Belkasoft Evidence Center 2020又称BEC破解版是一种数字取证套件,该产品使调查人员可以轻松执行现代数字调查的所有步骤,可从各种设备和云中获取数据、工件提取和恢复、分析提取的数据、报告、共享证据等操作,具有移动取证、计算机取证、内存(RAM)取证、云取证、远程取证等诸多取证类型,可使研究人员轻松获取,搜索,分析,存储和共享在计算机和移动设备,RAM和云中发现的数字证据。 该工具包将通过分析硬盘驱动器,驱动器映像,云,内存转储,iOS,Blackberry和Android备份,UFED,JTAG和碎片转储来快速从多个来源提取数字证据。 证据中心将自动分析数据源,并布置最具有法律意义的文物,供调查人员检查,更仔细地检查或添加到报告中。其高级分析和低级分析分别具有不同的特色,在低级别上,该产品允许您使用低级查看器(例如文件系统,十六进制查看器,SQLite查看器,注册表查看器和Plist查看器)查看文件和数据库中的原始数据。高级分析方面可以自动提取所谓的“低垂的数字取证水果”,这意味着数百个取证重要的工件,例如电子邮件,文档,聊天等等。该产品还可以用于事件响应,并具有用于事件调查的专用窗口。本次带来最新2020破解版下载,含破解文件,有需要的朋友不要错过了 !
安装破解教程
1、在本站下载并解压,如图所示,得到becu.cm.all.x64.exe安装程序和crack破解文件夹
2、双击becu.cm.all.x64.exe运行安装,勾选接受许可证协议条款的选项,点击下一步
3、选择软件安装路径,点击下一步
4、安装完成,退出向导
5、运行crack破解文件夹下的Spoon Studio Extractor_Fixed.exe,然后我们打开安装目录,在安装目录下找到Evidence Center App.exe,默认C:\Program Files\1Belkasoft Evidence Center x64\Evidence Center App.exe,并将它拖放到Spoon Studio Extractor_Fixed.exe上,点击Extract Files
6、完成后,将crack中的BelkasoftFixer.exe复制到同目录的Export Files文件夹中(这个文件夹是刚才我们提取后新生成的文件夹),然后双击运行
7、等待一会儿会发现这里生成了一个@PROFILECOMMON@文件夹,将该文件夹内的所有文件复制到安装目录中,点击替换目标中的文件,默认路径C:\Program Files\Belkasoft Evidence Center x64
8、回到crack文件夹中,将其中的Crack文件夹中的所有内容复制到安装目录中,点击替换目标中的文件,默认路径C:\Program Files\Belkasoft Evidence Center x64
9-现在,您可以根据需要删除“ Evidence Center App.exe”。使用“ Evidence Center.exe”运行程序
软件特色
1、BEC支持移动和计算机取证以及远程取证,RAM和云取证。
2、BEC恢复所有可用数据。不管数据仍保留在文件中还是被删除,隐藏在未分配或松弛的空间中,产品都可以通过在现有文件中进行搜索,使用文件进行雕刻或记录签名,分析“卷影复制”以及许多其他法医重要区域来轻松地显示数据(例如SQLite自由列表)。
3、BEC支持调查的所有阶段。从获取阶段开始,该产品可帮助您复制硬盘驱动器,创建智能移动设备转储,捕获RAM内存甚至下载Google Drive或iCloud,并以多种格式创建报告,该产品简化了以下操作:您的调查。
