取证工具包（FTK）

取证工具包 (FTK) 是电子取证 (e-discovery) 技术领域的高效解决方案，旨在加快移动设备上信息的检索和分析速度。FTK 的强大功能已在电子检索领域得到验证，该程序会在检索过程中对数据进行预处理和索引，从而避免后续检索的浪费时间。无论您处理的信息和数据量有多大，FTK 都能帮助您更快、更高效地检查和分析数据，从而开展调查。
为了加快查找数字证据的速度，FTK 采用分布式处理技术，充分利用多核系统（或配备多线程处理技术的系统）的所有硬件资源和功能来执行检索和分析。由于索引在检索过程中就已完成，因此文档的筛选和搜索将比使用同类软件更加便捷，并且整个流程经过精心设计，不会遗漏任何数据。

FTK 可以从哪些类型的数字设备收集？

创建全盘取证图像并处理来自许多来源的各种类型的数据类型，包括 Windows 和 Linux 硬盘驱动器、CD 和 DVD、拇指驱动器或其他 USB 设备、网络数据和互联网存储，所有这些都存储在一个集中的安全数据库中。

FTK 独立版无法从 MacOS 设备进行镜像或数据收集，但您可以导入第三方工具收集的 Mac 数据。我们的 FTK Enterprise 解决方案能够执行远程 Mac 数据收集

FTK 可以直接从移动设备收集吗？

虽然 FTK 无法从移动设备中提取数据，但 FTK 可以提取、处理和解析 Cellebrite（.UFD 和 .UFDR）、GrayKey、XRY 和 Oxygen 提供的原生 .UFD 移动提取数据。凭借市面上最快的可扩展处理引擎，FTK 处理移动证据的速度比其他工具快 15 倍，帮助您加快审查和分析速度，甚至找到跨数据源的共同关联。

FTK 具有哪些解密功能？

使用 FTK 解密由最新版本 McAfee 驱动器加密功能加密的计算机驱动器，以及使用 BitLocker 加密的 Windows 设备。FTK 可以即时解密处于锁定、解锁或禁用 BitLocker 状态的设备，无需先创建完全解密的映像。即使计算机处于“禁用 – 保护程序已暂停”的 BitLocker 状态（硬件供应商通常默认设置为此状态），FTK 也可以检测到已暂停的加密，并自动尝试从主引导记录中恢复明文密钥并解密驱动器，所有操作均无需计算机用户输入。

取证工具包提供了几个主要功能：

– 独特的处理能力
– 使用分布式处理技术加速数据处理操作
– 在数据分析过程开始时对所有数据进行索引
– 类似向导的数据处理，保证不丢失数据
– 集成的数字研究解决方案
– 超过 100 个程序的密码恢复
– 无需脚本即可执行高级自动分析
– 创建可重复使用的处理配置文件或使用预定义的处理选项来满足不同的研究需求