一、产品概况：

      VFC计算机仿真取证软件可以快速、无缝地从“嫌疑盘”或者“证据盘”重新创建一个虚拟的犯罪现场，通常能只用不到1分钟的时间（包括绕过密码）进行仿真。并且，该过程不会对原始证据进行任何篡改，还可以随意重复进行。VFC这款行业杰出的软件使电子取证调查员能够在其本机环境中查看犯罪嫌疑人的设备，是每个电子取证调查员工具箱中的“理想工具”。

二、产品功能：

1. 可使用预先编写的脚本从现有的取证软件启动VFC或构建自己的命令行流程。

2. 启动嫌疑人计算机的取证镜像(已安装)，并体验原始用户看到的“桌面”。支持Windows 3.1-Windows 10(包括GPT格式的磁盘)、Apple Mac OSX、Linux和SunSolaris OS。与已安装的取证镜像，物理磁盘，以及VMDK文件一起工作。

3. 截取关键证据，如文件夹结构、证据位置、最近访问的文件、历史浏览、保存的密码、P2P共享和病毒定义等。

4. 可以通过已经安装在主机系统上的软件来访问本地应用程序中的定制数据，无论是P2P / torrent下载，Sage数据库还是QuickBooks记帐记录等。

5. VFC使调查人员能够访问已加密的手机或USB设备（如连接到VM上的iTunes帐户的iPhone或加密的USB硬盘），其解密密码自动保存在这些设备已连接过的可疑计算机/笔记本电脑上。 通过此过程可以对这些设备进行取证镜像。

6. 在几秒钟内绕过本地Windows用户帐户密码。VFC5包含用于2000多个离散Windows构建的PWB（密码绕过）例程。

7. 可生成详细的取证日志记录，记录软件所有操作步骤。

8. 本地用户帐户密码哈希被提取到初始屏幕并嵌入到VMX注释中（存储在VFC日志文件中）。提供密码哈希后，便可以使用外部哈希破解工具来识别原始系统密码。这有助于处理需要EFS访问的程序。

9. 可以使用便携式独立克隆虚拟机在法庭上现场展示犯罪嫌疑人的桌面，也可以将其截屏成静态图片以进行报告。这给法官、陪审团成员或律师等非技术人员理解和识别调查数据带来了非常大的便利。

三、新增功能：

1. VFC Mount——自带挂载工具，可简化虚拟化过程并消除对第三方工具的依赖，VFC Mount当前支持.E01，.EX01，AFF4，.VMDK，.BIN，.IMG，.RAW和.DD镜像文件。VFC5还可以通过程序页脚中新添加的快速启动按钮，快速访问当下常用的挂载工具，例如FTK Imager和Mount Image Pro的依赖。

2. 命令行接口(CLI)——允许您从现有的取证分析套件中启动VFC，CLI支持与主要取证分析软件的集成。

3. 通用密码重置(GPR)——GPR完全独立于遗留密码绕过(PWB)功能。它将专有的VFC组件注入虚拟机，可用于将“ Live ID”帐户转换为本地帐户，重置本地用户帐户密码或打开功能强大的系统级命令提示符。

4. 修补虚拟机/还原点功能——使用Windows系统还原功能可将虚拟机倒回到早期状态，以查看早期版本的虚拟机桌面上保存的快捷方式——比如已经被删除的恶意网站或恐怖活动网站链接。还可以通过自动应用VFC的集体知识来帮助您“修复”损坏的虚拟机。

5. 支持64位主机系统——增强了与现代系统的兼容性。

6. 支持更多操作系统——现在支持2,000多个离散Windows版本密码绕过。通过在整个虚拟取证计算过程中比以往任何时候都更轻，更快，功能更强大且集成度更高。