SAFE boot disk----基于Windows的取证光盘即将推出

SAFE boot disk----基于Windows的取证光盘即将推出
2009-02-17 10:42

ForensicSoft公司 (http://www.forensicsoft.com) 近日发布了 SAFE 法证证启动光盘，据其称是世界上第一个基于Windows的具有写保护功能的启动光盘。正式版本将于2009年3月份开始发售，现在可以下载并测试BETA版 SAFE 启动光盘，下载地址：http://www.forensicsoft.com.



SAFE 启动光盘可以启动所有基于Intel架构的计算机，并从物理层上对所有内置硬盘实施写保护。启动光盘的功能不仅仅是防止自动加载硬盘，或以只读模式加载硬盘，而是具备像Helix或其他Linux "法证" 启动光盘一样的功能。用户可以通过一键操作，即可启动或取消写保护功能。

SAFE 基于正版Windows (Windows PE 2.0)，可以运行各种您常用的 Windows 取证工具，如FTK， EnCase， X-Ways，FinalForensics等等。可以对各种RAID 服务器、笔记本计算机、工作站硬盘进行磁盘镜像，速度可达4GB/分钟。想象一下，您将不再因为缺少RAID控制器的驱动而无法获取RAID阵列数据，也可以直接将数据直接获取至 NTFS 或压缩格式 NTFS分区中，不再因必须将数据写入FAT32、EXT2 或其他 Linux 文件系统而烦恼。


Windows 驱动程序 The most common problem with 基于Linux系统的启动光盘的最常见的问题，就是通常不包括RAID阵列和其他磁盘控制器的驱动。有时即便有了驱动程序，很多非LINUX用户也很难自行将驱动程序添加到自己的Linux启动光盘中。现在，Windows驱动已经基本包含了所有 Intel架构的 RAID 和磁盘控制器。SAFE 可以加载所有已有的 Windows 驱动，并可以在需要的时候通过很简单的方法安装其他的 Windows 驱动。.

支持NTFS 文件系统 DOS 或 Linux OS 启动光盘都无法将镜像文件写入采用NTFS文件系统的硬盘，因此调查员不得不将磁盘镜像写入FAT32分区中。利用SAFE，调查员可以可充分利用大容量NTFS分区和大文件的优势。同时利用NTFS分区，SAFE 还可以节省调查员的大量时间和精力。

SAFE 写保护技术 具有防止软件写操作的SAFE Block XP已经内置在 SAFE 启动光盘中。这意味着在利用SAFE启动光盘启动计算机的过程中，所有与该计算机连接的磁盘、闪存都被自动实施写保护。而且，这是一种真正的写保护措施，而不是像其他Linux启动光盘采用的逻辑只读或防止磁盘自动加载方式。

启动后，如果调查员希望将证据文件镜像写入至一个磁盘，可以简单地解除所需磁盘的写保护，但同时可保证其他磁盘继续处于写保护状态中。如果调查员只是需要预览或进行关键词搜索，那么您无序改变任何选项，启动后所有存储介质都将一直处于写保护状态中。

使用熟悉的Windows法证工具 很多法证调查员不得不使用Linux 启动光盘来完成一些法证需要，而且不得不使用 DD、 DCFLDD、 MD5SUM、 SHA1SUM 和很多其他不熟悉、不喜欢的 Linux 工具。现在利用 SAFE 启动光盘，调查员可以使用他们在 Windows 环境中喜爱的各种法证工具。


案件日志. SAFE 内置了日志功能，可以创建调查员的工作日志，包含系统属性和所执行的各种操作步骤。

内置工具. SAFE的 Windows环境中已经内置了一些工具，可以用于浏览、查看、预览，同时包含一些简单的法证功能。