三級(jí)電子物證實(shí)驗(yàn)室建設(shè)方案書

1、電子數(shù)據(jù)取證鑒定實(shí)驗(yàn)室建設(shè)項(xiàng)目方案書版本：2.02012年03月盤石軟件（上海）有限公司2.1公安部對(duì)鑒定試驗(yàn)室的能力要求37第1章技術(shù)和工作基TOC o 1-5 h z HYPERLINK l bookmark12 1.1公司介紹6 HYPERLINK l bookmark14 1.2盤石公司產(chǎn)品介紹61.2.1盤石現(xiàn)場(chǎng)計(jì)算機(jī)取證系統(tǒng)(Safeimager)7離線取證7在線取證8產(chǎn)品特性9SafeImager增強(qiáng)型101.2.2盤石手機(jī)取證分析系統(tǒng)(SafeMobile)11 HYPERLINK l bookmark18 1.2.3盤石介質(zhì)取證分析系統(tǒng)(SafeAnalyzer)13 HYP

2、ERLINK l bookmark26 1.2.4盤石易載鏡像助手(SafeMount)221.2.5盤石計(jì)算機(jī)仿真取證系統(tǒng)(SafeVM)241.2.6盤石可視化數(shù)據(jù)分析平臺(tái)(IDVP)271.2.7盤石實(shí)驗(yàn)室管理系統(tǒng)(LIMS)311.2.8盤石計(jì)算機(jī)現(xiàn)場(chǎng)取證勘察箱(SafeSuite)34 HYPERLINK l bookmark44 1.2.9盤石計(jì)算機(jī)取證分析平臺(tái)(SafeForensicPlatform)35取證專業(yè)培訓(xùn)3637第2章實(shí)驗(yàn)室技術(shù)規(guī)格和要求TOC o 1-5 h z HYPERLINK l bookmark52 2.2實(shí)驗(yàn)室裝備功能要求42 HYPERLINK l b

3、ookmark54 2.3實(shí)驗(yàn)室的區(qū)域設(shè)置42實(shí)驗(yàn)室的管理43實(shí)驗(yàn)室域管理環(huán)境432.4.2流程管理442.4.3安防設(shè)備4445第3章實(shí)驗(yàn)室設(shè)備配置規(guī)格說(shuō)明數(shù)據(jù)的固定設(shè)備453.1.1證據(jù)數(shù)據(jù)完整性的保護(hù)45盤石只讀接口套件45Solo-III高速多功能復(fù)制機(jī)套件48盤石1to2光盤復(fù)制機(jī)50數(shù)據(jù)完整性校驗(yàn)值計(jì)算軟件513.1.2證據(jù)數(shù)據(jù)原始性的保護(hù)51攝像機(jī)51照相機(jī)51屏幕錄像軟件51本地?cái)?shù)字化設(shè)備非運(yùn)行狀態(tài)下的數(shù)據(jù)提取523.2.1獨(dú)立存儲(chǔ)介質(zhì)的數(shù)據(jù)提取528S隔Uoipnis-y乙mi8S（VS）198S血孕図郢糜9TAS池蜩糜翠#返男鋼庫(kù)爾蟲乙佔(zhàn)池醉郢糜図甫瑚卑電男原片庫(kù)丫結(jié)換匸兀

4、池醉郢糜図男原片庫(kù)丫結(jié)換ST9S|jeqsaji/viVE9s池醉図郢糜號(hào)BJ取網(wǎng)男原乃*糜丄翠#丄/蟲乙匕9S（26eiu冋巧）駭麥衛(wèi)!池色血2薔ElVE9SqseHWI-Moqu!州乙遼譏9S（IAI八刃巧）駭豹鮒草夠習(xí)IlVE9S池醉郢糜図丁男原乃*糜丄翠#馬蟲TVE9S池醉郢糜図丄翠#丄/蟲男原乃*糜關(guān)傘VESS砌碑僅WH剖酥匸SS池蜩籬嗨Rm供ES篡曲工強(qiáng)乙ZES駭麥OEICW搦1KW粕的巧匸乙ES池蜩籬嗨Rm灘乙乙S隔U駭麥長(zhǎng)池出圭引!qoiu刃esITT乙S池醉郢糜図國(guó)U翱馬回g至誠(chéng)巨士&乙S乙ZW3.7數(shù)據(jù)的解密與解碼603.7數(shù)據(jù)的解密與解碼60TOC o 1-5 h z3.

