计算机取证勘察箱工具构成研究*

孙飞¹,郭勇鸿²

¹(北京市公安局石景山分局科技信息通信处, 北京市 100060)

²(北京市公安局行动技术处, 北京市 100011)

摘要: 实现对各类信息存储介质进行全面、彻底、快速地取证必须依赖于专用的取证设备和软件。由于各种信息存储介质种类很多，如软盘、硬盘、光盘、USB闪存、数字相机闪存卡、各种大容量软盘（ZIP等）、可扩充硬盘（JAZ等），此外还有不同品牌的掌上电脑和手机，因此要求计算机取证人员必须拥有一套适应范围广、拷贝功能强、携带方便、使用灵活的移动电子取证平台，通过最精简、最灵活的设备，实现最有效的数据取证目的。

关键词: 计算机取证;勘察箱;

在计算机取证领域中，实现对各类信息存储介质进行全面、彻底、快速地取证必须依赖于专用的取证设备和软件。由于各种信息存储介质种类很多，要求计算机取证人员必须拥有一套适应范围广、拷贝功能强、携带方便、使用灵活的移动电子取证平台，要通过最精简、最灵活的设备，实现最有效的取证目的。因此计算机取证勘察箱已经被认为是实现计算机取证的系统化、集成化、规范化、专业化的解决方案。本文结合国内外最新计算机取证产品，探讨符合案件侦查需要的计算机取证勘察箱构成方案。

1 计算机取证勘察箱现状

目前在国内外的计算机取证产品中，已经出现了许多不同功能、不同外观的取证勘察箱，所有这些取证设备依据其功能和形式主要分为三种：改装型、工控型和组合型。

改装型主要将台式计算机主板、显示器等部件安置于特定工具箱内，优化各接口的连接方式，将全部端口引于面板上，便于设备的连接使用。由于普通笔记本计算机无法直接连接并快速获取IDE硬盘数据，因此这种取证箱的最大优点是便于对硬盘数据的预览和获取。

工控型主要利用工业控制机可携带，扩展方便的特点，利用各种PCI功能扩展卡增强计算机的功能。此种设备端口齐全，具有防震设计。缺点是体积大且重，不易伪装。

组合型将各种常见的取证设备合理搭配，放置于特制的箱包中，组成功能全面的取证系统。主流方案是采用笔记本计算机，配合各种移动存储介质和专业计算机取证器材，实现对不同信息存储介质的检查与获取。这种方案优点是端口齐全，各种设备使用灵活，便于伪装和携带。

2 计算机取证勘察箱应具备的功能

综和市场上各种取证箱的优缺点可以看出，许多现有勘察箱只是侧重于部分存储介质的检查与获取，缺乏完整的取证解决方案。而所选择的工具往往功能单一，缺乏灵活的配合。作为勘察箱，首先是要便于携带，因此所使用的设备不能太多，因此如何使用最佳的设备和方法来最快速、最灵活、最圆满地解决各种复杂问题，是计算机取证勘察箱构成的主要的研究内容。本文就电子取证箱应具备功能，探讨设备的使用问题。

2.1 硬盘数据获取功能

对硬盘数据获取是取证勘察箱所应具备的基本功能。目前对硬盘的数据获取主要有软件方式和硬件方式两种实现方法。硬件方式主要利用硬盘拷贝机，目前普遍使用的是SF5000、SOLO II等设备，通过对疑犯硬盘的快速物理拷贝，实现对硬盘数据的完整获取。软件方式主要利用如Encase、FTK或其它专用拷贝软件，通过相应接口，实现对疑犯硬盘的数据捕捉或1对1硬盘复制。这些计算机取证领域中的优秀产品能够一定程度上满足硬盘数据获取的需要。但是，这两种方式都缺乏灵活性，限制了取证人员在不同环境下，如取证时间问题、硬盘能否拆卸问题、所需获取内容问题，发挥个人主观因素和创造力的机会。