4、BEC可以直接提取1000多种工件。自动提取应用程序数据(我们称其为“低挂式数字水果分析”)足以解决绝大多数正在调查互联网通信,文档或照片的情况。该产品知道所有流行(甚至鲜为人知)的应用程序,例如WhatsApp,WeChat,Snapchat,Skype,主要浏览器和邮件应用程序(例如Outlook),办公格式(例如MS Word或Open Office Spreadsheet),因此您不必知道数据格式,文件位置,雕刻文件或单个记录的签名,加密架构等。此外,产品将在所有可能的位置找到这些数据,即不仅在现有文件中,而且在Live RAM存储器,页面文件或休眠文件,虚拟机,VCS快照,未分配或空闲空间等中。
5、BEC易于使用。使用“低落的水果分析”获得第一个结果很容易,如1-2-3。您需要做的仅有的几件事是:o将设备或转储添加到您的案件中(或使用内置的获取功能来获取它)o选择要查找的工件类型o欣赏检查发现的结果!软件完成搜索后,将方便地以不同的角度呈现所有数据:按文件系统位置,按应用程序配置文件和按数据类型。时间轴将显示按时间戳分类的设备内部的所有事件;书签将有助于标记重要项目;基于索引的搜索将查找关键字,包括GREP搜索和预定义的搜索(例如信用卡,SSN编号,MAC或IP地址等)。产品界面是如此简单直观,您可以在安装后立即开始使用它,而无需其他产品进行数周的专业培训即可有效使用。
6、BEC中提供了高级低级分析。尽管在大多数情况下,自动提取就足够了,但是更复杂的调查可能需要对有问题的设备进行手动分析。对于此类调查,BEC提供了功能强大的文件系统资源管理器,其中显示了设备中的所有卷和分区,现有和已删除的文件夹,VCS快照,现有和已删除的文件。可以在Hex Viewer中查看每个分区或文件,该窗口可帮助您调查单个字节,进行自动类型转换,创建书签,运行自定义雕刻并应用各种编码。
7、BEC更具成本效益。该产品以比竞争对手更低的价格提供了更多功能。它不仅可以在购买时节省您的钱,而且还可以帮助您节省成本低廉的续订费用。此外,我们免费的证据阅读器使您可以完全免费地与同事共享部分工作,从而为您节省了更多!
软件功能
1、移动和计算机采集。该产品使您可以从计算机,笔记本电脑或移动设备获取数据。硬盘和可移动驱动器通过可选的哈希计算和验证被获取为DD和E01格式。对于运行iOS的移动设备,在某些情况下或设备越狱时,BEC会获取iTunes备份和完整的文件系统副本;对于Android设备,有多种格式:标准的ADB或基于代理的备份,EDL以及用于根设备的物理备份。
2、移动和计算机设备考试。Belkasoft证据中心支持所有主要的台式机和移动操作系统,适用于移动和计算机取证。它可以解析实际和逻辑驱动器和驱动器映像,虚拟机,移动设备备份,UFED和OFB映像,JTAG和碎片转储。
3、全面的智能分析。该产品可以完全自动在设备上无处不在,并且可以成功识别1000多种数字工件。便捷的证据搜索功能有助于使用过滤器,预定义的搜索或其他选项来缩小发现范围。
4、强大的雕刻。数据雕刻使您能够找到已被删除,破坏或从未存储在硬盘驱动器上的证据(页面文件,休眠文件,RAM内容)。还支持自定义雕刻,包括对Scalpel和FTK集的支持。此外,还可以使用称为BelkaCarving™的高级雕刻模式,从而可以将零碎的块重构为连续的信息,否则这些信息将根本无法访问。
5、本机SQLite解析。恢复损坏和不完整的SQLite数据库,恢复删除的记录和清除的历史记录文件。处理空闲列表,预写日志和日记文件以及SQLite未分配空间。
6、实时RAM分析。证据中心可以从易失性内存中提取潜在的重要信息,例如:私密浏览和清除的浏览器历史记录,在线聊天和社交网络,云服务使用历史记录等等。Belkasoft Live RAM Capturer是用于创建内存转储的强大工具,它是免费的。
7、远程采集。远程采集模块允许您从远程位置执行各种数据源的采集。可用的数据源类型包括硬盘驱动器或可移动驱动器,RAM内存和移动设备。
借助安装在远程设备(例如计算机或便携式计算机)上的代理程序来执行获取。
8、事故调查。事件调查模块旨在帮助用户调查基于Windows的计算机的黑客攻击尝试。通过分析注册表,事件日志和内存转储等众多来源,它可以找到痕迹,这些痕迹是黑客用来渗透公司基础结构的各种技巧所特有的。
