OSForensics：从极速搜索、密码破解、哈希验证到案件全流程管理-平芜编程栈

OSForensics 是一款专业数字取证软件，具备以下核心功能：极速文件搜索与索引（支持全文检索及数百种格式）、数据恢复（恢复已删文件、检测HPA/DCO隐藏区、访问卷影副本）、用户活动追踪（分析浏览器历史、USB连接、WiFi、注册表MRU及事件日志）、密码恢复与破解（提取浏览器密码、WiFi凭证、产品密钥，支持彩虹表和字典攻击）、十余种内置查看器（文件、内存、注册表、SQLite/ESE数据库、USN日志、邮件、Prefetch、Plist等）、底层磁盘分析（原始磁盘查看器、文件系统浏览器、RAID重组）、案件管理（加密案件、审计日志、自定义报告）以及便携运行（从U盘启动，无需安装）。其覆盖了从证据发现、深度分析到报告呈现的完整取证流程。

OSForensics 强大的证据发现能力

OSForensics是一款功能全面且强大的数字取证软件。它从高速文件搜索与索引入手，深入到邮件取证、数据恢复与隐藏区域分析，再通过全面的用户活动追踪和密码恢复功能重建操作轨迹，最后通过系统信息收集、辅助工具和案件管理报告功能，提供了一个从证据发现到分析再到呈现的完整闭环。其模块化的设计和对速度、深度的追求，使其成为数字取证领域的高效解决方案。

1、文件搜索与索引

作为其核心功能之一，该模块旨在从海量数据中快速、精确地定位关键证据。

高速文件查找：支持按文件名、大小、创建/修改日期等元数据搜索文件，其速度远超Windows自带搜索，并能确保找到磁盘上的所有文件，不会遗漏。
全文本内容搜索：可对硬盘内数百种格式的文件进行全文索引和搜索，支持相关性排序、日期范围筛选、通配符、排除项（“负搜索”）等高级功能。
广泛的格式支持：索引功能支持包括Office文档（DOC/X, PPT/X, XLS/X）、PDF、图片（JPG, PNG, TIFF等）、音视频（MP3）、压缩包（ZIP, RAR, 7z等）、光盘镜像（ISO）等多种格式。即使文件缺少扩展名，也能通过分析内容确定其真实类型。
内置文件查看器：无需依赖外部程序，即可直接以图像、文本、十六进制等多种方式查看文件内容，并提取其中的元数据。
缩略图缓存查看器：能从Windows的缩略图缓存文件中提取图片，这些缓存可能包含已被删除的图片证据。

2、邮件取证

邮件是数字取证中的关键证据源，该模块实现了对各类邮件的高效检索与审查。

多格式邮件索引：可为PST/OST (Outlook)、MBOX/EML (Thunderbird等)、MSG、DBX (Outlook Express) 等多种邮件档案建立索引，无需安装对应的邮件客户端即可读取。
高速邮件搜索：基于索引，可在1秒内完成对2万封邮件的搜索，并支持按日期、收件人、发件人、抄送人等字段进行精确筛选。
内置邮件查看器：可直接在软件内打开邮件，查看完整的邮件头、纯文本、HTML和RTF等格式内容，并能提取所有附件。

3、数据恢复与隐藏区域分析

此模块旨在挖掘被删除或有意隐藏的证据数据。

恢复已删除文件：能够恢复已从回收站清空的文件，并直观显示文件碎片在磁盘上的分布情况。
HPA/DCO隐藏区域检测：能够检测并访问硬盘的HPA和DCO这两个隐藏区域，这些区域通常被用于隐藏非法数据，可对其中的隐藏数据进行镜像或移除处理。
卷影副本访问：内置对卷影副本（Volume Shadow Copy）的支持，允许浏览文件系统在历史时间点的状态，从而发现文件的变更记录或已删除的文件。
原始磁盘查看器：可以按扇区逐个查看磁盘的原始内容，用于分析文件系统之外的隐藏数据。

4、用户活动追踪

“用户活动追踪”是 OSForensics 中的核心模块，用于全面重建和分析用户在系统上的操作轨迹，为调查提供了关键信息。

这个功能的核心是一键扫描，它能自动收集和分析 Windows 系统及常用软件留下的各类数字痕迹。用户只需在软件中运行“Recent Activity scan”，工具就会自动在后台开始分析。

