“达思移动取证实验室DRS-9380”是一套专门针对电子取证设计的数据综合取证分析系统，内置硬件只读模块，可以支持硬盘一对一、一对二、二对二同时镜像或数据复制，支持硬盘数据或用户敏感信息的数据恢复、数据提取及分析，还支持智能手机、平板电脑等移动终端的数据获取及解析。

    此外，设备内置有双摄像头实时翻拍记录系统，可以记录调查人员在案件现场以及对具体证物进行的实际操作，备有存储用的可更换磁盘存储仓，能对拍摄的照片、录像进行备份管理用于作为案件的辅助证据，以支持事后审查调查人员的操作行为和现场环境。

主要功能：

一、在线检测功能

包含加密磁盘检测、本地密码检测（包含系统密码、邮箱密码、IM密码、IE密码、保护的存储密码、FireFox密码、Chrome密码、无线连接账号、网络密码、VPN密码、远程桌面密码、VNC密码等）进程密码检测、QQ检测、邮件客户端检测、聊天工具检测、浏览器检测、U盘使用记录检测、手机助手备份检测等。

二、数据信息提取功能

文件提取：包含指定文件提取（快速分类预览本地文件）、文件分类提取、指定关键字提取、按照设定的文件大小、时间提取、并且能提取本地删除文件，数据提取的同时生成MD5哈希值校验。

数据信息提取：包含系统信息、软件信息文档信息、即时通讯（MSN、ICQ、飞信、新浪UC、QQ、Skype、阿里旺旺）、上网记录（IE、360安全、360极速 、搜狗 、火狐、google、safari、opera、遨游浏览器，2345浏览器、QQ浏览器、百度浏览器、世界之窗浏览器、猎豹浏览器、淘宝浏览器）、邮件信息（OutlookExpress、Foxmail、Office Outlook、Lotus Notes、电子邮件文件）、网络信息、内存信息、下载记录（迅雷、网际快车、电驴、超级旋风、比特彗星）、反取证软件（虚拟容器软件、突网工具软件、数据擦除工具、信息隐写工具）、密码提取等10个大类80多种敏感信息的提取。

磁盘镜像功能：可获取磁盘的DD和E01镜像、支持断点续传功能、并同时生成MD5哈希值校验。

内存提取功能：可提取物理内存、虚拟内存、休眠文件、进程内存、并同时生成MD5哈希值校验。

报告自动导出功能：现场的敏感信息可以选择提取完毕后自动导出HTML报告，也可以手动选择导出报告文件。

支持副盘授权功能：可对指定的副盘进行授权，被授权的副盘和主盘具有同样的功能，但是具有使用时间限制，可以针对多台计算机进行批量调查。

•文件提取前预览功能，可快速对本机文件进行分类预览，包含加密文件筛选，并且可手动选择提取对象。

三、综合取证分析功能：

支持对Windows系统、MAC系统、Linux系统、系统内存进行取证和分析,其中Windows系统自动取证包含9大类共74项信息的自动化分析（包含系统信息、系统痕迹、文件信息、上网记录、即时通讯、邮件信息、下载记录、软件信息、软件痕迹）；MAC系统自动取证包含9大类共56项信息的自动化分析(包含系统信息、系统痕迹、软件痕迹、文件痕迹、即时通讯、上网记录、邮件信息、网络信息、下载记录)、Linux取证包含6大类共13项信息的自动化分析；内存文件的自动取证包含4大类共14项信息的自动化分析，以及在线账号密码的提取和分析。

支持各种格式本地磁盘、镜像文件、单一文件、文件夹的直接加载和分析支持的镜像种类包含：原始镜像（.001、.dd、.img）、E01镜像、S01镜像、Vmware镜像、VirtualPC镜像、VirtualBox镜像、Dmg镜像等镜像文件。

支持磁盘文件的删除恢复、签名恢复、格式化恢复、分区恢复，分析效率快、定位准确，目前支持目前支持FAT12、FAT16、FAT32、NTFS等格式的恢复。

•支持IE浏览器、360安全、360极速、搜狗、火狐、Google、Safari、Opera、2345、QQBrowser、百度、世界之窗、猎豹、淘宝、UC、遨游等十多款多内外常用浏览器的解析、可提取包含上网记录、缓存、Cookies记录、收藏夹、下载记录、搜索记录、登陆的邮箱地址等众多关键信息。

支持Foxmail、Outlook Express（DBX）、Office Outlook（PST、OST）、Lotus Notes（NSF）、EML、Msg、Emlx等客户端邮件的全面分析。

超级16进制编辑功能，鉴证大师可对整个磁盘扇区进行16进制查看和编辑， 可对文件的16进制进行查看、通过自带的扇区搜索功能可以随时对16进制文件进行搜索和查看分析、并且具有16进制书签添加、删除、跳转等功能。

