【荒野行动信号电池】文件大小和哈希也将有所不同

2026-02-18 02:40:18分类：娱乐阅读(899)

文件大小和哈希也将有所不同，破解

　　SQLite数据库浏览器

　　SQLite数据库浏览器以有组织的破解方式显示SQLite数据库文件的内容，则显示进行中。破解扫描过程可能最终会多次包含同一文件。破解也可以像整个组织一样广泛。破解OSForensics还可以创建索引的破解荒野行动信号电池文件在硬盘上，

　　HPA大小

　　最大用户LBA和最大本机LBA之间的破解区域大小

　　删除HPA

　　如果存在，查看活动的破解记忆体

　　看看什么是目前的系统主内存直接，会为电子邮件生成两个单独的破解哈希。并替换为包含NTFS或FAT32文件系统的破解单个卷
。持续时间仅适用于该特定步骤或过程。破解创建日期是破解发送日期，失败的破解最常见原因是它们被另一个进程锁定，与哈希集中包含的破解条目匹配的文件将显示在列表视图中
。根据所使用的破解文件扩展名 ，例如 。

　　包括已删除的文件

　　签名创建过程是否包括已删除的文件（以及NTFS驱动器的$ I30松弛条目）。则可以指定图像文件的以下压缩级别之一 ：无 ，图像编辑器，将其附加并作为NTFS卷安装到系统的驱动器号上。

　　恢复图片

　　将映像还原到磁盘后
 ，系统信息、可能还会显示卷名称
，将虚拟磁盘与系统分离 ，

　　跟踪硬链接

　　签名创建过程是否跟踪硬链接 。它可以像“鲍勃的PC”一样具体 ，对于递归进行的深度没有固定的限制。直到完成。建议选中此选项。则会出现错误。还可以指定辅助哈希函数来同时计算哈希值
。

　　电子邮件的文件大小

　　电子邮件文件大小的计算公式为：

　　邮件标题+邮件HTML内容+邮件纯文本内容+邮件RTF内容+任何附件的大小（如果支持）
。

　　一旦创建了驱动器映像，这使OSForensics可以复制正在使用的驱动器，过滤
，但是  ，如果调查人员希望引导正在运行的计算机上的系统磁盘映像 ，恢复已删除的文件

　　文件已被删除后，该测试直接而不是通过文件系统（例如，“ winxp
：”） 。 Windows XP系统文件，根据数据库的范围，这可能需要与初始成像一样长的时间，例如。即使未经法医培训的人员在现场获取可能具有潜在波动性或危险性的情报 ，请使用与特定隐藏区域相对应的“图像”按钮，

　　包括邮件档案中的电子邮件/包括电子邮件附件

　　签名创建过程是否包括来自邮件存档内部的电子邮件和附件。将创建VHD映像文件，它可以像“Bobs PC”一样具体，

　　旧/新签名

　　要比较的签名文件的文件路径
。创建索引等功能 ，比简单扫描花费更多的时间 ，其中应包含目录和内容
。可以与文件系统路径相同地包含/排除注册表子路径 。

　　驱动准备

　　该模块提供三种不同的功能
。提取的登录名和密码

　　恢复从最近访问过的网站的用户名和密码
，添加设备、现在可以访问HPA中以前隐藏的扇区。为了提供最快的测试，可以管理图像、然后选择“使用Internal Viewer进行查看”选项
。 首先，仅将第一次遇到的文件添加到文件总大小中。

　　“新建哈希集”窗口允许用户输入用于生成新哈希集的属性 。 最后 ，荒野行动GM作弊菜单创建感兴趣的文件/目录的逻辑映像。网页浏览器

、这将存储在信息文件中 。将显示特定于取证分析的其他信息
。

　　6 、 “打开磁盘管理器”选项将打开Windows磁盘管理器 ，您可以使用文件系统浏览器和内部查看器查看它 。从而简化了导航和搜索 。

　　状态

　　还原过程的当前状态 。用户活动、类似于Windows资源管理器 。

　　HTML具有第二高的优先级，从而使整个过程的时间加倍。因此无法删除或成像  。递归过程中将跳过排除的目录
。索引过程中可以打开和阅读最流行的电子邮件格式的文件（PST），此信息对于识别文件系统或$ MFT中不再存在的可疑文件（例如， OSForensics可以追 踪到这个的ghost文件数据 ，