其扫描和分析主要覆盖以下几个方面：

用户活动综合扫描：一键扫描系统，获取用户访问的网站、连接过的USB设备、无线网络、最近的下载记录等关键行为证据。
Web浏览器活动：通过扫描Chrome, Edge, IE, Firefox, Opera, Safari等主流浏览器的数据，它能够提取完整的访问记录，包括：
- 浏览历史与下载记录。
- 网站存储的Cookies。
- 用户在网站上保存的登录用户名和密码。
系统与应用程序痕迹：这部分主要分析Windows注册表和系统特性，重建用户行为轨迹。
- MRU列表：解析注册表中的“最近使用的项目”（MRU），包括访问过的Office文档、通过“运行”框执行的命令、连接的网络驱动器等。
- 跳转列表 (Jump Lists)：扫描Windows 7及以上系统任务栏的跳转列表，获取用户通过固定在任务栏的程序最近打开的文件记录。
- Windows搜索索引：分析系统默认开启的搜索索引数据库，其中包含的文件活动记录可作为一种补充的数字足迹。
- Windows事件日志：扫描安全、系统和应用程序日志，以发现账户登录/注销、系统开关机、驱动安装和应用安装等关键事件。
外部设备连接记录：
- USB设备：显示曾连接到计算机的USB设备详细信息，包括制造商、产品ID、序列号及最后连接时间。
- 无线网络：列出计算机曾连接过的WiFi接入点名称及连接时间。
跨平台支持 (Mac OS X)：该模块也支持对Mac OS X系统的分析，可以提取Safari浏览器记录、最近使用的项目、连接的iOS设备备份和WiFi信息等。
时间线视图 (Timeline View)：所有收集到的活动数据（文件创建、网页浏览等）都会被整合到一个交互式条形图中，你可以在年、月、日等不同粒度上缩放，直观地查看系统活动的高峰期和行为模式。
高级技巧：分析独立注册表文件：如果你有从其他系统提取出来的注册表文件（如SAM, SYSTEM, NTUSER.DAT等），可以将它们放在一个无系统的磁盘（如U盘）根目录下，然后用此模块扫描该磁盘，同样能快速解析出其中的用户活动记录。

5、系统信息与密码恢复

此模块负责收集计算机的基础配置信息，并尝试恢复各类加密或存储的凭证。

系统信息收集：可详细收集CPU、主板、内存、BIOS、显卡、USB控制器、网络适配器等硬件信息。支持通过Python脚本调用第三方工具来扩展信息收集能力。

OSForensics 的密码恢复功能不仅限于“找回”，更侧重于“恢复”和“破解”，具体机制如下：

直接恢复的密码：对于存储在系统中的凭证，OSForensics 可以直接读取和恢复。
- 浏览器保存的密码：可恢复Chrome, Edge, IE, Firefox, Opera等浏览器中保存的网站用户名和密码。即使是访问过但选择“不保存”密码的网站，也会被标记为“黑名单”URL。
- 系统与网络凭证：包括Outlook和Windows Live Mail密码、系统保存的WiFi密码、Windows自动登录密码，以及Windows 7/8/10和Office/Visual Studio等微软产品的产品密钥。
主动破解：哈希与文档解密：当无法直接获取明文密码时，工具会采用技术手段进行破解。
- 哈希破解与彩虹表：它可以利用彩虹表快速查找与MD5、LM、NTLM、SHA1哈希值对应的明文密码，也支持自行生成彩虹表。
- Office与PDF文档解密：
  - 旧版文件 (40位加密)：对使用40位加密的旧版Office（97/2000）和PDF文件，软件能通过穷举密钥的方式进行暴力破解，理论上最多3天可完成。
  - 新版文件：对于采用AES等强加密的Office 2007+和RAR文件，由于破解速度被大幅减慢，只能进行字典攻击，即使用预设的字典文件不断尝试密码。
性能加速 (专业版)：其密码恢复模块采用主从架构。一个服务器端分配任务，多个客户端可以同时在网络上不同的计算机上运行，协同进行密码破解，极大提升速度。

6、辅助工具与报告管理

为完成整个取证流程提供必要的辅助功能和案件管理能力。

内置取证浏览器：提供一个专门用于取证分析的文件系统浏览器，能显示更多额外信息，并与OSForensics的其他功能深度集成。
证据网页捕获器：内置一个简易网页浏览器，可将网页内容（包括嵌入的视频）截取保存为案件证据，适用于从社交媒体等在线平台收集信息。
哈希匹配与文件验证：使用MD5、SHA-1、SHA-256等哈希算法为文件生成数字指纹，用于验证文件完整性或识别可疑文件。
误报文件查找：通过分析文件内容与其扩展名是否匹配，来发现用户试图通过修改扩展名来隐藏的“暗数据”。
数据库浏览器：内置SQLite和ESE数据库浏览器，可直接查看和分析这些数据库中存储的取证数据。
案件管理与报告生成：支持创建和管理多个案件，并生成包含调查发现、时间线、附件等的自定义报告，便于记录和呈现整个调查过程。
配套工具集：提供OSFMount（用于挂载磁盘镜像）、OSFClone（用于创建磁盘的原始镜像）、ImageUSB（用于将镜像同时写入多个U盘）等辅助工具，形成一个完整的取证生态系统。