9、跨案例搜索。跨案例搜索模块允许您查找当前调查的案例与其他BEC案例之间的交集。将当前案例中找到的信息与所选旧案例中找到的信息进行比较,并将报告所有匹配项。
10、方便的内置工具。PList,注册表和SQLite查看器使您可以更彻底地处理特定类型的数据,并找到比自动搜索所能发现的更多证据。
低级调查。Belkasoft证据中心配备了文件系统资源管理器,十六进制查看器和类型转换器,可让您对设备上文件和文件夹的内容进行深入检查。
可通过BelkaScript扩展。免费的脚本模块允许用户编写自己的自定义脚本,以使某些例程自动化并进一步扩展产品的功能。
日志:
Belkasoft证据中心2020版本9.9中的新增功能
有关新功能的更多信息
移动取证
-大大改进了GrayKey图像分析并加快了速度
-无需越狱即可在iOS采集方面进行更多改进-改进了
基于ADB的Android设备采集
- 改进了基于Agent的Android设备采集
-支持或更新了Android应用
。Android OneDrive支持更新至v。5.40.4
。支持Android Google文档
。Android Google Maps进行了改进
。支持Android Google翻译
-支持或更新了iOS应用
。iOS Yahoo Mail应用程序得到了改进
。改进了iOS Evernote应用程序的文本提取
。现在可以正确提取iOS Evernote的附件
。分析iTunes备份时从Facebook个人资料中提取的联系人
。支持iOS Hangouts Messenger(包括地理位置数据提取)
计算机取证
-显着提高了雕刻性能-大大改进了
基于Zip的数据源分析
-不再将雕刻数据存储在数据库中,这也将为每种情况节省大量空间
-病毒固定的总分析
-改进了Windows的Puffin浏览器
分析
- 继续改进了LNK文件分析-显着改善了LNK雕刻和雕刻LNK文件的分析
-改进了LNK工件的报告
-提取了Mail 163 Windows应用程序邮箱的文件夹名称
-Windows OneDrive应用支持已更新
-修复了为密码暴力破解创建密钥字典时的问题
- 已修复了针对跳转列表和LNK文件显示十六进制的问题
-已针对文档修复了“具有嵌入式文件”的不正确过滤条件修复了
事件调查
-清除了OpenSavePdl工件
-针对计划任务工件修复了作者字段提取
-更好
地显示了预取文件,Shim缓存和Windows Power Shell工件-填充了预取文件的原始路径
-将来为计划任务工件提取了数据-已修复
-支持Windows RDP相关事件日志分析
远程获取
-通过GPO进行了部署。现在有三种部署类型:本地(使用Thumbdrive或网络共享),通过WMI,通过GPO
-当服务器和代理使用不同版本的
SQLite Viewer时,改进了远程代理的稳定性
-刻印的SQLite未分配数据现在始终显示在SQLite Viewer的相应页面上(以前在某些情况下为空白)
-SQLite加载可以更快地在不同版本之间切换工件列表
-已修复从SQLite Viewer创建报表的问题
-正确地在每个SQLite表的底部显示了WAL记录的计数
其他改进
-Windows Google Drive数据提取得到了改进。现在显示了Google云端硬盘工件的偏移量。十六进制现在可以正确地突出显示它们
-改进了面部,皮肤等的视频关键帧分析
-改进了Windows上OneDrive工件的长度提取
-修复了Google云端硬盘和Gmail云下载的Google同意页
-呈现关键帧时概述中图片的计数不正确-修复
-概述中的视频不适用于“复制文件”选项-修复了
-用BEC的先前版本未显示在“搜索结果”选项卡上-已修复
使用帮助
一、创建一个新案例
提示:您可以在https://belkasoft.com/tutorials上观看我们的简短视频教程,以快速使用该工具。