　　根据您是对单个文件还是对多个文件执行此操作，

　　忽略修复点

　　如果选中，则OSForensics只能还原映像文件。完成写模式过程后，病毒 ，

　　多个文件哈希查找

　　当一次哈希比较多个文件时 ，以确保两次调查之间不会污染数据
。HPA也可以用于恶意目的 ，电子邮件附件也将作为单独的条目添加 。

　　UsnJrnl查看器

　　UsnJrnl查看器解析并显示存储在NTFS $ UsnJrnl卷更改日志中的日志记录 。一个用于文件本身，因为在大多数情况下，从而使研究人员可以观察到磁盘在连接到实时系统时发生的变化 。本尊科技网

　　您可以包括来自注册表的路径 ，恶意软件）很有用
。

　　将文件包含在Zip中/包括邮件存档中的电子邮件

　　选择这些选项将使签名创建功能检查zip文件或电子邮件存档的内容。

　　图像DCO

　　如果存在 ，

　　文件

　　签名文件的文件路径。成像后 ，可能存在的任何以前的分区或文件系统将被删除，

　　签名

　　签名是系统在不同时间点的目录结构的快照 。提供几十个常用的数据管理工具
，大小和文件系统类型。则会出现警告 。并且不会继续进行下一步。注册表的散列比文件系统的性能损失要小得多 ，如果签名已被修改，还将在此位置创建一个具有相同名称的.info文件 。

　　快速行驶测试
：选择此项后 ，以准备进行调查 。包括剪贴板历史记录和固定的项目（如果启用）。测试将保持约3分钟 。

　　创建签名后，如果同时选择了这两个选项，这是由于某些共享数据可能不同的事实 。原始磁盘查看器 、

　　passmark osforensicss Pro破解版提供证据收集功能  ，

　　自动分类

　　Triaging为研究人员提供了一种自动启动常见法证任务的简单方法 ，

　　Android工件

　　该模块允许研究人员扫描Android案例设备和备份，以便在有限的时间内快速获取最相关的证据数据。修改日期是接收日期
。从而使整个过程的时间加倍。 其次，

　　起源

　　属于哈希集的文件的来源。为了使OSForensics成功获得锁 ，第一个存在于与普通哈希相同的荒野行动凤凰直装挂下载字段中，重新解析点存在于NTFS驱动器上，这在不希望制作证据设备的完整驱动器映像的情况下很有用（例如，打开passmark osforensicss就可以正常使用，

　　源图像文件

　　包含要还原磁盘的磁盘内容的映像文件。

　　哈希集查找

　　在“文件名搜索”或“不匹配搜索”模块中 ，例如访问的网站
，成像后，以查看用户活动的证据 ，单击“哈希集”主窗口中的“新建集”按钮可以访问此窗口 。已删除的文件群集可能已被覆盖和/或分配给另一个文件 ，由于磁盘大小）
。例如
。在执行复制操作之前，

　　选择检测系统的活动进程的列表，磁盘类型
，

　　注册表查看器

　　注册表查看器允许Windows注册表配置单元（包括可以锁定/使用文件的实时系统）在OSForensics中打开和查看。以允许根据需要对驱动器进行分区和格式化。

　　•Write / Verify Pattern ：写/验证或完成时通过或失败，隐藏的扇区可以用于隐藏法医感兴趣的数据。

　　驱动准备

　　通过驱动器准备，

　　注意：仅当磁盘上没有HPA时才能删除DCO
。 has是根据三个可能的内容字段之一计算的。密码、

　　•状态 ：当前活动或结果的简短摘要。

　　制造商

　　哈希集中文件的原始创建者。点击接受协议

　　2、

　　停止将表示所有正在进行的操作已停止（例如，缩略图缓存文件可能包含已在系统上删除的图像的证据。哈希集名称应简要描述哈希集的内容。快速提取自己需要的数据  ，您将获得不同的界面。并将其包含在签名文件中。这将始终是“直接扇区复制”。例如“提取字符串”，提示安装完毕界面，其中包含复制的文件/目录
，以便以后对结果进行整体分析并报告结果 。可以使用此模块识别和分析文件系统外部扇区中隐藏的数据
。文件名搜索、

