一、产品概况：

FEX（Forensic Explorer）是澳大利亚GET DATA公司开发的一款专业司法分析软件，该软件集镜像加载、数据恢复、数据检索、数据分析、注册表和电子邮件分析、实时启动虚拟化等多功能于一体，与先进的排序、过滤器、关键字搜索、数据恢复和脚本技术相结合，快速处理大量数据，自动化复杂的调查任务，生成详细的报告。其操作界面简单易用，对专业或非专业取证调查人员均适用，是取证工作的必备工具，也是保存、分析和展示电子证据的专业工具，被广泛应用于执法部门、政府部门、军方和企业调查机。

二、功能特点：

1. 案例管理：创建，保存和加载案件文件。

2. 数据访问：以文件，文本或十六进制级别访问物理或镜像介质的所有区域。查看和分析系统文件、文件和磁盘损耗、交换文件、打印文件、引导记录、分区、文件分配表、未分配集群等等。

3. 证据处理：自动化初始证据处理，保存和加载证据处理配置文件。

4. 书签：对潜在证据进行添加书签，标记或分类操作。

5. 数据雕刻：内置的数据雕刻工具可雕刻300多种已知文件类型。

6. 强大的数据视图功能：

   1) 文件列表：按属性对文件进行排序和多重排序，包括扩展名、签名、哈希、路径以及创建、访问和修改的日期。

   2) 磁盘：通过图形视图浏览磁盘及其结构。放大和缩小以图形方式映射磁盘使用情况。

   3) 图库：缩略图照片和图像文件。

   4) 显示：显示300多种文件类型，可缩放、旋转、复制、搜索。

   5) 文件系统记录：轻松访问和解释FAT和NTFS记录。

   6) 文本和十六进制：以文本或十六进制访问和分析数据。使用数据检查器自动解码值。

   7) 文件范围：通过运行开始和结束扇区快速找到磁盘上文件的位置。

   8) 字节图和字符分布：使用字节图和ASCII字符分布检查单个文件。

7. 视频分析：视频缩略图多点播放，视频关键帧提取到.bmp。

8. 邮件：电子邮件支持PST，OST，EDB，MBOX格式。电子邮件的完整关键字和索引搜索功能。

9. 导出：将文件导出到磁盘，或直接导出到.L01法证文件。

10. 镜像挂载工具：FEX包含Mount Image Pro挂载工具，将取证图像文件挂载为Windows磁盘盘符。

11. 界面：可在多台显示器上分离拖放视图以获取自定义的工作空间。保存并加载个人工作空间配置以适应调查需求。

12. 哈希：将哈希设置应用于案例以识别或排除已知文件。哈希单个文件进行分析。

    1) 加密：MD5，SHA1，SHA256，CRC

    2) 相似度：模糊，差分

    3) PhotoDNA，ProjectVic

13. 索引：内置的DTSearch索引功能。

14. 关键词搜索：使用文本、正则表达式或十六进制表达式对整个媒体进行集群、扇区或字节级关键字搜索。

15. 语言：Forensic Explorer兼容Unicode，多语言界面可选，包括中文、英文、德语、西班牙语、法语、土耳其语等。

16. 元数据：提取并报告文件元数据，包括EXIF，GPS，MS Office等。

17. RAID：使用物理或取证映像的RAID介质，包括软件和硬件RAID，JBOD，RAID 0，RAID 5，RAID 6。

18. 恢复功能：恢复已删除的文件夹和分区。

19. 注册表：打开并检查Windows注册表配置单元。筛选，分类和关键字搜索注册表项。自动化注册表分析。

20. 报告：具有预定义报告模板的定制报告构建器。

21. 脚本编写：内置强大的Delphi脚本语言。用于元数据、注册表、肤色、时间线的内置脚本。

22. 网络Servelet：使用可部署的网络servelet连接并检查远程驱动器。

23. 卷影副本（VSS）：轻松添加和分析卷影副本文件。

24. Artifacts模块：支持浏览器，聊天，移动，操作系统，社交媒体Artifacts。例如Facebook，Line，MessageMe，KikChat，Skype，Touch，Viber，微信，WhatsApp，日历，通话，联系人，电子邮件，GPS缓存，短信，Wifi网络，Chrome，IE，Firefox，Safari等。

25. 签名：在案件中，Forensic Explorer可以自动验证每个文件的签名，并识别那些不匹配的文件扩展名。

26. 分流：自动分类并报告常见的取证条件。

27. 虚拟实时启动：使用VirtualBox或VMWare虚拟化Windows和MAC取证映像和物理磁盘。

28. 全线程化的应用程序：线程化方式运行多个函数和脚本。

29. 多线程处理：最大程度利用计算机的处理能力进行关键词搜索、数据挖掘、哈希校验以及文件签名分析等。

30. 防病毒：内置Cisco Clam防病毒软件。

三、支持分析的文件格式：

• 支持对以下镜像文件格式进行分析：

  AFF v4

  Apple DMG

  DD (RAW, BIN, IMG)

  EnCase® (E01, L01, Ex01)

  FTK® (E01, AD1 formats)

  ISO (CD and DVD image files)

  Macquisition

  NUIX File Safe (MFS01)

  Oxygen Backups (OCB)

  ProDiscover®

  SMART®

  Virtual Disk Image (VDI)

  Virtual Hard Disk (VHD, VHDX)

  VMWare® (VMDK)

  XWays (E01, CTR)

  ZIP

• 支持对以下文件系统进行分析：

  Windows FAT12/16/32, exFAT, NTFS,

  Macintosh HFS, HFS+, APFS

  EXT 2/3/4

  硬件和软件RAID: JBOD, RAID 0, RAID 5, RAID 6

• 支持解锁以下格式（需要密码或恢复密钥）：

  Bitlocker

  FileVault 2

四、安装软件的配置建议：

• 处理器：Intel® Core i7 或 i9

• 内存：16 GB RAM

• 64 bit Windows 10

• 以本地管理员用户身份安装并运行。