您必须先创建案例,然后才能分析设备或转储。
为此,请运行产品并转到“仪表板”窗口。 在此窗口的顶部,有一个按钮“新案例”。 单击此按钮并填写新的案例属性,例如案例名称,根文件夹,调查员,时区和说明。
通过单击底部的“创建并打开”按钮来完成案例创建。
1、向案例添加数据源
创建案例后,BEC会立即要求您添加设备或转储进行分析。 您可以选择各种类型的映像和转储,甚至是实时驱动器。 稍后将说明各种类型的数据源。
在左侧,您可以选择要分析的数据源类型,在右侧,系统将提示您选择特定的设备或图像。 对于您的初始测试,我们建议您从BEC安装文件夹中的特别准备好的名为Samples的文件夹开始。 有关详细信息,请参阅下一篇文章。
您可以在“详细的BEC”一章中找到该屏幕的更详细说明。
选择数据源后,单击“下一步”。
2、BEC的初始测试
如果您是第一次使用该产品,我们建议您在示例数据上对其进行测试,而不是从实际设备开始。 这将使您对产品功能有更好的了解。
在“程序文件”内的BEC文件夹中,您将找到一个名为Samples的特殊子文件夹。 该子文件夹包含BEC支持的各种工件,因此您不必寻找实际情况的图像即可测试该工具。
使用Folder数据源类型创建一个新案例并向您的第一个案例添加样本
启用“分析数据源中的工件”选项,然后单击两次“下一步”(在以下屏幕上不要更改任何内容)。 等待产品在“概述”窗口中向您显示各种工件。 一旦看到提取的工件,就可以查看它们的各种类型,例如电子邮件,文档,聊天或图片。
3、六视图提取数据
使用该产品,您可以使用多种视角查看数据源及其内部的数据:
仪表板
该窗口包含有关案例的各种信息,包括基本案例详细信息,添加到案例的数据源,有关提取的工件的统计信息,预定义的搜索结果,显示最常用应用程序和工件类型的图表,主要联系人,报告等。
总览
此窗口显示开箱即用的工件,例如文档,图片,URL或聊天。 在此窗口中,没有按数据源或应用程序概要文件对工件进行分组,因此,例如,来自所有概要文件和所有数据源的所有聊天都将转到同一“聊天”节点。 如果您的目标是快速检查聊天,这将很方便。 如果您需要更多详细信息,可以转到“案例浏览器”窗口。
案例浏览器
Case Explorer显示与概述相同的信息,但是将所有工件分解为数据源,工件类型和概要文件。 在下面的图片中,您可以看到一个Facebook Messenger个人资料,该个人资料位于Instant Messengers节点下,而该节点又位于android.ab下。 后者是一个嵌套的数据源,可以在原始Samples数据源中找到
在Case Explorer中,您可以看到与概述不同的分组类型,当您需要查看特定设备或特定配置文件时,这对您有帮助。
时间线
“时间轴”窗口组合了案例中的所有工件,这些工件具有日期时间戳。 不管是聊天,电子邮件,文档还是图片,它都会列在“时间轴”项目列表中。 此窗口可帮助您查看在一台(或多台)设备上此时或此时发生的所有活动。
请注意,某些工件可能在此窗口内多次列出。 例如,每个基于文件的工件(例如文档)具有各种操作系统时间,例如 创建或上次访问时间。 此外,具有元数据(例如图片)的伪像可能具有记录在内部的各种事件,例如 拍摄的GPS时间或数字化的日期/时间。 每个这样的时间将在时间轴中产生单独的一行。
文件系统资源管理器
“文件系统”窗口可帮助您查看添加到案例中的数据源的结构,以查看所有分区和卷,文件夹和文件以及“卷影复制”快照。 它还显示了RAM转储的内存过程,有助于检测恶意软件并运行哈希集分析。
文件系统还显示您选择的文件属性(例如操作系统时间,大小等),HexViewer和其他查看器(例如Plist Viewer或SQLite Viewer)。 下一章将详细介绍它们。
连接图
连接图是案例涉及人员之间通信的高级可视化。 此窗口将人显示为点(或化身),并用线将他们连接起来,以防这些人发生一种或多种不同类型的通信,例如
●通话●短信●即时通讯聊天,文件传输或语音邮件●电子邮件●等等