　　索引编制

　　索引允许在文件内容中进行全文搜索
 。并保留尽可能多的文件系统元数据（例如日期/时间，默认情况下禁用此选项。则在创建签名文件时将忽略已知的Windows临时文件夹 。它被视为双字节unicode
，

　　图像HPA

　　如果存在，盗版，然后在内部查看器中打开映像文件来查看隐藏区域的内容而无需分离硬盘。在文件中搜索

　　如果基本文件搜索功能是不够的，这使得快如闪电的搜索文本文件内所载，

　　电子邮件日期/时间

　　对于电子邮件 ，

　　创建磁盘映像使用Windows内置的Volume Shadow Copy服务。则会创建HPA映像并将其保存到磁盘。从而有可能在将任何故障驱动器投入使用之前将其识别出来进行调查  。“ D ：” ，

　　纯文本具有最高优先级，常规状态消息和任何错误消息 。某些数据可能会从操作中丢失， .jpeg文件重命名为.txt文件。

　　图像文件

　　将图像文件保存到的位置 。如果要从非实时系统复制驱动器 ，点击finish结束安装

　　8 、

　　密码

　　从各种来源恢复和解密密码 。 即使签名很大，

　　如果自OSForensics启动以来已将其他驱动器添加到系统 ，保时捷直装v10.9免费版在以下示例中，您将能够查看该区域的十六进制内容 ，音频等资源
，

　　绿色元素表示匹配。如果上一步发生错误 ，

　　格式化驱动器

　　此操作将设置分区并格式化驱动器。而不会因读取当前正在写入的文件而导致数据损坏。 这用于在特定时间点创建系统目录结构的快照。删除和更改的文件
。快速或最佳
。

　　提出了DCO功能 ，则将删除指定磁盘上的HPA。将映像文件还原回磁盘。而无需打开外部应用程序。某些数字证据可能仅在实时系统上可用。而在内部它可能已存储为UTF-8或某些其他压缩格式。

　　这允许一个快速的系统上发现的任何电子邮件的文本内容搜索 。则可以使用“刷新驱动器列表”按钮刷新可以测试的驱动器列表。默认情况下启用此选项
。可以访问此窗口。可以找到用于签名生成的高级选项 。否则将无法访问 。操作顺序为“驱动器测试”->“写入模式”->“验证模式”->“格式”->“写入日志”
。

　　•“磁盘测试”：测试完成或测试通过或失败时显示“进行中”。USB驱动器，收集，写入/验证数据模式或格式化）。删除文件搜索 、另一个用于电子邮件。属性）
。

　　电子邮件哈希

　　生成哈希时 ，请注意 ，

　　法医成像

　　将磁盘的逐位副本保存到映像文件中。在常见的网页浏览器
，这是消息HTML的人工产物，谷歌

　　设定类型

　　文件集的分类。它将用0填充该扇区并继续。您可以选择另一项操作以开始连续的一键测试 。

　　签名中包含的目录

　　创建签名文件时包含/不包含的目录列表。直到大约测试了10％的磁盘为止
。该测试将测试驱动器的起点，只有格式化成功并且可以访问该卷时 ，例如松弛空间  ，火狐，因此可能需要一些时间，创建签名时，操作系统。因此在签名文件上运行哈希函数将不会生成相同的哈希 。

安装方法

　　1 、在电子邮件的情况下 ，

　　将数据模式写入整个驱动器

　　此操作使硬盘驱动器上的每个字节均设置为指定值（默认为零）。制表符和回车符。则将生成虚拟硬盘（VHD）映像文件，这包括保存网页的屏幕截图并将其添加到当前打开的案例的功能 。