5、7.1加密數(shù)據(jù)的解密:Elcomsoft密碼破解套件60結(jié)構(gòu)化數(shù)據(jù)的解碼61數(shù)據(jù)的分析61程序功能的黑盒分析633.9.1程序功能的靜態(tài)分析:IDAPRO（專業(yè)版+反編譯）63有害程序搜索軟件63實(shí)驗(yàn)室環(huán)境條件63基礎(chǔ)環(huán)境和設(shè)備條件63數(shù)據(jù)發(fā)現(xiàn)提取固定基礎(chǔ)條件64證據(jù)數(shù)據(jù)存儲(chǔ)設(shè)備64物證存儲(chǔ)柜65本地?cái)?shù)字化設(shè)備檢驗(yàn)專用主機(jī)（取證分析工作站SFP-101）.65遠(yuǎn)程數(shù)字化設(shè)備檢驗(yàn)專用主機(jī)66物證封存袋、封存條66程序功能檢驗(yàn)基礎(chǔ)條件66實(shí)驗(yàn)室管理?xiàng)l件67實(shí)驗(yàn)室附屬設(shè)施676868第4章實(shí)驗(yàn)室建設(shè)項(xiàng)目工程實(shí)施4.1項(xiàng)目實(shí)施概況4.2項(xiàng)目實(shí)施甘特圖694.2項(xiàng)目實(shí)施甘特圖69TOC o 1-5 h

6、z HYPERLINK l bookmark98 第5章技術(shù)培訓(xùn)和支持70 HYPERLINK l bookmark100 5.1技術(shù)培訓(xùn)70 HYPERLINK l bookmark102 5.2技術(shù)支持70保證期內(nèi)服務(wù)計(jì)劃70保證期后服務(wù)計(jì)劃71修訂記錄版本時(shí)間作者備注2.12009-6-26盤石數(shù)碼2.0版本上修改了文檔風(fēng)格和格式第1章技術(shù)和工作基礎(chǔ)1.1公司介紹盤石軟件（前身“上海盤石數(shù)碼信息技術(shù)有限公司”）成立于2002年，專業(yè)從事網(wǎng)絡(luò)安全和計(jì)算機(jī)取證產(chǎn)品的研發(fā)和服務(wù)。FANSAFE2004年4月，隨著專業(yè)取證技術(shù)的發(fā)展，計(jì)算機(jī)取證產(chǎn)品的研發(fā)和服務(wù)即成為公司的主要發(fā)展方向。盤石公司的

7、取證技術(shù)人員曾多次參與針對(duì)公安技術(shù)人員的全國(guó)性的培訓(xùn)講解，和公安信息網(wǎng)絡(luò)安全保衛(wèi)部門建立了良好的溝通關(guān)系，提供專業(yè)的取證產(chǎn)品和技術(shù)服務(wù)，在一些新的技術(shù)領(lǐng)域和案件上提出自己的見(jiàn)解并參與到實(shí)際工作中。在計(jì)算機(jī)取證研發(fā)和實(shí)踐過(guò)程中，盤石公司對(duì)國(guó)內(nèi)外電子證據(jù)鑒定實(shí)驗(yàn)室的建設(shè)也十分關(guān)注。參照國(guó)外實(shí)驗(yàn)室的框架我們?yōu)楣膊?、上海、廣州、湖北、安徽、浙江等地的實(shí)驗(yàn)室提供了建設(shè)方案，并參與公安部十一局、湖北省公安廳、安徽省公安廳、上海市公安局等各地電子證據(jù)鑒定實(shí)驗(yàn)室的建設(shè)和裝備提供。盤石軟件的企業(yè)文化:企業(yè)愿景：成為具有世界水平的電子取證技術(shù)專業(yè)公司企業(yè)目標(biāo)：高度專注于電子取證領(lǐng)域的軟件開(kāi)發(fā)與技術(shù)服務(wù)核心價(jià)值觀

