一、产品概况：

      FEX（Forensic Explorer）是澳大利亚 GET DATA 公司研发的一款专业的司法分析软件，该软件集镜像加载、数据恢复、数据检索、数据分析、注册表分析以及报告生成等多功能于一体，操作界面简单易用，是取证分析工作的必备工具，也是保存、分析和展示电子证据的专业工具，被广泛应用于执法部门、政府部门、军方和企业调查机构。

二、功能概述：

Forensic Explorer将灵活的图形用户界面（GUI）与高级排序、过滤、关键字搜索、预览和脚本技术结合在一起，调查人员可以通过它实现如下功能：

1. 在一个案例文件结构中管理来自多个源的大量信息的分析；

2. 访问和检查所有可用的数据，包括隐藏的系统文件、删除的文件、文件和磁盘损耗和未分配的集群；

3. 自动化的复杂调查任务；

4. 制作详细的报告；

5. 为非法医调查人员提供一个平台， 可以非常方便地审查证据。

三、具体功能：

现场引导：引导刑侦镜像文件，包括Windows（所有版本）和MAC。

影子拷贝分析：可以很轻松地添加和分析影子拷贝文件。直接对VSC影子拷贝与原镜像进行智能比对和分析。

定制化的接口：Forensic Explorer管理器接口为了满足定制化工作空间的需求，采用了灵活的设计。您可以轻松、简单地拖拽、删除和分离窗口。您可以保存并加载您自己的工作空间配置，以满足调查需求。

国际语言支持：Forensic Explorer兼容Unicode。调查人员可以用自己的母语来搜索和查看数据，比如：荷兰语或阿拉伯语。

完整的数据访问：用户可以查看和访问物理磁盘以及镜像文件中的所有数据，查看和分析系统文件、文件和磁盘损耗、交换文件、打印文件、引导记录、分区、文件分配表、未使用簇等等。

完全线程化的应用程序：线程化方式运行多个函数和脚本。

多线程处理：很大程度利用计算机的处理能力进行关键词搜索、数据挖掘、哈希校验以及文件签名分析等。

多重核心处理：采用的计算机处理器在关键字搜索、数据雕刻、哈希、签名分析等工作中实现强化功能。

强大的Pascal脚本语言：使用提供的脚本库自动化分析，或者编写您自己的分析脚本。可完成以下类型的自动化任务：

1)  在图形文件上运行皮肤色调分析；

2)  从注册中心提取用户和硬件系统信息；

3)  查找和分析互联网聊天记录等。

强大的数据视图具有如下功能：

1)  文件列表：可根据属性对单个或者多个文件进行排序和查看，如：按文件属性、扩展名、签名、哈希值、存储路径以及创建/访问/修改时间等方式；

2)  磁盘：通过图形视图浏览磁盘及其结构。放大和缩小，以图形方式映射磁盘的使用情况；

3)  图库：缩略图和图像文件；

4)  显示：可显示300多个文件类型。进行缩放、旋转、复制、搜索等。可播放视频和音乐；

5)  文件系统记录：可轻松访问和翻译FAT和NTFS记录；

6)  文本和十六进制：可以访问和分析文本或十六进制中的数据。用数据检查器自动解码；

7)  文件范围：可通过开始和结束扇区运行的方式快速定位磁盘上文件的位置；

8)  字节图和字符分布：使用字节图和ASCII字符分布检查单个文件。

分类和自定义过滤器：

1)  可过滤列表视图，以显示符合设置条件的文件夹和文件。可以定义您自己的过滤器脚本；

2)  按照类别视图显示文件，其中文件按扩展名、签名、属性等进行分组；

3)  快速标记感兴趣的文件。

RAID支持：可用于物理或法医镜像RAID媒质，包括RAID、JBOD、RAID 0和RAID 5的软件和硬件。

支持哈希校验功能：可使用哈希库过滤已知文件或单独计算文件的哈希值。

关键词搜索：使用正则表达式对整个媒质进行扇区级别关键字搜索。

关键词索引：内置多线程的DTSearch索引和关键字搜索技术，可快速定位所需的关键词。

书签和报告：可添加案例注释以论证证据，并可在自定义报告构建器中添加案例说明。用户可以把所需的文件添加到书签中，并导出报告。

数据恢复和刻录：可恢复文件夹、文件和分区。可使用内置的数据刻录工具刻录300多种已知的文件类型或用户自己制作的脚本。

文件签名分析：Forensic Explorer 可以自动检查案例中每个文件的签名，自动识别、匹配和分析扩展名，并识别那些不匹配的文件扩展名。

注册表分析：打开和检查Windows注册表。进行过滤、分类和注册码关键词搜索。使用正则表达式脚本自动进行注册表分析。

四、支持分析的文件格式：

支持对以下文件格式进行分析：

Apple DMG；

DD or RAW；

EnCase^® (.E01, .L01, Ex01)；

Forensic File Format .AFF；

FTK^®(.E01, .AD1 formats)；

ISO (CD and DVD image files)；

Microsoft VHD；

NUIX File Safe MFS01；

ProDiscover^®；

SMART^®；

VMWare^®；

XWays E01 and CTR。

支持对以下文件系统进行分析：

Windows FAT12/16/32, exFAT, NTFS；

Macintosh HFS, HFS+；

EXT 2/3/4；

硬件和软件RAID: JBOD, RAID 0, RAID 5。

支持对以下电子邮件格式进行分析：

电子邮件模块支持对.PST文件的分析；

索引搜索模块（DTSearch）支持对.PST 文件的的索引和关键词搜索的分析。