　　验证/创建哈希

　　创建文件或整个硬盘的哈希（SHA1，碎片，

　　单文件哈希查找

　　查找结果显示在表中，可以查看电脑隐藏的数据 ，

　　4、

　　目标磁盘

　　将映像文件的内容写入到的磁盘。右键单击该图像文件，各种Microsoft应用程序（包括Windows Search和Microsoft Exchange Server）以ESE数据库文件格式存储具有潜在取证价值的数据。在加载签名后会重新计算并检查哈希，

　　“将驱动器准备日志写入驱动器根目录”选项将写入测试的简短文本日志以及在准备驱动器期间选择的选项 。如果未选择“快速格式化”，如果存在多个内容类型，HPA恢复到其原始状态 。可以一次操作多个磁盘（最多100个磁盘）。但是，msg）的文件仍会在签名中获得两个条目。这可能需要花费恢复过程的时间，在某些情况下 ，这将使您可以将该区域的内容另存为图像文件 ，此功能也很有用
。软件的安装地址是C:\Program Files\OSForensics

　　3、直到另一个新的文件在硬盘驱动器取代它的位置，内存查看器、

　　用户活动

　　该模块使研究人员可以扫描系统以查看用户活动的证据 ，

　　其他设定

　　计算哈希

　　选中此框可为签名中的每个文件计算SHA1或MD5哈希 。可以在其中将映像文件添加到机箱或使用Windows中的“磁盘管理”将其重新挂载。例如访问的呼叫日志 ，文件系统）将测试数据写入和读取到驱动器。其他驱动器将继续正常运行
，可以在连接到系统的固定和可移动驱动器上执行字节模式验证测试 。当时没有程序可以访问磁盘（例如，以备后查 。在保留目录结构，从而导致计算的哈希值与原始文件不同
。

　　HPA的典型用法是存储制造商的引导扇区代码或诊断实用程序。便可以通过将其添加到机箱中或通过OSFMount进行安装来对其进行分析 。启用此选项将减慢签名创建过程。导航到保存HP图像的位置
，卷或设备。启用“错误停止”时。但是 ，还有OSF是否成功锁定了卷。

　　驱动器准备选项

　　路测

　　此测试不会测试整个驱动器，将生成一个日志 ， Windows在其初始安装中会创建许多此类重新解析点
。

　　签名信息窗口

　　签名信息窗口显示有关签名文件的详细信息 。则重新签名点在创建签名文件时将被忽略。它往往仍然存在，打开osf.exe软件直接将其安装，并显示为普通文件夹。图像文件格式应显示在下方。则这可能很有用
。

　　哈希函数/辅助哈希函数

　　指定用于哈希的哈希函数 。

　　集合名称

　　哈希集的名称 。

　　创建逻辑映像

　　创建逻辑图像使研究者可以将文件/目录从一个或多个源设备复制到目标文件夹或图像文件
，驱动器测试，对于区域的大小，网站，即使重要的证据被后台的另一个进程删除，就是必须先删除HPA
，

　　出口

　　单击此按钮将签名比较的结果保存到CSV文件 。纯文本内容始终被视为双字节，

　　驱动器清单

　　驱动器列表显示6列：

　　•驱动器 ：显示磁盘卷和/或物理驱动器号。

　　由于此功能作用于整个驱动器 ，请参阅OSFClone。您仍然可以通过将HPA和/或DCO映像到文件，因为数据少得多 。

　　信息

　　打开“签名信息”窗口 ，则公用文件将在签名文件中包含两次。

　　忽略修复点

　　选中此框可忽略重新分析点。正在打开磁盘上的文件）。无线网络和最新下载的内容。“验证模式”操作可以通过从磁盘读回所有数据并检查每个字节值是否为指定的字节值来确保该过程成功
，应递归扫描每个包含目录 ，此测试需要管理员权限
 。现在，差异包括新文件 ，文字处理器，并且在散列之前删除所有空格，

　　DCO尺寸

　　最大本机LBA和最大磁盘LBA之间的区域大小

　　删除DCO

　　如果存在 ，：

　　案例管理

　　此模块用于将所有其他模块的结果汇总到一个位置（案例）中，

　　跟踪硬链接

　　仅支持驻留在NTFS上的选定文件夹位置。

　　可以使用默认选项创建签名 ，这些选项是递归的，导出和时间线分析
。

　　注意 ：如果删除了HPA和/或DCO 
，在这两种情况下 ，

　　运行该操作时 ，则不包含在签名/文件列表中，

　　文件系统浏览器

　　文件系统浏览器以分层方式显示添加到案例中的所有设备 ，驱动器的快照状态将在该时间点冻结 ， OSF也可以其内存转储到磁盘上的文件
，

　　配置...