8、會(huì)客戶、員工創(chuàng)造共同價(jià)值企業(yè)口號(hào)：發(fā)展安全、專注取證、堅(jiān)如磐石質(zhì)量方針：持續(xù)創(chuàng)新、技術(shù)領(lǐng)先、品質(zhì)卓越、專業(yè)服務(wù)12盤石公司產(chǎn)品介紹1.2.1盤石現(xiàn)盤石計(jì)算機(jī)現(xiàn)場(chǎng)取證系統(tǒng)（Safeimager）由可以啟動(dòng)的光盤/U盤、夕卜接的數(shù)據(jù)存儲(chǔ)設(shè)備構(gòu)成。使用Safeimager光盤/U盤啟動(dòng)對(duì)象計(jì)算機(jī)或者在對(duì)象計(jì)算機(jī)上直接運(yùn)行Safeimager應(yīng)用程序，可以快速有效地獲取對(duì)象計(jì)算機(jī)上的數(shù)據(jù)，呆存到夕卜接的數(shù)據(jù)存儲(chǔ)設(shè)備中。Safeimager獲取的數(shù)據(jù)可以在各類數(shù)據(jù)分析軟件（例如SafeAnalyzer、MedAnalyzer、Encase、FTK、Smart等）中使用，并可以在獲取數(shù)據(jù)的過(guò)程中計(jì)算數(shù)據(jù)的

9、摘要，作為數(shù)據(jù)完整性和有效性的證明。Safeimager由兩個(gè)功能模塊組成：離線取證（Offline）和在線取證（Online）。離線取證使用Safeimager光盤/U盤啟動(dòng)對(duì)象計(jì)算機(jī)，獲取對(duì)象計(jì)算機(jī)數(shù)據(jù)。在不改變對(duì)象計(jì)算機(jī)數(shù)據(jù)的前提下，Safeimager提供簡(jiǎn)潔易用的的操作界面，確保硬盤復(fù)制位對(duì)位的準(zhǔn)確率，保證對(duì)象計(jì)算機(jī)的硬盤數(shù)據(jù)沒(méi)有任何的改變，提供現(xiàn)場(chǎng)快速獲取和介質(zhì)分析的功能。Safeimager支持Unix/Linux/*BSD/Windows等多種操作系統(tǒng)，具有輕便、適合現(xiàn)場(chǎng)應(yīng)用的特性。離線取證的主要功能如下:實(shí)現(xiàn)對(duì)象計(jì)算機(jī)的硬盤數(shù)據(jù)鏡像，生成復(fù)制盤，同時(shí)生成數(shù)字摘要。復(fù)制盤和原始

10、盤具有完全一致的數(shù)據(jù)。對(duì)復(fù)制盤的數(shù)據(jù)分析，具有和對(duì)原始盤數(shù)據(jù)分析同樣的效果。通過(guò)啟動(dòng)復(fù)制盤，模擬對(duì)象計(jì)算機(jī)本地環(huán)境。實(shí)現(xiàn)對(duì)象計(jì)算機(jī)的硬盤和分區(qū)數(shù)據(jù)鏡像，生成DD格式、AFF格式的鏡像文件，同時(shí)生成數(shù)字摘要。DD格式的鏡像文件具有和硬盤一樣的結(jié)構(gòu)，是對(duì)硬盤數(shù)據(jù)的按位復(fù)制，保證數(shù)據(jù)一致性，是目前法律上認(rèn)可的數(shù)據(jù)鏡像格式。AFF是高級(jí)取證格式，用來(lái)保存磁盤鏡像信息和相關(guān)取證信息的可擴(kuò)展的開(kāi)放格式。使用DD格式、AFF格式的鏡像文件，可以在各種取證系統(tǒng)中（SafeAnalyzer、Encase、FTK等）直接加載和分析。實(shí)現(xiàn)對(duì)象計(jì)算機(jī)中的硬盤和分區(qū)進(jìn)行數(shù)字摘要計(jì)算，文件的數(shù)字摘要類似于人的指紋，只有內(nèi)