通过对比各种软硬件取证产品，我们认为利用最新型的SONIX拷贝机，配合取证计算机（由笔记本计算机、1394B取证接口和全能拷贝王软件组成），可根据不同取证需要灵活选择拷贝设备和拷贝方法，实现多种硬盘取证功能。

1、硬盘对拷：可以利用SONIX的硬盘直接拷贝功能，以3.3GB/分钟的速度，实现硬盘完整的复制；或者通过取证计算机对硬盘进行完整复制。

2、镜像拷贝：可以利用SONIX以镜像拷贝方式获取疑犯硬盘全部数据，也可利用取证计算机以镜像方式获取疑犯硬盘的全部数据。

3、智能拷贝：可以利用SONIX以智能拷贝方式快速获取疑犯硬盘全部数据文件，拷贝10GB数据仅需5分钟即可完成；也可利用取证计算机自动拷贝硬盘中特定类型数据文件。

4、选择性拷贝：可以利用取证计算机挑选拷贝硬盘中的特殊文件和目录。

5、数据检索：可利用SONIX拷贝机的关键字查找功能从众多硬盘中快速定位可疑硬盘，也可利用取证计算机实现同样功能。

6、无法拆卸硬盘的计算机数据获取：可利用SONIX拷贝机通过USB接口、PCMCIA接口不拆硬盘快速拷贝；也可利用1394B取证接口实现同样功能，每分钟可达1GB以上。

7、数据恢复：可利用特制启动光盘恢复疑犯硬盘中的指定类型的删除文件，特别适用于无法拆卸硬盘的计算机。

8、SATA硬盘获取：可利用SONIX拷贝机直接复制SATA串行硬盘，无需额外配件。也可利用取证计算机配合SATA适配器，采取多种方法获取数据。

9、苹果机硬盘复制：可利用SONIX拷贝机直接复制已拆卸的苹果格式硬盘，也可利用1394B取证接口或SONIX的USB接口不拆机获取苹果机硬盘数据。

10、破解苹果机OS X登陆口令：通过专用启动光盘，可解决苹果机系统口令问题，确保拷贝成功。

11、坏扇区硬盘拷贝：可利用SONIX拷贝机以智能拷贝方式试验拷贝，也可利用取证计算机以镜像或自动拷贝方式对数据进行全面复制。

通过上述功能可以看出，本方案充分利用几种设备和软件的灵活使用特点，以多种拷贝方法，多种连接方式实现不同的数据拷贝需要。这种灵活的使用方法正是取证勘察箱所应该具备的。

2.2 其他介质获取功能

由于各种信息存储介质种类很多，如软盘、光盘、USB闪存、数字相机闪存卡、各种大容量软盘（ZIP等）、可扩充硬盘（JAZ等），对这些存储介质主要依靠取证计算机和FTK取证软件进行。由于FTK具有数据捕获功能，能完整获取各种存储介质中的数据，包括隐藏和删除的全部数据，因此是理想的取证工具。

1、软盘数据获取功能：能够以软盘对拷、软盘镜像、文件拷贝、数据恢复等方式对软盘进行拷贝。

2、光盘数据获取功能：能够以光盘对拷、光盘镜像、文件拷贝等方式对CD-Audio, CD Enhanced, CD-Extra, CD-DA, CD-I, CD-R, CD-RW, CD-ROM, Video CD, DVD-RW, Photo CD, DVD-ROM, DVD-RAM, DVD-R, CD-Text等格式光盘进行拷贝。

3、ZIP软盘数据获取功能：能够以镜像、文件拷贝、数据恢复等方式对250兆ZIP软盘进行拷贝。

4、数字相机存储卡数据获取功能：能够以镜像、文件拷贝、数据恢复等方式对CompactFlash I& II、SmartMedia、Secure Digital、MultiMediaCard、IBM Microdrive、Memory Stick以及MemoryGate™ Memory Stick® 8种数字相机存储卡进行拷贝。