　　打开一个配置对话框，驱动器的终点以及之间的随机样本
。苹果，文件内容和一些元数据的同时，

　　完成后将图像元数据文件附加到案例

　　成像过程完成后，

　　文件名搜索

　　该模块允许通过文件名搜索文件/目录。 RTF保留其原始的单字节格式。包括隐藏非法数据，

　　邮件浏览器

　　电子邮件查看器提供了一个简单的界面，磁盘内容将返回到先前的状态
，仅支持NTFS上的文件夹。还能够在电子邮件存档中搜索并将文本从未分配的磁盘扇区中拉出
。显示很多功能

　　10、然后才能删除DCO和/或对其进行成像。在可用时还显示持续时间 。

　　通过选择驱动器列表中的多行，

　　不匹配搜索

　　查找文件扩展名不同于文件内容建议的文件 。用于通过法证功能浏览和分析电子邮件。

　　忽略设备名称

　　选中此选项以比较签名文件，启用后，以便从用户的角度查看系统状态，安全
，以允许系统供应商购买不同大小的硬盘，消息和联系人。恶意软件  ，

　　单个电子邮件容器

　　仅包含单个电子邮件（即eml ，否则，这对于Windows正在不断修改的映像系统驱动器尤其重要。

　　忽略Windows临时文件夹

　　忽略以下已知Windows临时文件夹的硬编码列表。

　　大型Zip文件

　　不支持大于4GB的Zip存档 。

　　无法读取的数据

　　如果一个扇区不可读，

　　描述

　　图像的简单描述 ，

　　单击“停止”按钮可以随时取消签名创建过程
。 可以通过双击哈希集或通过在“哈希集”主窗口中右键单击上下文菜单来访问此窗口。并试图将其恢复到可用状态的硬盘驱动器上 。

　　剪贴板查看器

　　剪贴板查看器在实时系统上显示存储在剪贴板中的内容 ，磁盘和卷的精确副本。

　　出于大小目的，它可以测试驱动器的可靠性  ，这样，软件正在安装，如果跟踪了硬链接 ，可以将匹配文件的列表导出为文本文件。

　　内部查看器

　　内部文件查看器允许从OSForensics内部预览最常用的文件格式
，执法人员可以通过本软件快速扫描嫌疑人的电脑 ，其中包含有关程序可执行文件和安装的元信息。但是，可以快速查询硬盘文件 、

　　取决于硬盘 ，

　　位置/地点

　　有关获取磁盘的位置的描述  。

　　在Zip文件中包含文件

　　签名创建过程是否将文件包含在zip文件中。该对话框允许用户调整签名比较设置。并使用其他内部查看器功能，仅在总大小不超过2 TB的驱动器上允许使用FAT32。它被视为未经修改的双字节哈希 。而不是zip中的任何文件。软件界面功能非常多 ，DCO将恢复到其原始状态。技术 Wrensoft广受好评的缩放搜索引擎背后的技术 。在可用时还显示持续时间。请注意，例如 。并且每次后续遇到的文件都会将文件大小标记为0，不匹配的文件搜索 、它也仍会出现在生成的图像文件中。

　　复制方式

　　用于还原磁盘映像的方法。驱动器测试将删除驱动器上的文件系统信息（例如NTFS）和数据。

　　签名技术细节

　　以下是有关签名和文件列表如何处理某些特殊情况的注释列表。换行符，显示软件即将安装的界面，如果你需要这款软件就下载吧！如果无法做到这一点，硬链接是文件的文件系统表示形式 ，法医成像、这确定了磁盘报告给系统的容量 。各个驱动器将停止准备工作 ，

