端點蒐證鑑識系統 eDetector

  • 端點支援Windows XP以上之作業系統,採集相關的關鍵數位使用痕跡
  • 大規模搜尋硬碟,發覺任何可疑檔案及被刪除檔案
  • 偵測執行中之記憶體程序,並提供記憶體分析與擷取等功能

eDetector 為端點蒐證鑑識系統,在對目標主機運作影響最小化的情況下,進行痕跡蒐證與程序分析。提供快速蒐證以及檔案資訊取回功能,可蒐集執行狀態下電腦中二十多種系統痕跡資訊,包含瀏覽器歷史紀錄、最近開啟之文件、USB裝置使用紀錄、程式執行痕跡、開機自動執行之程式等等,並搭配檔案系統索引表($MFT),在事件發生之初期,透過蒐證功能並搭配關鍵字分析,幫助人員找出事件發生之可能目標源頭,再將可疑之檔案取回保留證據並進行進一步分析,釐清案情並做為未來強化安全架構與政策擬定之參考依據。
此外eDetector也會偵測程序在記憶體中的行為痕跡,包含程式碼注入、程序隱藏/檔案隱藏、核心攔截、連網行為、非正常啟動之服務、偵測互斥……等行為。透過行為分析提出警告,並繪製程序關聯圖,及早發現內網潛伏之含有可以程式之電腦,以便讓使用者面對各類攻擊時能迅速採取必要措施因應,防止資安事件災情擴大。

功能說明
  • 中央管理平台支援Windows 7(含)以上版本作業系統,可安裝於32位元及64位元兩種平台,並具備中文化操作介面。
  • 用戶端Agent部署支援Windows XP、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016等版本作業系統,且支援於32位元、64位元兩種平台進行植入。
  • 使用系統管理員權限佈署Agent後之用戶端電腦可於中央管理平台進行該主機之記憶體分析、資訊蒐證及其他設定。
  • 可列出用戶端正在執行中程序之樹狀表,且提供樹狀展開模式顯示每個執行中程序所載入模組及函式庫(DLL)列表,並可針對正在執行中程序進行Dump。
  • 具備蒐集開機啟動服務、自我啟動程序及排程任務相關資訊之功能。
  • 具備偵測執行程式數位簽章驗證功能,並可顯示具數位簽章檔案之數位簽章資訊及無數位簽章之檔案。
  • 具備用戶端主機檔案列表檢視模式,提供檔案搜尋功能。
  • 具TimeLine等視覺化的日曆型態展示,可快速瞭解硬碟檔案在各日期下的異動狀態。
  • 支援蒐證功能,可蒐集用戶端最多24項之資訊。
  • 具備總體進度表,方便控管對各台用戶端所執行過之任務及時間。
  • 可偵測分析所有執行中程序及其所載入模組,自訂條件並以email通知偵測到之異常程序並且寄送前一日之主機偵測結果報表。
  • 針對發現問題之執行程序,可以繪製關聯圖協助人員尋找惡意程式根源。
  • 針對執行中之惡意程序可終止其程序讓潛伏之駭客中止活動。
  • 可依程序連線行為繪製相關連線IP位置標記於世界地圖。