7、功能亮点与特色

速度快：文件搜索和邮件索引/搜索的速度远超同类工具和操作系统自带功能。
深入底层：能够处理HPA、DCO、卷影副本等操作系统通常不直接暴露的底层数据区域。
不依赖外部环境：解析邮件、查看文件、读取注册表等操作均不依赖原应用程序或Windows API，确保取证分析的原件性和独立性。
集成化程度高：将数据发现、恢复、分析、报告生成等取证流程整合在一个统一的界面中，并提供了多种内置查看器，大幅提升了工作效率。

OSForensics 强大分析能力——内嵌多方位的查看器

OSForensics 的核心分析能力，很大程度上是通过其丰富的查看器（Viewer）模块来体现的。这些工具覆盖了从最底层的磁盘原始数据到高级应用层日志的各个层面。其中包含几个通用的分析工具，它们是许多调查工作的基础。

哈希匹配与验证 (Verify and Match Files)：这是确保证据完整性和识别已知文件的核心手段。OSForensics 支持SHA-1、MD5、SHA-256等算法为文件或磁盘卷生成哈希值（数字指纹），用以验证文件是否被篡改。同时，它能利用哈希集快速识别已知的安全文件或可疑文件，帮助调查人员快速排除无关文件或定位恶意软件、违禁品等证据。
误报文件查找 (Find Misnamed Files)：这一功能用于揭露“暗数据”（Dark Data），即用户通过修改文件扩展名来隐藏真实内容的文件。它能分析文件内容的原始字节，找出那些内容与扩展名不符的文件，并将它们从文件列表中预览，以便进一步分析。
硬盘签名对比 (Compare Drive Signatures)：此功能通过创建和对比硬盘的“签名”快照，来监控文件系统的变化。该签名包含文件的目录路径、大小和属性等信息。通过对比不同时间点的签名，可以快速识别出新增、修改或删除的文件，并支持导出差异报告。

接下来，将详细探讨 OSForensics 提供的各类专属查看器。

1、核心文件分析

文件查看器 (File Viewer)：这是一个支持多模式的内置查看器，可从多个维度分析文件内容。
图片/视频查看器 (Image/Video Viewer)：支持BMP、JPG、GIF、PNG、Exif、TIFF等图片格式，以及MPG、MP4、AVI、MKV、WMV等多种视频格式，视频查看器可同时显示9个关键帧用于快速检视。
十六进制/字符串查看器 (Hex/String Viewer)：以十六进制显示文件原始字节，并能提取其中的 ASCII/Unicode 字符串，且支持用户配置字符串的最小/最大长度。
文本查看器 (Text Viewer)：将任何文件（包括二进制文件）作为文本来显示，适用于寻找隐藏在二进制文件中的文本。
元数据查看 (Meta Data Viewer)：自动显示文件格式特定的元数据，如图片的相机型号、文档的作者信息等。

2、操作系统与应用痕迹分析

内存查看器 (Memory Viewer)：支持对活动系统的内存进行分析，能显示所有运行中进程的详细信息；也支持对内存转储文件进行静态分析，提取进程列表、可疑进程、已加载驱动和检测到的恶意软件等信息。
注册表查看器 (Registry Viewer)：此查看器不依赖 Windows API，可直接分析离线注册表文件，并能绕过 Windows 权限限制和 Rootkit 的隐藏行为。它能显示键值的最后编辑时间，并提供强大的搜索和导出功能。
缩略图缓存查看器 (Thumbnail Cache Viewer)：能读取 Windows 的缩略图缓存数据库，展示其中的图片缩略图。这项功能在原始图片已被删除的情况下尤为关键，因为缩略图可能仍然存在，从而成为重要的证据来源。
Prefetch 查看器 (Prefetch Viewer)：用于分析 Windows Prefetch 文件夹中的文件，可以获取程序的运行次数、最后运行时间以及它访问过的文件等应用执行指标，用于还原用户的应用使用模式。
Plist 查看器 (Plist Viewer)：用于解析 macOS 和 iOS 系统中用于存储配置信息的 Plist 文件，同时支持 XML 和二进制格式，并允许在键值中进行搜索。