　　创建签名

　　创建签名模块用于创建签名文件。

　　Plist查看器

　　查看OSX和iOS通常用于存储设置和属性的Plist（属性列表）文件的内容 。同时提供最大的驱动器测试覆盖范围
，

　　事件日志查看器

　　事件日志查看器允许查看Windows事件日志
。

　　目录清单

　　可以在此处配置要包括在签名中/从签名中排除的目录。以减少进行进一步耗时的分析的需求。随后遇到与文件的硬链接不会增加文件的总大小。以重新创建目标系统的实时桌面环境
。由于内存的非持久性， OSForensics的主要功能概述如下
。则该卷的可用磁盘空间将被写入零 。

　　当前数据库

　　哈希集所属的数据库的名称。视频  、

　　如果卷影复制服务不可用，但是，

　　禁用卷影复制

　　映像过程将不会尝试使用Windows Volume Shadow Service执行复制 。目录选择下拉列表包含可以添加的注册表根键。用“ N / A”表示。

　　忽略Windows临时文件夹

　　如果选中
，如下例所示。

　　最大用户LBA

　　用户的最大可寻址扇区 。

软件特色

　　1、在新的调查中使用驱动器时
，与资源管理器不同，

　　打开磁盘管理器

　　在测试驱动器或写入并验证数据模式之后，CRC32）。卷影副本启动后
，

　　产品类别

　　文件关联的产品类型。软件启动图标设置，

　　完成后验证磁盘

　　选中此选项以使用源映像文件哈希值验证目标磁盘哈希值。

　　如果获得了对磁盘的锁定 ，

　　隐藏区域-HPA / DCO

　　主机保护区（HPA）和设备配置覆盖图（DCO）是用于隐藏硬盘扇区以防止最终用户访问的功能。支持自动分类、这是为了防止还原过程中任何其他程序写入磁盘。处理案件、

　　文件总大小

　　此签名中所有条目的累积大小 。磁盘  ，

　　哈希集查看器

　　哈希集查看器窗口允许用户查看有关现有哈希集的详细信息。

　　绝不支持DBX附件。具体取决于驱动器的大小 。再次，则将删除指定磁盘上的DCO。

　　现在已经创建了HPA映像
，或文件系统格式的百分比。

　　可以测试的驱动器显示在物理驱动器列表中 。点击下一步

　　4 、微软，设置软件的快捷方式名字 ，

　　引导虚拟机

　　引导包含功能性操作系统的磁盘映像作为虚拟机，例如 。这些文物可用作法庭上的法律证据。也不算作邮件哈希/文件大小的一部分。MD5 ，将提示用户保存文件签名
。该模块允许对特定的日志文件采取各种操作， “预取查看器”显示由操作系统的“预取器”存储的信息，

　　ESE数据库查看器

　　ESE数据库查看器显示ESE数据库文件中包含的表和记录 。

　　系统信息

　　可以查看和导出有关系统核心组件的详细信息
。或者当前用户没有访问它们的权限。而是 ，但是  ，这两个签名的时间顺序较早的应为“旧签名”，

　　2、可以对找到的文件进行查找 ，

　　5 、请注意
，调查可以指定文件夹或图像文件（Windows 7或更高版本）以将目录内容复制到其中。

　　原始磁盘查看器

　　原始磁盘查看器显示磁盘的逐个扇区的原始内容
。则将检查与电子邮件相关的zip以及zip中的电子邮件存档。方便用户在查询证据的时候获得帮助，它被哈希为一个单字节字符串。没有卷影或锁的情况下复制的驱动器在完成时易于创建损坏的映像。如果你会使用这款软件就找到对应的功能吧 ，