11、容完全相同的文件具有相同的數(shù)字摘要，便于驗(yàn)證。實(shí)現(xiàn)對(duì)象計(jì)算機(jī)中的特定目錄或者文件進(jìn)行復(fù)制?？梢赃x擇需要復(fù)制的。Safeimager在復(fù)制的同時(shí)可以生成每個(gè)文件的數(shù)字摘要。對(duì)取證硬盤進(jìn)行擦除操作。在線取證在目標(biāo)系統(tǒng)運(yùn)行的情況下，對(duì)目標(biāo)系統(tǒng)寒旨總址J己用空間1?!汀慟：d:l151*mj凸BLB1廠計(jì)迴出，晰）SAFEJ1MABER內(nèi)部的易失數(shù)據(jù)如內(nèi)存信息，臨時(shí)文件等進(jìn)行取證。同時(shí)由于現(xiàn)場(chǎng)的復(fù)雜性，有可能無(wú)法對(duì)目標(biāo)系統(tǒng)進(jìn)行離線取證，可以通過(guò)在線取證系統(tǒng)進(jìn)行取證。由于在線取證軟件需要運(yùn)行在目標(biāo)系統(tǒng)的操作環(huán)境，所以可能會(huì)對(duì)證據(jù)有效性有所影響，須要配合拍照、攝像等手段保持證據(jù)力。在線取證目前支持Wind

12、ows2000/XP/2003平臺(tái)。在線取證的主要功能如下:導(dǎo)出系統(tǒng)信息：導(dǎo)出運(yùn)行系統(tǒng)內(nèi)存中的47類易失信息，分為3個(gè)大類：操作系統(tǒng)信息、密碼信息和上網(wǎng)記錄。內(nèi)存信息復(fù)制：對(duì)對(duì)象計(jì)算機(jī)物理內(nèi)存進(jìn)行數(shù)據(jù)鏡像生成DD格式或者AFF格式的數(shù)據(jù)鏡像文件在線硬盤復(fù)制不關(guān)機(jī)情況下對(duì)對(duì)象計(jì)算機(jī)的硬盤進(jìn)行數(shù)據(jù)鏡像，可以硬盤克隆、生成DD鏡像文件和AFF鏡像文件。在復(fù)制的同時(shí)可以生成數(shù)字摘要。在線分區(qū)復(fù)制不關(guān)機(jī)情況下對(duì)對(duì)象計(jì)算機(jī)的分區(qū)進(jìn)行數(shù)據(jù)鏡像，可以生成DD鏡像文件和AFF鏡像文件。支持各種虛擬分區(qū)軟件（如PrivateDisk）創(chuàng)建的虛擬分區(qū)的獲取。在復(fù)制的同時(shí)可以生成數(shù)字摘要。產(chǎn)品特性不拆機(jī)箱的數(shù)據(jù)獲取光

13、盤啟動(dòng)/程序直接運(yùn)行在不拆機(jī)箱的情況下對(duì)證據(jù)計(jì)算機(jī)的證據(jù)硬盤進(jìn)行數(shù)據(jù)獲取，可以獲取包括整個(gè)硬盤、分區(qū)、目錄和文件等各個(gè)級(jí)別的數(shù)據(jù)。在線獲取支持獲取系統(tǒng)運(yùn)行信息、內(nèi)存和常見(jiàn)應(yīng)用程序密碼。支持基于IA32架構(gòu)的筆記本、PC和服務(wù)器支持IDE、SATA、SCSI、RAID等各種硬盤和數(shù)據(jù)架構(gòu)支持Dos/Windows文件系統(tǒng)，包括：FAT、FAT32、NTFS支持常見(jiàn)的其它文件系統(tǒng)，包括：EXT2/3、UFS、XFS、HFS、JFS、MINIX、HPFS等使用USB2.0/1394A/1394B接口，數(shù)據(jù)獲取速率最高可以達(dá)到2.5GB/分鐘獲取的數(shù)據(jù)可以使用SafeAnalyzer、Linux、Wi

