一、產品概況：

      FEX（Forensic Explorer）是澳大利亞 GET DATA 公司研發的一款專業的司法分析軟件，該軟件集鏡像加載、數據恢復、數據檢索、數據分析、注冊表分析以及報告生成等多功能于一體，操作界面簡單易用，是取證分析工作的工具，也是保存、分析和展示電子證據的專業工具，被廣泛應用于部門、政府部門、和企業調查機構。

二、功能概述：

Forensic Explorer將靈活的圖形用戶界面（GUI）與高級排序、過濾、關鍵字搜索、預覽和腳本技術結合在一起，調查人員可以通過它實現如下功能：

1. 在一個案例文件結構中管理來自多個源的大量信息的分析；

2. 訪問和檢查所有可用的數據，包括隱藏的系統文件、刪除的文件、文件和磁盤損耗和未分配的集群；

3. 自動化的復雜調查任務；

4. 制作詳細的報告；

5. 為非法醫調查人員提供一個平臺， 可以非常方便地審查證據。

三、具體功能：

現場引導：引導刑偵鏡像文件，包括Windows（所有版本）和MAC。

影子拷貝分析：可以很輕松地添加和分析影子拷貝文件。直接對VSC影子拷貝與原鏡像進行智能比對和分析。

定制化的接口：Forensic Explorer管理器接口為了滿足定制化工作空間的需求，采用了靈活的設計。您可以輕松、簡單地拖拽、刪除和分離窗口。您可以保存并加載您自己的工作空間配置，以滿足調查需求。

國際語言支持：Forensic Explorer兼容Unicode。調查人員可以用自己的母語來搜索和查看數據，比如：荷蘭語或阿拉伯語。

完整的數據訪問：用戶可以查看和訪問物理磁盤以及鏡像文件中的所有數據，查看和分析系統文件、文件和磁盤損耗、交換文件、打印文件、引導記錄、分區、文件分配表、未使用簇等等。

線程化的應用程序：線程化方式運行多個函數和腳本。

多線程處理：很大程度利用計算機的處理能力進行關鍵詞搜索、數據挖掘、哈希校驗以及文件簽名分析等。

多重核心處理：采用的計算機處理器在關鍵字搜索、數據雕刻、哈希、簽名分析等工作中實現強化功能。

強大的Pascal腳本語言：使用提供的腳本庫自動化分析，或者編寫您自己的分析腳本。可完成以下類型的自動化任務：

1)  在圖形文件上運行皮膚色調分析；

2)  從注冊中心提取用戶和硬件系統信息；

3)  查找和分析互聯網記錄等。

強大的數據視圖具有如下功能：

1)  文件列表：可根據屬性對單個或者多個文件進行排序和查看，如：按文件屬性、擴展名、簽名、哈希值、存儲路徑以及創建/訪問/修改時間等方式；

2)  磁盤：通過圖形視圖瀏覽磁盤及其結構。放大和縮小，以圖形方式映射磁盤的使用情況；

3)  圖庫：縮略圖和圖像文件；

4)  顯示：可顯示300多個文件類型。進行縮放、旋轉、復制、搜索等。可播放視頻和音樂；

5)  文件系統記錄：可輕松訪問和翻譯FAT和NTFS記錄；

6)  文本和十六進制：可以訪問和分析文本或十六進制中的數據。用數據檢查器自動解碼；

7)  文件范圍：可通過開始和結束扇區運行的方式快速定位磁盤上文件的位置；

8)  字節圖和字符分布：使用字節圖和ASCII字符分布檢查單個文件。

分類和自定義過濾器：

1)  可過濾列表視圖，以顯示符合設置條件的文件夾和文件。可以定義您自己的過濾器腳本；

2)  按照類別視圖顯示文件，其中文件按擴展名、簽名、屬性等進行分組；

3)  快速標記感興趣的文件。

RAID支持：可用于物理或法醫鏡像RAID媒質，包括RAID、JBOD、RAID 0和RAID 5的軟件和硬件。

支持哈希校驗功能：可使用哈希庫過濾已知文件或單獨計算文件的哈希值。

關鍵詞搜索：使用正則表達式對整個媒質進行扇區級別關鍵字搜索。

關鍵詞索引：內置多線程的DTSearch索引和關鍵字搜索技術，可快速定位所需的關鍵詞。

書簽和報告：可添加案例注釋以論證證據，并可在自定義報告構建器中添加案例說明。用戶可以把所需的文件添加到書簽中，并導出報告。

數據恢復和刻錄：可恢復文件夾、文件和分區。可使用內置的數據刻錄工具刻錄300多種已知的文件類型或用戶自己制作的腳本。

文件簽名分析：Forensic Explorer 可以自動檢查案例中每個文件的簽名，自動識別、匹配和分析擴展名，并識別那些不匹配的文件擴展名。

注冊表分析：打開和檢查Windows注冊表。進行過濾、分類和注冊碼關鍵詞搜索。使用正則表達式腳本自動進行注冊表分析。

四、支持分析的文件格式：

支持對以下文件格式進行分析：

Apple DMG；

DD or RAW；

EnCase^® (.E01, .L01, Ex01)；

Forensic File Format .AFF；

FTK^®(.E01, .AD1 formats)；

ISO (CD and DVD image files)；

Microsoft VHD；

NUIX File Safe MFS01；

ProDiscover^®；

SMART^®；

VMWare^®；

XWays E01 and CTR。

支持對以下文件系統進行分析：

Windows FAT12/16/32, exFAT, NTFS；

Macintosh HFS, HFS+；

EXT 2/3/4；

硬件和軟件RAID: JBOD, RAID 0, RAID 5。

支持對以下電子郵件格式進行分析：

電子郵件模塊支持對.PST文件的分析；

索引搜索模塊（DTSearch）支持對.PST 文件的的索引和關鍵詞搜索的分析。