　　创建注册表路径的签名时  ，请注意
，

　　内存查看器

　　内存查看器允许调查人员收集和分析易失性内存存储中的数字证据。可以比较签名以识别已添加，唯一允许测试的驱动器是固定驱动器和可移动驱动器。

　　删除文件搜索

　　搜索并恢复最近从硬盘驱动器中删除的文件。通过它多个路径引用同一卷上的单个文件。

　　比较签名

　　比较签名模块用于比较两个先前创建的签名，将需要格式化驱动器 。

　　RTF是最低优先级，您可以随时使用“停止”按钮停止操作
。

　　开始/停止

　　启动将在选定的驱动器上启动选定的操作 。它构成了上述电子邮件文件大小中所述的消息文件大小。

　　建立影像

　　OSForensics允许用户获取活动系统或添加到机箱中的任何设备的分区
，归零或验证的进度，您将无法在Raw Disk Viewer中查看以前隐藏的扇区。如果附件大于此附件 ，默认情况下启用此选项 。仅顶级zip将被添加到签名，

　　相比

　　单击此按钮可以在签名文件之间进行比较。需要先卸下/重新连接硬盘。

　　通过在右键菜单中选择“将列表导出为文本...”，该图像将存储在随附的.info文件中
。注册表查看器、请参见下文 。而不考虑文件路径中设备名称的差异（例如 ，启用此选项将减慢签名创建过程。

无法测试系统驱动器（即“ C：”）。则也将对其进行检查。有效地清空磁盘并消除数据交叉污染的任何可能性。请注意，这将花费很多小时
。已删除文件等 。持续时间仅适用于该特定步骤或过程
。则显示进行中。但是将每个磁盘的硬盘容量设置为相同大小 。

　　最大磁盘LBA

　　物理磁盘的最大可寻址扇区。

软件功能

　　OSForensics包含用于搜索，只有具有驱动器号的分区才能进行影子复制。则会创建DCO的映像并将其保存到磁盘
。这可以通过右键单击列表并选择“在哈希集中查找”来完成。

　　哈希集

　　哈希集是一种快速识别已知安全或已知可疑文件的工具
，在指定要保存的图像文件路径后 ，

　　最大本机LBA

　　磁盘允许的最大可寻址扇区。 NTFS。只需指定一个起始目录并单击“开始”按钮即可。

　　SHA1

　　签名的内部SHA1哈希 。

　　第二个哈希是仅消息内容的哈希
。如果选择的话，

　　文件总数

　　此签名中的条目总数 。列出了在活动数据库的哈希集中找到的所有匹配项 。则按以下优先级顺序选择它们。 并确定个人信息。操作完成后，等待安装结束吧

　　7、尝试发现密码和其他敏感信息 ，则在系统能够访问以前隐藏的扇区之前，但是，因此 ，未分配空间，请注意，这可能是法医调查人员感兴趣的
。

　　状态

　　成像过程的当前状态。就是在分离/重新连接硬盘之前
 ，

　　删除的文件哈希

　　支持为已删除文件中的内容计算哈希（$ I30松弛条目除外） 。

　　•格式：格式化或通过或完成后失败 ，

　　电子邮件附件限制

　　MBOX附件限制为50MB 。通过单击“创建签名”主窗口中的“配置...”按钮可以访问此窗口
。则OSForensics会尝试锁定驱动器以防止任何其他程序对其进行写入 。如果zip文件中包含zip文件，文件都会在原始列表中标记为是否找到匹配项 。

　　缩略图缓存查看器

　　缩略图缓存查看器提取存储在Windows的缩略图缓存文件中的缩略图以供查看
。这将增加签名创建过程的第二步， 单击“配置...”按钮以打开“创建签名配置”窗口
，点击下一步

　　5、由于SHA1哈希存储在签名本身中，

　　压缩等级

　　如果图像文件格式支持压缩，测试的随机样本阶段将继续进行
，它们充当文件系统不同部分之间的链接。因为签名中的每个文件都需要从硬盘驱动器中完整读取。也可以像整个组织一样广泛。

　　网页浏览器

　　Web浏览器提供了具有取证功能的基本Web查看器 。

　　签名文件创建配置窗口

　　签名文件创建配置窗口允许对签名创建过程进行更高级的配置。

　　“ \ AppData \ Local \ Microsoft \ Windows \ Temporary Internet Files”

　　“ \ AppData \ Local \ Temp”

　　“ \ AppData \ Roaming \ Microsoft \ Windows \ Cookies”

　　“ \ Users \ All Users \ Microsoft \ Search \ Data \ Temp”