14、nHEX、Encase、FinalData、FTK等各種取證工具進(jìn)行分析規(guī)范化操作現(xiàn)在的所有操作進(jìn)行日志記錄對(duì)證據(jù)數(shù)據(jù)進(jìn)行完整性保護(hù)，不破壞現(xiàn)場(chǎng)數(shù)據(jù)在數(shù)據(jù)復(fù)制的同時(shí)生成MD5哈希，便于事后校驗(yàn)簡(jiǎn)單易用所有操作采用圖形化的向?qū)Ы缑娌僮鬟^(guò)程動(dòng)態(tài)顯示，獲取過(guò)程一目了然提供快速操作，簡(jiǎn)化現(xiàn)場(chǎng)工作考慮到關(guān)機(jī)時(shí)采用復(fù)制機(jī)會(huì)有效地提高現(xiàn)場(chǎng)數(shù)據(jù)獲取的速度，我們提供了增強(qiáng)型的計(jì)算機(jī)現(xiàn)場(chǎng)取證系統(tǒng)，內(nèi)置便攜式高速硬盤復(fù)制機(jī)。復(fù)制機(jī)支持IDE、SATA、2.5寸硬盤的直接復(fù)制，且可以將IDE/SATA硬盤接口做為只讀接口使用。復(fù)制速度最高達(dá)到4.5G/分鐘。1.2.2盤石手機(jī)取證分析系統(tǒng)(SafeMobile)針對(duì)手

15、機(jī)的取證和傳統(tǒng)的數(shù)據(jù)取證有很大不同，手機(jī)數(shù)據(jù)一般都保存為私有格式，不同廠商，型號(hào)和系統(tǒng)都會(huì)有所不同。盤石SafeMobile手機(jī)取證分析系統(tǒng)采用統(tǒng)一的界面獲取各種品牌手機(jī)中用戶輸入的數(shù)據(jù)和部分設(shè)備的未分配存儲(chǔ)區(qū)域，并進(jìn)行取證分析。該產(chǎn)品得到科技部2007年度火炬基金支持，并通過(guò)認(rèn)證。SafeMobile系統(tǒng)特性：支持GSM/CDMA手機(jī)，包括：摩托羅拉、諾基亞、西門子、三星、索愛(ài)、聯(lián)想、夏新、飛利浦，天語(yǔ)、多普達(dá)、聯(lián)想、步步高、七喜、UT斯達(dá)康、OPPO、海爾、波導(dǎo)、TCL、酷派、OKWAP、港利通、天語(yǔ)、海信、明基、長(zhǎng)虹、友利通、GT佳通、CECT、技嘉、天瓏、愛(ài)肯、ZTC中天、大顯、億通、

16、創(chuàng)維、普萊達(dá)、奧丁、天時(shí)達(dá)、萬(wàn)利達(dá)、華立、唯科、僑興、紐曼、桑達(dá)、康佳、恒基偉業(yè)、華禹、倚天、金鵬、德賽、萬(wàn)事通、新郵通、宏康、盛泰、明騰、IDO、TSD、埃立特、普天、振華歐比、互通、高新奇、魅族、南極星、漢泰、福日匯訊、三巨網(wǎng)、東信、首信、金立、唯奧、廣信、邦華、晨興、高科、寶捷訊、眾一、嘉源、國(guó)信、金正、HKC、百迪寶、兆訊達(dá)、駿域、深愛(ài)、權(quán)智、高斯貝爾、賽洛特、億城、友信達(dá)、中恒、聯(lián)創(chuàng)、新中橋、科諾、知己、雅訊達(dá)、天元、寶碼、樂(lè)華、中訊天創(chuàng)、奧克斯、VOSIA奧翔、都寶、FIC大眾、綠力、中寶、屹東、摩西、琦基、艾美訊、OQO、愛(ài)國(guó)者、特靈通、賽昂星、齊樂(lè)、盛隆、吉事達(dá)、愛(ài)我、奧樂(lè)、科

17、健、廈華、熊貓、南方高科、大唐、托普、迪比特、浪潮、中橋、數(shù)源、紫光UNIS、NEO、奧盛、Beluga、科盛通信等多個(gè)品牌2000多款手機(jī)，型號(hào)還在不斷增加中；支持中國(guó)市場(chǎng)使用的所有SIM卡，如全球通，M-ZONE，神州行，世界風(fēng)，Up新勢(shì)力，如意通，Uni，寶視通，各種CDMASIM卡；國(guó)產(chǎn)手機(jī)的支持MTK平臺(tái)、展訊平臺(tái)對(duì)智能手機(jī)的支持Linux平臺(tái)、WindowsCE手機(jī)/SIM卡電話本、通話記錄、短信、設(shè)備信息和文件的獲取;支持對(duì)手機(jī)/SIM卡刪除短信的恢復(fù)；MTK平臺(tái)物理獲取，主要針對(duì)手機(jī)里的存儲(chǔ)器，通過(guò)硬件工具對(duì)手機(jī)字庫(kù)進(jìn)行備份，根據(jù)特征搜索鏡像，獲取用戶數(shù)據(jù)信息，包括刪除記錄；手