3、数据库与日志分析

SQLite 数据库浏览器 (SQLite Database Browser)：支持直接打开和查看SQLite格式的数据库文件，这类文件被iPhone、Firefox、Chrome等广泛应用。
ESE 数据库查看器 (ESE Database Viewer)：专门用于查看微软的可扩展存储引擎（ESE）数据库，Windows 搜索、Windows Live Mail、Internet Explorer等应用都使用此格式。
USN 日志查看器 ($UsnJrnl Viewer)：用于解析 NTFS 文件系统的$UsnJrnl变更日志，其中记录了文件的创建、删除、覆盖等所有变动。这对于识别那些已经从文件系统中消失的可疑文件（如恶意软件）非常有价值。
Windows 事件日志查看器 (Event Log Viewer)：支持查看和分析 Windows Vista 及以后版本的.evtx事件日志文件。它提供高级过滤、正则表达式搜索以及直观的时间线图表视图，并能将结果导出为 CSV、TXT 或 HTML 格式。
Web 服务器日志查看器 (Web Server Log Viewer)：支持解析和分析Apache、IIS、NGINX等主流 Web 服务器的访问日志和错误日志，支持通用、组合和自定义日志格式，并能生成 Top 报告和导出数据。

4、专项取证分析

时间线查看器 (Timeline Viewer)：它能将文件创建、网页浏览、USB 连接记录等系统活动数据整合到一个交互式条形图中，提供随时间变化的可视化展现。分析师可以按年、月、日等不同粒度缩放时间轴，快速定位特定时间段内的活动高峰。
邮件查看器 (Email Viewer)：无需安装 Outlook 或 Thunderbird 等邮件客户端，即可直接解析PST、OST、EML、MSG等格式的邮件档案。查看器会完整展示邮件头、正文（Text、HTML、RTF）以及所有附件。

5、磁盘与文件系统底层分析

文件系统浏览器 (File System Browser)：一个类似资源管理器的工具，但能显示更多取证信息。它支持NTFS、FAT、exFAT、Ext、HFS+、APFS等主流文件系统。其独特功能包括：列出已删除文件、绕过 NTFS 权限、显示 NTFS 数据流、查看文件碎片状态等。
原始磁盘查看器 (Raw Disk Viewer)：此工具允许用户直接查看和分析物理磁盘或分区镜像的原始扇区数据，可访问操作系统通常无法触及的区域，如空闲簇和文件 Slack 空间。它内置了文本/十六进制搜索、磁盘偏移量高亮显示以及对 MBR、GPT 等磁盘结构的解码功能。

OSForensics 通过这些多样且深入的查看器，构建了一套从应用层到底层、从易失性内存到非易失性存储的完整取证分析体系。

OSForensics 全流程的案件管理功能

OSForensics 提供了一套贯穿取证工作全流程的案件管理功能。这些功能确保了从案件创建、证据采集、数据分析到报告呈现的每一步都规范、安全且高效，为调查工作构建了完整的管理体系。

1、案件全生命周期管理

创建与管理案件 (Create and Manage Cases)：OSForensics 允许将所有发现的证据（如文件搜索结果、用户活动记录等）整合到一个加密安全的案件文件中，并支持添加外部报告、证据照片和设备。案件内的所有项目都可被快速访问，同时，它还能让你自定义字段、加载模板，并使用HTML编辑器撰写案情描述。
安全日志记录 (Secure Case Logging)：该功能可自动记录调查过程中的所有活动，形成完整的审计追踪，用于事后复盘或评估调查人员的操作是否符合规范。日志文件采用加密存储，并包含多层完整性校验（如哈希链），能有效防止被篡改。
生成报告 (Generate Reports)：支持将案件文件导出为自定义的HTML或PDF报告，清晰地呈现所有证据。你可以从5种预定义模板中选择，并添加公司Logo，同时支持将外部HTML报告或其他类型的文档整合进来。

2、存储设备与证据源管理

存储设备管理 (Storage Device Management)：该功能提供了一个集中管理所有证据源的界面。你可以将物理磁盘、分区、镜像文件、网络路径、卷影副本以及BitLocker加密卷等添加到案件中。添加后，可以为每个设备设置一个用户定义的别名，方便在所有OSForensics功能中统一访问。
磁盘镜像 (Drive Imaging)：支持创建和恢复存储设备的逐位（bit-by-bit）完整镜像，是确保证据原始性的关键步骤。该功能利用了Windows的卷影复制服务，允许在系统运行时对正在使用的磁盘（如系统盘）进行镜像，而不会造成数据损坏。
云端硬盘取证 (Cloud Drive Imaging)：支持从Dropbox和Microsoft OneDrive账户中下载文件，并可以保存云端特有的元数据（如修改时间、哈希值等）。
云端账户取证 (Cloud Account Imaging)：支持将来自Outlook/Hotmail等服务的网页邮件导出为MBOX格式，便于后续使用OSForensics的邮件查看器进行分析。
RAID重组 (Rebuild RAID)：该功能能够根据一组物理磁盘镜像，重组出RAID阵列的逻辑镜像。它支持RAID 0、1、5等多种常见级别，并能自动检测Intel Matrix RAID、Linux mdadm等元数据格式，自动配置RAID参数。

3、便携与安全部署