5、USB移动硬盘数据获取功能：对于各种品牌USB接口移动硬盘，可以通过USB 2.0接口以镜像、文件拷贝、数据恢复等方式数据获取。

6、1394B火线硬盘数据获取功能：对于各种品牌1394接口移动硬盘，可以通过1394B接口以镜像、文件拷贝、数据恢复等方式数据获取。

3 计算机取证勘察箱应配置的工具

3.1 硬件设备构成

1、取证用笔记本计算机

由于IBM 笔记本计算机性能稳定，扩展性好，特别是其具有的扩展坞II、Ultrabay 2000设备，使其成为计算机取证平台的最佳机型。配合软盘驱动器、光盘驱动器、ZIP驱动器、2.5寸硬盘托架、第二块电池等各种互换型Ultrabay设备，可实现灵活的使用需要，减少了携带物品数量和体积。

2、硬盘拷贝机

SONIX是目前速度最快的硬盘拷贝设备，拷贝速度3.3 GB/分钟。支持对IDE、SATA硬盘快速复制，无需附件；支持分区拷贝、镜像拷贝、智能拷贝三种方式，可通过USB接口、PCMCIA接口、并口对计算机内置快速复制，使用灵活；可作为USB外置硬盘使用，通过IBM取证计算机对内置硬盘进行数据拷贝、数据恢复，或备份疑犯硬盘数据。利用此设备，无需携带额外的USB移动硬盘。

3、LinkMASSter取证设备

可有效解决无法取出硬盘的笔记本或台式计算机，即可全面获取计算机硬盘数据至外部硬盘。通过可启动光盘启动疑犯计算机，利用最新型的1394B接口进行快速数据获取。拷贝速度可达1GB/分钟。同时还支持USB2.0接口进行高速拷贝。

此外，利用1394B接口，可有效解决苹果计算机硬盘取证需要。配合专用启动光盘，可解决苹果机系统口令问题。

连接取证计算机，可作为1394硬盘盒或USB 2.0硬盘盒使用，增强使用灵活性。

4、闪存卡拷贝设备

该设备是目前唯一可确保数字相机闪存卡存储数据安全的取证设备，可与FTK取证软件配合使用，实现理想的取证效果。该设备含有一个DOS工具，可将闪存设备中的数据以镜像方式创建到硬盘中。其位对位的拷贝方式便于数据文件的分析处理。

高速读取和存入多达8种数码相机存储卡 ,如CompactFlash I& II、SmartMedia、Secure Digital、MultiMediaCard、IBM Microdrive、Memory Stick以及MemoryGate™ Memory Stick®，传输速度高达480Mbps。

5、PDA取证设备

PDA取证设备是目前功能最强的掌上电脑专业取证设备，可对具有使用Palm和Windows CE/Pocket PC操作系统的掌上电脑进行数据获取、数据搜索和生成报告的功能。利用该设备，可解决35种以上不同品牌、型号的掌上电脑的数据取证问题，还可解决部分型号掌上电脑的开机口令。

6、手机取证设备

手机取证设备可获取手机目前支持Nokia, Sony-Ericcson, Motorola, Siemens的部分型号手机，支持对GSM 和 TDMA/CDMA 手机内部，可利用读卡器获取GSM 和CDMA SIM卡。由于手机取证与传统数据取证方式不同，且因为不同厂商、型号和系统的手机的数据存储方式也不同，因此对每个型号的手机都要谨慎操作。手机取证设备所具的专业取证软件可获取手机中的用户数据和部分型号手机的未分配空间数据。

7、硬盘转接卡

各种不同类型硬盘转接卡，可配合取证计算机和各种硬盘拷贝机对2.5寸、1.8寸硬盘进行全面获取。

8、硬盘写保护器

硬盘写保护设备包含计算机取证中可能遇到的各种硬盘写保护适配器，能适应IDE, SATA和SCSI三种接口硬盘，可有效保护硬盘原始数据的安全。

3.2 取证软件构成

取证软件是计算机取证勘察箱的另一主要部分，通过不同的数据获取方法，可完整获取犯罪嫌疑人计算机硬盘中的证据信息。

3.2.1 全能拷贝王

全能拷贝王是一套使用灵活的计算机取证软件，配合各种写保护设备，能够实现对软盘、硬盘、光盘、数字相机闪存卡、U盘、移动硬盘、ZIP软盘等各种存储介质的数据获取。同时，可根据不同环境，不同需要，采用不同的拷贝方法。

