【电子数据】FTK国际版7.4.2升级技术说明
7.4.2中的新增功能
本版本中有以下新项目:
数据库
FTK现在引用databaseConfig.xml(而不是FTKDatabases.xml)来连接到证据数据库实例。
当前的数据库连接文件:
[DRIVE]\ProgramData\AccessData\Shared\DatabaseConfig.xml
不推荐使用的数据库连接文件:[DRIVE]\ProgramData\AccessData\Products\Forensic工具包 \FTKDatabases.xml
数据-控制实用程序的“数据验证”功能已被更新,以便与7.4版所使用的数据库模式兼容。
数据审查
系统信息选项卡已被替换为新的“系统摘要”选项卡。
能够在“系统汇总”选项卡中的证据之间进行切换。(第805页)
从图形图像中解析的EXIF元数据现在可以作为文件网格中的列使用。(FCR-414)许多EXIF列字段都属于“列设置”中的“图像”类别下的字段
管理器
筛选器管理器中提供了批量删除(CTRL-单击)用户创建的筛选器记录的选项。
改进了列数据,以更好地处理从微软Office文件中解析的元数据(FCR-421)
选择某些类别注释后(例如从概览选项卡)时,应用程序将自动在网格中为您选择相应的列设置配置文件。(见附录A用于将过滤器映射到列中。)
默认情况下,用于在“浏览”选项卡树视图窗格中标识恢复点图像的描述符被命令为“最旧到latest...”,以明确指示拍摄快照的时间点。
通过“单击更新大小”按钮,总LSize网格窗格统计信息将按需计算
若要控制总大小计算的行为,请创建以下DWORD32位注册表项值:HKEY_LOCAL_MACHINE\SOFTWARE\AccessData\Products\Forensic工具包\[版本]|show_total_logical_size
从中分析EXIF数据库记录的图形图像记录现在可以作为子对象与书签中的EXIF对象相关联。
概述选项卡现在包含用于从证据分析的系统摘要信息的节点。
系统摘要项目现在可以使用标签、书签等方式报告为正常对象。或者也可以导出为“导出文件列表信息”。
导出
现在,加载文件导出可配置为支持大小大于50MB的本机文件。
控制便携式外壳导出中包含的文件的最大大小。
要配置此项,请在ADG.WeblabSelfHost.exe.config文件的以下键中编辑值参数:
<添加键=“MaxFileSize查看InMB”值=“2000”/>
图像识别
图像分析工具现在包括自动相似人脸和相似对象检测分析。(第449页)
安装
安装向导中“高级”安装路径的一部分安装组件。
安装程序已被改进和简化,以帮助根据正在安装的产品安装所有适当的组件。此外,Quin-C服务现在可以酌情安装在中央服务器上。
Quin-C服务现在可以配置为作为指定的Windows用户凭据运行。
内存转储功能分析
内存分析功能已更新到版本3。
导入的内存转储文件分析
下面所示的新复选框允许您根据需要启用内存分析3。
对于未列出的系统配置文件,请标记“看不到您的配置文件”。尝试内存分析3。”复选框:
移动设备
更新了对分析UFDR版本7.34及更高版本的支持。
便携式应用(QView脱机)
在便携式案例界面中对标签、书签、书签注释和注释所做的更改现在可以同步回FTK中的案例。
在QView脱机界面中导出案例数据以供审阅时,您现在可以选择定义自定义路径和便携式案例数据存档文件的名称。
QView脱机界面现在具有:
-图形缩略图面板。
-可创建/删除标签和书签的选项。
-批量书签和批量标签选项现在可以通过网格中的右键点击上下文菜单获得
-将数据加载到接口中的事例的名称。(第629页)
-现在可以保存首选布局以在QView脱机界面中使用。(第631页)
-能够在从QView脱机导出时,将文件转换为“pdf”
处理选项
增强的Windows系统摘要信息分析。请参见附录B有关受支持的项目类别的详细信息。
重要信息:为了索引搜索解析的Windows系统摘要信息数据的索引,除了创建的索引外,还必须通过其他分析运行单独的索引作业
已获取的数据
EXIF数据现在被解析为元数据列,用于在网格中进行排序、筛选、标记、报告等
改进的证据处理选项的工具提示(将鼠标悬停在该选项上)
“证据处理配置文件”管理器的“索引选项”对话框现在列出了下划线
连字符字符框中的字符(“_”)。因此,默认情况下,下划线字符现在将作为空格字符(“”)进行 索引。
注:默认情况下,通过下划线连接的单词将作为两个单独单词进行索引。通过从连字符处理下拉列表中选择一个选项,可以覆盖连字符的处理方式。
默认情况下,at(“@”)符号进行索引,并在处理配置文件“索引选项”对话框中的“字母”字符中列出。(第160页)
当从“展开复合文件”菜单中选择展开AFF4的选项时,现在将自动选择“展开复合图像文件”选项。
系统摘要项目的HTML样式已被重新设计,以与应用程序中的其他HTML页面保持一致。
FileVault2解密(APFS)支持。用户现在可以导入基于非T2MAC的图像,FTK将提示进行FileVault2加密。
更快地处理AFF4图像文件。
新列显示每个文件对象的OCR字数。
支持分析微软edge数据。
“生成系统信息”处理选项的功能现在称为“生成系统摘要”
相关报告
报告中包含的屏幕捕获的文件名现在可以作为报告选项的一部分进行重命名。
查看器
视频文件现在默认在多媒体查看器中有720行分辨率。
附件
重要信息
受支持的平台
操作系统支持
支持以下Windows操作系统:
附录A
以下是内置FTK过滤器和自动列设置之间的映射列表。
下面是如下:
附录B
下表列出了扩展系统信息分析处理选项的类别和子类别。