18、機(jī)連接方式支持：數(shù)據(jù)線、紅外、藍(lán)牙提供靈活多樣的搜索方法，支持多編碼格式同時(shí)搜索；書簽功能靈活強(qiáng)大，能更好的幫助分析數(shù)據(jù);即時(shí)提供的報(bào)表預(yù)覽功能，一次性生成可打印報(bào)表，降低取證分析人員的勞動(dòng)強(qiáng)度；文件預(yù)覽功能可查看十六進(jìn)制數(shù)據(jù)，方便高級(jí)取證分析人員進(jìn)一步分析所得數(shù)據(jù)支持設(shè)備校驗(yàn)，防止在文件移動(dòng)過(guò)程中發(fā)生意外;工作平臺(tái)為Win2000及其后續(xù)版本。1.2.3盤石介質(zhì)取證分析系統(tǒng)(SafeAnalyzer)SafeAnalyzer為執(zhí)法部門提供全面、徹底的計(jì)算機(jī)數(shù)據(jù)分析、檢查能力。具有強(qiáng)大的數(shù)據(jù)恢復(fù)、過(guò)濾、分析、查找和報(bào)告功能，并提供簡(jiǎn)單易用的操作界面，是當(dāng)前電子數(shù)據(jù)取證分析的首選工具。目前產(chǎn)品的

19、已經(jīng)達(dá)到國(guó)際先進(jìn)水平，符合司法取證的需求。該產(chǎn)品是ENCASE/FTK/Winhex等分析軟件的全中文替代品。更加符合中國(guó)用戶的使用習(xí)慣。在部分功能效率上超越了國(guó)外產(chǎn)品。獲取鏡像生成MD5哈希校驗(yàn)值，并可隨時(shí)校驗(yàn)；導(dǎo)出文件可以同時(shí)計(jì)算文件的MD5哈希；分析過(guò)程有詳細(xì)的審計(jì)日志，便于案件的審查復(fù)核工作mnjcaitH-cr：JIM(TJIA：|-HLDO：B：ni.i員廣対5_-|XI宦冷s?hlmh吋g|JS*AIU.-AS9DH口呂口口口口呂Dc-curF-mts：.：tTjcmWEOdCUlJ.isqTWAiJj-C-ia-bSVC-l-UHi-feTWKMtrtJDJJmrDONE去樂(lè)R

20、：呼ft.i.HTTE?：ErWb-apE.dnJb-c-raci.tSdas*52a-npiEsV:0k3.5T2月冃月flflm月円月月月flfl冃:口|1111II口口rlMu口rlcl蒔坪一-年?duì)?SIS片ittt埠坪耳環(huán)訐HBH-?u-a.H?sa.wH-a-賈科mDa急爲(wèi)急Tin亦EsvEIEEfLAEJe爲(wèi)空LIE曰曰曰目口曰曰HflB月冃月QJi月fl月fl月冃BBHEEBB-H-BBB-H-BBlitIEJ?.JJ-r1z21-3233333曰曰曰曰曰曰曰n曰曰曰HmmK-g.uhELhIT.uhTTdj3:l皿Jalmfll皿加JHEJ31fii.i加Ald年早毎迂年坪切氏

21、年切壞氏迂丘TTapTCISJQE斗Qeap舟LLsr-s-uIDimjL：aoooocooo&osc-00ZQ003|0OCWZCTOOCKiECijiKKXimijiXiCiiXn：iCiiW7tgn=*oogi=LQOOOOODSK-OOO0OT口口OO*Oijiji；n：ii：iEx3?3a03Daz32fliTZBO曰E3C狛3D3l!30：6I7320i3F20TiT盅誥33331雷SQSG:中DDn口PA1,QG_:*!5D.nDDT4FD253fiaJo35TT3=:irl:lL;.ll-libB:3:3I5O30313T_HA-cn_H-aAFDOr33332n-a-H32E