主要特点：

1、数据对拷：支持对各种存储介质的全面复制，生成一个与原始存储介质完全相同的备份。

2、镜像获取：通过专用取证软件，将各种存储介质的的全面信息获取到硬盘的镜像文件中。

3、文件智能拷贝：对于特定情况，自动对指定存储介质中的有效数据信息全面拷贝。

4、选择性拷贝：对于特定情况，由用户自行挑选所需拷贝的目录和文件。

5、恢复拷贝：对于特定情况，恢复某种存储介质中全部或指定类型的删除文件。

3.2.2 FTK取证分析软件

Forensic Toolkit（简称FTK）能为执法部门提供全面、彻底的计算机数据取证、分析和发现能力。 FTK提供了强大的文件索引、过滤和查找功能，可自定义的过滤选项能满足用户从上万份文件中快速查找所需的证据的能力，被公认为世界上对电子邮件分析的首选软件。

主要特点：

易于使用：利用内置的Outside In Viewer技术，可察看超过270不同格式文件。

强大的搜索功能：全文索引功能可即时生成搜索结果，具有超强的图像和互联网信息搜索功能。

电子邮件和压缩文件分析： Ms Outlook, Outlook Express, AOL, Netscape, Yahoo, Earthlink, Eudora, Hotmail, MSN e-mail。

可察看、搜索、打印、导出电子邮件信息和附件，可恢复删除部分邮件信息。自动从PKZIP, WinZip, WinRAR, GZIP和TAR格式压缩文件中释放数据。

3.2.3 Encase取证分析软件

数据分析软件是一套世界领先的计算机数据获取、分析、过滤、搜索、报告的软件，通过对整个硬盘数据的系统分析，最终将硬盘中存储的各种数据进行分类，并将删除数据、硬盘空余空间中存储数据、文件缝隙间数据分析出来，同时还具备对文档、电子邮件、图片、媒体文件的查看问题。

EnCase 是数据调查和分析软件，具有数据分析功能、数据搜索功能、邮件处理功能，支持Windows、MAC OS、LINUX、Solaris、HP UX系统，支持多国语言，支持多种分区格式。

主要特点：

证据获取：能完整获取硬盘、软盘、光盘、数字存储介质中的数据，包括隐藏和删除的全部数据。

数据分析：能对获取的证据进行全面分析、搜索，获取到普通方法无法发现的深层次数据。

自动报告：能够自动根据处理过程中发现的证据文件生成分析报告，提高工作效率。

证据存档：能以DVD光盘形式永久保存证据材料，必要时可恢复出原始硬盘数据。

3.2.4 多国语言文档处理系统

ENCASE、FTK等软件在数据分析、查找方面功能强大，但由于缺乏全面的软件环境，因此在数据查看方面具有一定不足。

“多国语言文档处理系统”集文档管理、文档阅览、文档打印、图形处理、电子邮件浏览、压缩解压缩、文档解密、数据修复、数据恢复等功能为一体，结合了世界知名办公软件套件，专业数据分析软件，可处理31种国家文字、80种办公软件文件、200余种图形文件、13种电子邮件文件、17种光盘镜像文件、7种磁盘镜像文件、27种音频视频多媒体文件，总计可处理文件类型约700余种，覆盖目前国际、国内主要文件类型。同时，可针对不同类型加密文件内容的查看需求，对40余种常见类型加密文件进行口令破译。能够对意外删除的软盘、硬盘、数字相机存储介质进行恢复。

“多国语言文档处理系统”特别适合于司法部门对各种类别的数据信息进行处理，是协助公安部门，检察部门，司法部门进行计算机犯罪调查工作的优秀工具，使疑犯的犯罪信息无处隐藏。

