产品介绍

盘古石现场取证系统(简称:SafeImager)是一款针对计算机的现场勘验与调查工具,集计算机正在运行的易失数据固定、文件提取、制作镜像、生成勘验报告功能于一体。该系统拥有离线和在线两种取证方式,离线取证(Offline)是通过离线的方式启动取证对象计算机,支持Windows、macOS和Linux三大主流系统计算机的离线取证;在线取证通过直接取证对象计算机上运行取证工具,支持Windows、macOS系统计算机的在线取证。同时,该系统支持计算获取数据的校验值,辅助取证的截屏、录像取证功能,可完整的记录取证过程,确保获取数据的原始性和勘验过程的可追溯性。


核心功能

离线取证
通过离线启动对象计算机,进入取证系统的方式获取数据的称为离线取证。离线取证支持针对Windows、macOS和Linux三大系统计算机的电子数据固定,包括获取硬盘/卷镜像、获取文件、系统痕迹分析提取和硬盘克隆。
Windows在线取证
Windows在线取证场景不仅支持离线取证(Offline)的所有功能,还支持内存数据取证和系统正在运行的易失数据(账户密码、用户记录和动态网络数据等)取证。
macOS在线取证
macOS在线取证就是在macOS上直接运行取证程序获取Mac设备硬盘/卷中的数据。支持获取硬盘/卷镜像、内存镜像。

产品特点

跨平台的取证产品
系统支持在Windows、macOS、Linux三大系统平台上运行和取证。
macOS在线取证
系统支持在macOS上直接运行取证程序获取Mac设备硬盘/卷中的数据。
灵活的数据提取策略
系统基于案件类型的数据提取策略根据选择的案件类型确定默认的数据提取项,且支持现场修改提取项。数据提取策略支持编辑默认策略内容和新增策略。可以满足不同用户对象的需求。
适用场景多
系统具备完整的计算机现场勘验功能与镜像功能,合适调查人员现场勘验使用,也适用在针对高度集成的计算机数据固定场景中。

适用场景

现场勘验
案发现场计算机的数据勘验,固定及保全。
实验室不拆机取证
实验室中不拆机数据提取,特别是针对高度集成的一体化设备的数据获取,因为此类计算机的硬盘难以拆卸,通过现场取证系统可以不拆机直接获取取证对象数据。

部署方式

现场取证系统通过配套的维护工具部署在U盘上,支持离线启动部署在U盘上得取证系统。