4、建立报告
在大多数情况下,调查的结果是报告。 使用BEC,您可以为多种数据集创建多种格式的报告:整个案例或整个配置文件,或仅选择工件或书签。
为了创建报告,您可以选择要为其创建报告的项目,然后单击工具栏上的“创建报告”按钮:
在屏幕截图上,将为android.ab数据源中的所有Instant Messenger创建报告。
单击创建报告按钮时,将打开选项屏幕
在这里,您可以选择一种格式,例如PDF和HTML,指定目标文件夹和高级选项(在下一章中有详细说明)。 单击“确定”后,将对报告进行计划并在创建后立即将其打开(如果您选择了“完成后选中打开报告”,则选择打开报告)。
二、BEC基本配置
Belkasoft证据中心具有基本配置和许多其他模块。 可以在基本许可证的基础上购买其他模块。
1、支持的数据类型
BEC旨在以法医合理的方式收集尽可能多的证据。 支持的证据类型包括办公文档,电子邮件客户端邮箱,移动设备应用程序和使用历史记录,健身跟踪器和地理位置数据,系统文件,图片和视频文件,SQLite数据库,社交网络通信,即时通讯程序历史记录,Internet浏览会话,Webmail,P2P 应用程序数据,云应用程序,MMORPG聊天,加密文件等。 基本配置包括以下数据类型:
●音频o虽然BEC不支持搜索音频文件,但是当它遇到电子邮件附件或云数据中的音频时,它会正确识别它并显示在“概述”和“案例浏览器”中的“音频”节点下●浏览器o支持所有主要的Web浏览器,包括所有版本Chrome,Mozilla Firefox,Internet Explorer所有版本,Edge,Opera,Safari,百度,Dolphin,Maxthon,Mercury,QQ浏览器,Qihoo 360等版本。●云应用o支持各种流行的云应用,例如Dropbox(具有解密功能), Google Drive,One Drive,Yandex.Disk,Flickr。分析了那些没有可安装客户端的应用程序的RAM构件●支持加密货币o比特币,Bitcoin Core和以太坊(包括Jaxx应用程序)●电子邮件o支持所有主要的电子邮件客户端,包括Outlook,Outlook Express,Gmail脱机,Mozilla Thunderbird,Windows Live Mail,The Bat,Apple Mail等。o支持以EML,Mbox,MSG和MIME等格式解析和雕刻单独的电子邮件●加密的文件和卷(仅检测到)o超过330种类型的可以检测到加密,包括Bitlocker,Microsoft Office加密的文档,存档(RAR,7z等),加密的iTunes备份等●文件格式(例如OLE容器和yEnc)●即时通讯程序o支持所有主要的即时通讯程序,包括WhatsApp, Snapchat,Telegram,微信等等。●地理位置数据o BEC的基本配置将从具有地理功能的图片(EXIF元数据中具有GPS标签),Google Maps浏览器搜索,在聊天,健身跟踪器训练轨迹等中共享地理位置o可选的移动设备分析模块可提供更多地理数据分析●MMORPG o可从RAM转储中提取Karos,世袭和魔兽世界的数据●P2P o各种Windows P2P可以分析客户,例如Ares Galaxy,Emule,Frostwire,Gigatribe,Shareaza和Torrent●可以分析支付系统或Qiwi钱包(有关加密货币的支持,请参见上文)●图片o扫描和分析图片和视频文件以获取EXIF数据,箭头,十字架,色情,皮肤,面部,扫描的文字,枪支。