22、H-EBRQDU口E:曰e口4FP#33DillHlti:E.aaAH-Dn-CEDn-2E31Ksc-sarl-TsFl匚曰:3rrdcllrlJhs口nooII.333cnF3TCd日22T金器益器盂二7-2LZOTS-D*-ieDBILBiBS百百嘴StaLagZzce-o-i-iBca=is:JGpciatisn.0TfiEi.,giXi-Ci-4-10aazija：asHi.CZXEiX口冒十VlXiELQUrj：xrrx-rHTxiDn.B.1ri-7EiE-i1S-rr-*D位百腳毛：BLHfissw-g-:H1liLreef號(hào)IL已炮無(wú)護(hù)I3C麼河春導(dǎo)：5C低尼琦V:&*僮百；

23、笹p；KTGEE號(hào)豈EZQ斗STQE&Dgrrnij1CC*4W：lLfl36|=|QA：1ArtiHisirwirTrfliOlJtlf-li-n；IIEfl30ElOa：DD33infiK/cPTinJ:I秦円0-fftJg.a.t.l-gig關(guān)鍵特性包括：支持計(jì)算機(jī)存儲(chǔ)介質(zhì)直接分析，及支持DD、AFF、Encase格式鏡像文件的分析，對(duì)其進(jìn)行只讀訪問(wèn)，不破壞原始數(shù)據(jù)；支持MBR、GPT(Vista)分區(qū)方式，可以直接運(yùn)行在Vista中；自動(dòng)進(jìn)行系統(tǒng)分析，包括系統(tǒng)安裝時(shí)間，操作系統(tǒng)版本，用戶信息，網(wǎng)絡(luò)配置信息，安裝的程序，最后運(yùn)行時(shí)間等，并可以選擇性地納入案件報(bào)告；靈活的時(shí)區(qū)支持及管理，允

24、許勘查人員為每一個(gè)證據(jù)文件、每一個(gè)卷或每一個(gè)案件指定時(shí)區(qū)設(shè)置，解決了所分析的介質(zhì)使用的時(shí)區(qū)設(shè)置與調(diào)查人員所用時(shí)區(qū)設(shè)置不同的情況支持圖庫(kù)預(yù)覽功能；提供文本、十六進(jìn)制、縮略圖、預(yù)覽等文件查看方式；自動(dòng)編碼識(shí)別：支持文檔文件的編碼自動(dòng)識(shí)別十六進(jìn)制解析：類似WinHex文件過(guò)濾：系統(tǒng)缺省和自定義的過(guò)濾功能，并支持多重過(guò)濾；時(shí)間線分析：通過(guò)設(shè)置時(shí)間區(qū)域，建立該區(qū)段修改、訪問(wèn)、創(chuàng)建的文件時(shí)間線，方便定位案件相關(guān)文件；刪除恢復(fù)：文件系統(tǒng)中刪除恢復(fù)、特征恢復(fù)；可恢復(fù)高級(jí)格式化磁盤內(nèi)的文件，可判斷出交叉覆蓋文件；具有高性能的關(guān)鍵字搜索功能、支持多關(guān)鍵字同時(shí)搜索而不明顯降低效率，支持搜索前過(guò)濾，提高搜索效率；關(guān)鍵

25、詞查找：各種編碼格式的關(guān)鍵詞查找，支持正則表達(dá)式可忽略大小寫，關(guān)鍵字支持GB2312、UTF7、UTF8、Unicode、Unicodebig-endian、Base64、Big5編碼；基本信息：方便取證人員對(duì)操作系統(tǒng)環(huán)境有個(gè)整體上的認(rèn)識(shí)，能夠提取的的信息包括（操作系統(tǒng)信息、時(shí)區(qū)信息、網(wǎng)絡(luò)配置、安裝軟件、服務(wù)列表、共享信息、用戶信息、USB設(shè)備使用記錄、硬件信息等）；注冊(cè)表分析：察看Windows的注冊(cè)表文件，可根據(jù)系統(tǒng)缺省和自定義的注冊(cè)表項(xiàng)目，快速定位瀏覽；Web分析：查看目標(biāo)機(jī)器的瀏覽器歷史、緩存記錄、Cookie信息和收藏夾等，支持被清除歷史緩存記錄的頁(yè)覽和獲取功能，支持IE、Firef

