信息犯罪与电⼦取证:硬件取证⼯具
⼀次性付费进,永久会员,长期免费索取资料。
回复:可查看进流程。
:计算机与⽹络安全
1. 电⼦证据只读锁
为了避免在计算机取证过程中,由于对硬盘操作⽽引发更改硬盘数据的现象,电⼦证据只读锁已经成为计算机取证的标准配置⼯具,其获取的证据的有效性已经被法庭采信。只读锁通过屏蔽写信号,确保不会修改犯罪嫌疑⼈的硬盘,因此具有司法有效性。
电⼦证据只读锁具体操作步骤如下。
(1)将嫌疑硬盘连接到只读锁相应接⼝(如SATA、SAS、IDE)。
(2)将只读锁的eSATA或USB接⼝与计算机主机连接。
(3)连接好只读锁电源线并打开电源开关,开始⼯作。
⽬前国际上流⾏的电⼦证据只读锁有Tableau系列只读锁、Wiebetech系列只读锁以及美亚柏科DC-8700系列只读锁。然⽽只有美国Guidance Software与中国美亚柏科拥有SATA、IDE、SAS、USB3.0、USB2.0、存储卡等全系列电⼦证据只读锁的核⼼技术。
2. 硬盘复制机
⽬前对硬盘的数据获取主要有软件⽅式和硬件⽅式两种实现⽅法。软件⽅式主要利⽤如EnCase、FTK或其他专⽤磁盘复制及镜像软件,通过相应接⼝实现对嫌疑硬盘的数据分析或直接硬盘镜像,能够在⼀定程度上满⾜硬盘数据获取的需要。
硬件⽅式主要利⽤硬盘复制机,通过对嫌疑硬盘的精确复制,实现对硬盘数据的完整获取。⽬前普遍使⽤的是Tableau TD2及TD3、SOLO 4、Forensic Falcon以及取证魔⽅(DC-8811)、⾼速硬盘复制机(DC-8202)等设备。⽬前国内外硬盘复制设备性能基本达到同等⽔平,SATA III代机械硬盘复制速度⼀般可达6~7 GB/min,SSD硬盘复制可⾼达20 GB/min以上。
3. 取证魔⽅
“取证魔⽅”是厦门美亚柏科信息股份有限公司研发的⼀款适合执法部门进⾏现场勘查分析的综合取证⼀
体化设备。成⽴于1999年的美亚柏科是国内最早从事取证⼯具研发的公司之⼀,也是全球计算机取证产品的两家上市公司之⼀。2011年,取证魔⽅获得中国创新设计⼤奖“红棉奖”。2014年,取证魔⽅通过美国FCC和欧洲CE认证。
取证魔⽅采⽤全球领先的⾼速硬盘复制、⾃动取证分析、动态系统仿真等多任务并⾏处理技术,同时提供了符合司法有效性的写保护功能,使现场进⾏证据固定、计算机取证分析⼯作简单快捷,⼤⼤提⾼现场勘查的效率,是国内最受欢迎且⽤户数最多的⼀款取证⼀体化设备,有计算机取证界的“瑞⼠军⼑”之称。
在硬盘复制⽅⾯,取证魔⽅⽀持多种只读和复制接⼝(IDE、SATA、SAS、SCSI、USB),⽀持⼀对⼀、⼆对⼆等多路并⾏复制,硬盘复制速度可达27 GB/min。在复制或镜像时可进⾏关键词搜索,并可将结果导⼊取证⼤师进⾏关联查看。取证魔⽅⽀持对⽬标计算机进⾏不拆机硬盘复制,⽀持分别或同时加载/卸载多个只读源盘接⼝,包括SATA/SAS接⼝、IDE接⼝及USB接⼝,并且⽀持续点复制、续点镜像功能。
在数据分析⽅⾯,取证魔⽅⽀持对指定的源盘进⾏预分析,提取指定分析策略相关的⽂件到本地磁盘上,提取完毕后,再对提取到本地的相关⽂件进⾏解析,同时启动硬盘复制功能,把源盘的所有数据复制到⽬标盘,还可在复制的同时查
再对提取到本地的相关⽂件进⾏解析,同时启动硬盘复制功能,把源盘的所有数据复制到⽬标盘,还可在复制的同时查看分析数据的结果。此外,取证魔⽅内置取证⼤师专业版,⽀持对磁盘中的数据进⾏深度分析及数据恢复,还⽀持通过取证服务云对QQ、飞信、阿⾥旺旺、Skype等密码密钥的提取。
在系统仿真⽅⾯,取证魔⽅⽀持Windows 10、Windows 8.1、Windows 8、Windows Server 2012、Windows 7、Windows Vista、Windows XP、Windows 2008、Windows 2003、Windows 2000,多种版本的Linux,以及基于x86架构10.10、10.9和以下版本Mac OS系统的系统仿真;并⽀持对整个硬盘(MBR格式和GPT格式)、全盘镜像或分区镜像(DD⽂件、E01⽂件、Img⽂件等)的仿真。
取证魔⽅可快速批量⽣成现场快速分析⼯具“取证精灵”U盘,对现场正在运⾏的⼤量计算机系统进⾏数据快速提取及分析(如企业单位、⽹吧等场合);可制订各种现场取证策略,提取特定数据,加快数据提取速度,特定数据包括上⽹记录、即时通信信息、电⼦邮件、加密⽂件、各类⽂档等;⽀持现场快速分析,或现场只导出相关重要⽂件,缩短现场信息获取时间;⽀持预先设置关键词信息,现场快速查获所需的机器。
4. “章鱼”多通道⾼速获取系统
“章鱼”多通道⾼速获取系统是⼀款利⽤多个传输通道对计算机存储介质进⾏不拆机并⾏获取的便携设备,⽀持对不易拆卸硬盘的笔记本、服务器以及苹果笔记本(MacBook/iMac)等不拆机进⾏⾼速数据
windows server 2012四个版本获取。该系统充分利⽤⽬标计算机现有的⼀个或多个接⼝将硬盘数据镜像分流存储到设备内置的多个硬盘,实现硬盘镜像速度⼤幅提升。相⽐单路获取设备,DC-8670单位时间获取的数据量可提升4倍,可以很好地解决现在计算机存储设备容量越来越⼤、获取时间越来越长的问题。
DC-8670与⽬标计算机的连接步骤如下。
(1)使⽤USB 3.0或雷电数据线连接通道1盘位与⽬标计算机。
(2)使⽤USB 3.0数据线分别连接通道2、通道3、通道4盘位与⽬标计算机。使⽤四路USB 3.0集线器连接DC-8670与⽬标计算机,如图1所⽰。
图1 DC-8670与⽬标计算机的连接
(3)在DC-8670主界⾯,勾选需要获取的硬盘或分区,该硬盘将被⾃动添加⾄任务列表中。
(4)单击“开始”按钮,进⾏获取操作。在信息打印区域将显⽰任务获取详情。
- The end -

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。