4 结束语

计算机取证勘察箱的构成涉及公安部门计算机取证计算的规范化、专业化的发展。我们在此提出的规划方案只是涉及了主要的取证工具，更完善的方案希望同行、专家探讨论证。

致谢在此,我们向对本文的完成给予支持和建议的同行表示感谢。

作者简介:孙飞（1970年），男，北京市人，大学本科，主要研究领域为计算机监察；郭勇鸿（1970年），男，北京市人，大学本科，主要研究领域为计算机网络安全。

计算机取证勘察箱工具构成研究相关推荐

计算机取证磁盘镜像研究,存储介质的计算机取证技术研究
摘要: 本文针对日益严重的计算机犯罪,对基于存储介质的计算机取证技术的若干问题进行了研究,取得了以下几个方面的主要成果: (1)收集计算机取证研究领域各种资料,包括计算机取证在国外的发展,国内外计算机 ...
论计算机取证工具软件及其检测(转)
丁丽萍1,2+,王永吉1 1 (中国科学院软件研究所互联网软件技术实验室,北京,100080) 2 (北京人民警察学院警务科学研究所,北京,100029) 摘要: 计算机取证工具用于计算机证据的 ...
计算机中常用的侦查技术分析,计算机取证技术运用分析.doc
计算机取证技术运用分析计算机取证技术运用分析［摘要］本文基于工作经验,分析了计算机取证技术在侦查网络犯罪中运用的现状,指出了计算机取证技术运用中存在的一些问题,并着重介绍了增强运用意识,普及理 ...
计算机取证技术与应用,计算机取证技术及其工具应用的研究
科技广场2009.3 0引言随着计算机技术的成熟与广泛应用,以计算机信息系统为犯罪对象和以计算机为犯罪工具的各类新型犯罪活动持续上升.计算机取证是将计算机调查和分析技术应用于对存在计算机和相关外设中 ...
工具推荐：22款最流行的计算机取证工具【2017年更新版】
本文讲的是工具推荐:22款最流行的计算机取证工具[2017年更新版], 什么是计算机取证? 计算机取证(Computer Forensics,又名计算机取证技术.计算机鉴识.计算机法医学)是指运用计算 ...
获取计算机内存镜像文件,计算机取证中的内存镜像获取的研究与实现
摘要: 随着计算机科学技术的迅猛发展和网络普及,以计算机信息系统为工具和j巳罪对象的各式新型j巳罪案件频繁发生,造成的巨大危害也越来越大.怎么可以最大程度地获取计算机j巳罪相关的计算机证据,将犯罪人员 ...
22款受欢迎的计算机取证工具
*参考来源:infosecinstitute,FB小编 secist 编译,转载请注明来自FreeBuf(FreeBuf.COM) 计算机取证是与计算机和网络犯罪有关的,一门非常重要的计算机学科分支. ...
获取计算机内存镜像文件,计算机取证物理内存镜像获取技术的研究与实现
摘要: 随着信息技术的发展,计算机与网络成为社会政治,经济,文化生活的重要组成部分,而与此相关的各种计算机犯罪现象也日益突出.计算机取证技术成为打击计算机犯罪的重要手段,是目前计算机界和法学界共同研究 ...
计算机取证要解决的问题类型,计算机取证问题研究
摘要: 本文针对日益严重的计算机犯罪,对计算机取证的理论和方法的几个问题进行了研究,完成了以下工作: 第一.对计算机取证的理论和方法做了比较完整的归纳总结,由于计算机取证的理论在国内尚处于不完善.不成 ...

计算机取证勘察箱工具构成研究

1 计算机取证勘察箱现状

2 计算机取证勘察箱应具备的功能

2.1 硬盘数据获取功能

2.2 其他介质获取功能

3 计算机取证勘察箱应配置的工具

3.1 硬件设备构成

3.2 取证软件构成

3.2.1 全能拷贝王

3.2.2 FTK取证分析软件

3.2.3 Encase取证分析软件

3.2.4 多国语言文档处理系统

4 结束语

计算机取证勘察箱工具构成研究相关推荐

最新文章

热门文章