支持最新版（2016版）QQ聊天记录的在线提取，保存密码情况下可获取聊天记录及好友记录

支持MAC的通讯录、备忘录、日程信息、地图、Bash History、磁盘工具、磁盘工具保存、列表等关键信息的解析；支持百度云盘、Dropbox、iCloud、iTunes、Parallels等软件的痕迹获取；支持MAC网络接口、网络配置、蓝牙、无线Wifi等网络信息的提取；支持迅雷、Filezilla、Frostwire、uTorrent、BitTorrent等下载工具的下载记录解析。

支持对压缩文件的预览、和自动解析，包含rar、zip、7Z等格式。支持加密文件检测、签名文件校验、图片肤色比检测等等。

支持照片的Exif信息分析,可获取相机型号、拍摄时间、GPS信息等真实数据，并且可以直接在线获取照片GPS信息的具体地理位置。

支持office元数据分析，可提取Office文档的作者、真实创建时间、最后保存者、内部修改时间等关键信息。

支持NTFS磁盘变更日志分析、可对文件的变更过程和变更时间有一个详细的了解、包括文件改名（旧名、新名）、文件创建、数据扩充、文件删除等等。

支持苹果和Android手机助手备份文件的识别,包含iTunes、91手机助手、360手机助手、百度手机助手、豌豆荚、应用宝等等。

内置常用文件分类，包含所有文件分类、未读文件分类、删除文件分类、标签文件分类、加密文件分类、其他分类（按签名、文件大小、哈希类型），并且系统内置2000种以上的文件类型分类、可手动进行分类管理。

支持磁盘快照功能、可一次性进行磁盘加载、磁盘分析。

支持动态过滤功能：软件内置业内最强大的过滤器、可随时随处进行文件、提取结果、检索结果的快速过滤。

具有强大灵活的搜索功能，支持通配符、正则表达式、可对搜索结果进行动态合并过滤；并且支持对取证结果的搜索。

图库功能：支持对所有图片以缩略图形式进行查看、鉴证大师中的图库中显示的图片清晰度更高、并且刷新快、不闪屏、可按不同尺寸显示，导出、标记书签等。

日历时间线显示功能：支持按照日历格式显示文件的“创建时间”、“修改时间”、“访问时间”；并且支持按天过滤、按年份、月份进行图表统计等功能。

邮件分析模块：邮件分析功能具有邮件附件视图过滤功能、邮件中的Word、Excel中的嵌入图片拆分显示、邮件书签标记、快速搜索、高级搜索、关联分析功能、附件图库查看功能、邮件发送时间线表示、邮件统计（收发信息统计、IP地址统计、相同地址不同昵称统计、同一昵称不同地址统计）IP地理位置标记等功能。

上网分析模块：上网分析功能主要对一键提取的上网记录、缓存记录、Cookies记录、下 载记录等进行网址分类、和时间分类；通过此功能可以对嫌疑人的上网 行为进行进行快速了解、可通过上网网址管理模块对网站进行分类和管理，系统内置了近30种不同类型的网站中的上千种网址的记录，并且可以生成智能分析报告。

行为分析模块：行为分析主要是对上网记录、下载记录、聊天记录、邮件记录以及文件访问按照时间的形式进行分类统计、用以标记嫌疑人一天当中的上网动态、可以按照天、月、年进行统计；也可以按照时间段进行统计，以柱状图、折线图、表格的形式显示出来。

内存分析模块：内存分析功能可对磁盘中的虚拟内存、休眠文件、以及提取的内存镜像进行一键式分析；可提取内存中的账号密码、邮件地址、身份证号码、上网网址、聊天记录、邮件记录等多达十五种信息。

关联分析功能：联分析功能可以对聊天记录、邮件记录中的人物关系进行图形化展示、并具有屏幕自动调整、屏幕扩展、人物标记、指定关联次数、隐藏、跳转等多种功能，操作灵活方便，可快速确定人物关系。

注册表分析模块：可对磁盘中的注册表文件进行自动加载显示，并能导出网页版的注册表分析报告。

•快速汇总功能：可对磁盘文件信息和提取的敏感信息进行快速汇总和统计，便于取证这快速查看掌握案件情况。

•多种形式的报告生成：支持取证报告（HTML格式）、模板报告（Word格式）、分析报告（HTML格式）。

•文件查看器功能：文件查看器功能可以让文件按照指定的第三方工具进行查看、第三方工具可通过查看器管理功能进行添加。

•哈希库管理功能：可计算文件或磁盘的MD5哈希值、并通过哈希库管理功能进行哈希值分类和对比。

四、虚拟仿真：

支持Winodws XP/7/8、Mac OS10.7以上版本、Linux系统的虚拟仿真。

支持物理存储设备（磁盘、移动硬盘、U盘等）和镜像启动仿真。

支持全盘镜像和分区镜像仿真。

支持单个DD、E01镜像和分段DD、E01镜像。

支持自定义内存大小。

支持用Ghost安装的系统仿真。

支持跨平台。运行平台包括Windows XP、Windows 7 和Mac OS。

支持windows全版本系统密码突破。

支持e01、.s01、.raw、.dd、.iso等镜像文件磁盘挂载

五、关闭状态获取：

基于Linux的取证光盘，在电脑不开机状态下具有磁盘镜像、磁盘克隆、数据擦除、镜像加载等等很多功能。