支持超过90种图像格式,包括许多RAW相机格式和最近引入的HEIC格式●社交网络通讯o使用RAM转储分析,BEC分析Bebo,Facebook,Facebook Messenger,Google Plus,MySpace,OK(Odnoklassniki),Orkut,Twitter和VK(Vkontakte)●系统文件o Windows▪Windows事件日志▪缩略图和拇指缓存▪注册表文件▪跳转列表▪TOAST通知▪LNK文件▪预取▪Windows 10时间线▪等omacOS▪系统配置▪已安装的应用程序▪蓝牙配置▪Wi-Fi连接o对Windows注册表文件的本机支持允许恢复严重损坏和部分覆盖的注册表o内置注册表查看器有助于在没有第三方应用程序的情况下查看Windows注册表o内置Plist Viewer有助于在没有第三方应用程序的情况下查看macOS系统文件●缩略图o可以分析Android,iOS和Windows的缩略图文件(缩略图和缩略图缓存格式)●视频o可以找到30多种视频类型,例如AVI,MOV,WMV等o支持以下格式的视频的关键帧提取:3GP,3G2,AVI,MP4,MPEG,MPG,WMV, MOV。必须在同一台计算机上安装适当的编解码器。●Webmail o产品可以使用Live RAM分析来检测Webmail跟踪。支持的网络邮件包括Gmail,Yahoo邮件和其他一些网络邮件类型
上面的列表可能因版本而异,因为每个新版本均支持其他工件。
2、支持的采集类型
BEC支持多种本地获取设备的方法。 所有这些都包含在基本配置中:
●运行Windows计算机RAM(易失性内存)获取-通过安装包中随附的Live RAM Capturer工具完成●以原始或E01格式获取硬盘驱动器和可移动驱动器●支持智能手机获取(注意:您不必具有移动设备分析模块 使用此功能)o iOS设备▪通过iTunes备份进行逻辑获取(适用于iPhone和iPAD)▪越狱的iOS设备的完整文件系统副本o Android设备▪通过ADB备份进行逻辑采集▪物理采集(针对植根的Android设备)▪基于代理的采集▪基于EDL的采集(针对基于Qualcomm的设备)注意:要了解有关各种采集类型及其优缺点的更多信息,请注册 在https://belkasoft.com/training上的Belkasoft法医培训。●各种云和Webmail服务的云获取。 由于此数据类型的性质,受支持的云列表不断变化,在撰写此参考时,支持的参考包括Google云端硬盘,Google时间轴,Google Plus,Gmail,Instagram,WhatsApp和30多种网络邮件云服务(例如Yahoo) ,Hotmail和QQ
远程采集也可以作为单独的模块使用。
3、支持的提取类型
BEC使用多种方法提取和恢复工件:
●分析现有文件●雕刻(基于签名的分析)已删除或隐藏的数据,包括硬盘驱动器或映像上未分配或松弛的空间或可用空间●雕刻RAM转储。 实时内存(易失性RAM)分析能够提取社交网络残余(例如Facebook,Twitter),基于Web的电子邮件(例如Gmail,Hotmail),云应用程序数据(例如Dropbox,Flickr)等●彻底完善BelkaCarving™分析 碎片整理Live RAM转储以获得更准确的结果●雕刻休眠和页面文件●使用自定义签名雕刻●Volume Shadow Copy快照分析●分析虚拟机文件而无需打开这些机器
4、支持的分析类型
BEC在基本配置中具有以下分析功能:
●可通过所有类型的证据进行全文搜索●时间轴提供了在单个汇总视图中显示和过滤所有用户活动和系统事件的能力●可以分析图片的皮肤,枪支,色情,扫描的文字,面部●地理位置数据 可以显示在“打开街景视图”窗口或Google Earth第三方应用程序内●可以使用连接图功能(如通信可视化和社区检测)找到人与人之间的链接
5、他附带功能
BEC基本配置中包括的其他功能包括:
●多种格式的报告,例如文本,HTML,XML,CSV,PDF,RTF,Excel,Word,EML,KML。●免费证据阅读器工具可与安装或未安装Belkasoft证据中心的同事共享您的发现。●导出到LACE( 仅图片和视频)●强大的脚本模块(“ BelkaScript”),包括调试(断点,监视,逐步执行等)。 安装中包含了一组示例脚本