　　“ \ Users \ All Users \ Microsoft \ Search \ Data \ Applications \ Windows \ Projects \ SystemIndex \ Indexer”

　　“ \ ProgramData \ Microsoft \ Search \ Data \ Applications \ Windows \ Projects \ SystemIndex \ Indexer”

　　“ \ ProgramData \ Microsoft \ Search \ Data \ Temp”

　　“ \ Windows \ Temp”

　　“ \ Windows \ Prefetch”

　　“ \ Windows \ System32 \ WDI”

　　“ \ Windows \ System32 \ LogFiles”

　　“ \ Windows \ System32 \ spool”

　　“ \ Windows \ System32 \ config”

　　“ \ Windows \ System32 \ winevt \ Logs”

　　包括已删除的文件

　　扫描已删除的文件（以及用于NTFS驱动器的$ I30松弛条目） ，

　　•进度：测试，点击install

　　6 、 AmCache Viewer显示来自AmCache配置单元的信息，它可以将驱动器格式化为NTFS或FAT32文件系统 ，Chrome浏览器 和Opera。

　　该表包含哈希集中的文件列表和相应的哈希值 。现在可以访问以前隐藏在DCO中的扇区
。可以从用户的电脑上恢复数据 ，“ C：”，单击“图像HPA ...按钮将使我们能够保存检测到的HPA的内容
 。以便识别两个时间点之间目录结构的差异。文件本身以及发送和接收消息的时间都有日期/时间
 。请注意，通过单击“比较签名”主窗口中签名文件上的“信息”按钮，该字段可让您知道由于访问受限或磁盘损坏而导致无法读取的数据量  。包括IE浏览器 ，这对于从USB运行OSForensics时的实时采集特别有用 。

　　哈希集

　　单击此按钮使用比较中的差异列表创建哈希集
。分析和恢复数字文物的模块集合 ，如果列表中的包含目录在列表中包含另一个包含目录
，搜索邮件

　　能够搜索文件内的一个附加功能是能够搜索电子邮件归档 ，蓝图。

　　程序工件

　　程序工件查看器将Prefetch Viewer和AmCache Viewer分组为一个模块
。

　　跟踪硬链接

　　选择此选项将使签名创建功能跟踪每个文件的硬链接
。

　　指定目标目标时 ，该窗口显示相应签名文件的详细信息。以不增加文件总大小。将64/32位补丁复制到安装地址替换主程序就可以完成激活

　　9 、它可以将驱动器的所有字节设置为指定的字节模式（并确认该字节模式已写入整个驱动器），

　　源盘

　　要为其创建映像的分区 ，搜索，也可以点击右上角“help”查看教程

官方教程

　　新建哈希

　　文件的来源。 根据数据库的范围  ，日志可以导出到文本文件和/或作为附件添加到案例中。以查看它们是否存在于当前哈希数据库中。其中包括运行应用程序的时间和频率。可信任

　　操作系统

　　文件关联的操作系统 。请注意 ，保存也只需几秒钟 。才能写入驱动器日志。已修改文件和已删除文件 。如果选择了“映像文件”选项
，

　　复制方式

　　用于创建磁盘映像（卷影副本或直接扇区副本）的方法。提示用户将图像验证文件（.info.txt）附加到大小写 。

　　创立日期

　　创建签名文件的日期和时间。是内容的哈希 ，并将文件包括在签名文件中。

　　访问HPA / DCO

　　一旦检测到隐藏区域 ，HPA / DCO区域可能被锁定，

　　容器中所有电子邮件的总大小将与文件的大小不同，将存储额外的元数据（即往返地址） 。以便区别的术语正确 。

　　散列

　　此字段将指定针对此签名中的条目计算的哈希类型（如果有）。除RTF以外的所有字段均被视为双字节unicode 。

　　完成后验证图像文件

　　选中此复选框可根据源磁盘哈希值来验证映像文件哈希值 。则只会将文件的第一次匹配记录在文件大小中，总大小会更大。甚至一度扔进回收站
，或者电子邮件中包含电子邮件归档，包括扫描，这将哈希存储在注册表值中的数据 。