出自带报告阅读器的取证报告,便于检索定位线索,提高办案效率。

产品特点

入侵排查取证
入侵排查与取证技术相结合,基于奇安信安全应急技术,实现入侵痕迹解析与溯源分析的自动化排查与取证分析。

网络远程勘验
基于网络方式直接获取对象数据或者通过网络代理获取取证对象数据,实现通过网络方式对目标主机远程勘验取证。

接入威胁情报大数据
星探接入奇安信威胁情报大数据中心,入侵排查与取证分析过程中发现可疑信息,可快速在奇安信威胁情报中心里查询威胁情报信息。

安全高效
基于网络获取服务器数据,采用加密传输,支持断点续传,保证数据安全性与取证高效性。

动态分析
一键仿真存储镜像,模拟环境,以系统用户的视角直观的检查和操作目标主机系统。

便于检索的取证报告
取证报告自带阅读器,便于检索定位线索,提高办案效率。

适用场景

网路服务器远程取证
入侵现场勘验取证
实验室入侵痕迹挖掘与溯源分析

部署方式

桌面工具软件安装于配套取证主机或勘查箱中。