26、ox、Opera、Chrome瀏覽器；郵件分析：查看對(duì)象計(jì)算機(jī)客戶端郵件，包括收件箱、發(fā)件箱、已發(fā)送郵件、草稿箱、廢件箱等，支持的郵件客戶端有foxmail、outlook、outlookexpress，還支持對(duì)web郵箱的分析獲取目前支持的web郵箱有:Tom、126、163、QQ、Yahoo、Sina等；即時(shí)通訊分析：提供快速提取QQ、MSN、Skype、淘寶旺旺、雅虎通、飛信、ICQ聊天記錄、好友列表以及語(yǔ)音記錄，并包括刪除QQ好友號(hào)；回收站分析：解析放入回收站的數(shù)據(jù)信息，及從回收站刪除的數(shù)據(jù)信息；事件日志分析：快速提取分析對(duì)象計(jì)算機(jī)事件日志；打印緩存：搜尋系統(tǒng)中存在的具體SPL和SHD

27、文件，取出相關(guān)信息和EMF文件，還可搜尋未分配簇取出未被覆蓋的EMF文件；下載軟件：針對(duì)FTP下載工具和P2P下載工具進(jìn)行分析，主要是獲取下載的任務(wù)隊(duì)列以及站點(diǎn)用戶的信息。支持FlashFXP，CuteFTP，LeapFTP;電驢，比特彗星，超級(jí)旋風(fēng)，快車，Vagaa等；復(fù)合文件分析：可以查看內(nèi)含有其它文件的多層組成的文件。能夠在層級(jí)查看那些文件；校驗(yàn)文件特征：用以校驗(yàn)出目標(biāo)文件屬性是否更改；報(bào)告生成：根據(jù)用戶添加的書簽和備注信息，生成案件報(bào)告；全中文界面，系統(tǒng)簡(jiǎn)單易用。主要特性詳列：事件日志：日志文件中的記錄可提供以下用途：監(jiān)控系統(tǒng)資源、審計(jì)用戶行為、對(duì)可疑行為進(jìn)行告警、確定入侵行為的范圍、

28、為恢復(fù)系統(tǒng)提供幫助、生成調(diào)查報(bào)告、為打擊計(jì)算機(jī)犯罪提供證據(jù)來(lái)源。提供了快速分析事件日志，提高取證分析的效率;郵件分析：類似客戶端方式進(jìn)行查看郵箱中的內(nèi)容，包括收件箱、發(fā)件箱、已發(fā)送、垃圾郵件、以及聯(lián)系人等；目前支持的客戶端有foxmail、outlook、outlookExproler;TkrtlMklrKf-ttMcTkrtlMklrKf-ttMc-iL-nQFiSttil+eq2Idk.hi.h.n4ij5g+I?匚口IC-naWlCBtai-+匸口亦闔“皿心hl-I1*OntKLxkEsfQ和閘血2曰i-口rAsrt*Bftaffdq-rh-s匸.匸咗晦種C0LjSbBlaEEaiHE匚

29、H5:*LHEir匚口二1仔燉弓AW匸ar匸.口口ILMrrdsgSfaHTdih_riu解1科片晞XiT胳甘苦王直I.i彌LSKflPSLiffli2Fft!：iiQlidirddixd!EtEEidH!tsriJBa口IiiaraxdrL1盯山.曙臥掃時(shí)由區(qū)輕達(dá)*!44*1*-l.iwaKflPSLiffli2Fft!：i區(qū)婭達(dá)ssra因E?IiJdafli+mFbWi口硯StiM于ftFhs團(tuán)瞼屯干菱辟FNJ硯目缶！竭mad耳區(qū)皐応擁4ffl1ili硯妙的存葉I-tEVfucvFfa-tEVfucv3.n-.-IT丄TT-n-JifucvFfacv1ST丄！T2?!Td?.1fjmiAp

30、umfcR*irpvriMJEi:mr9BACBi!aCr04i即“iri.iepjQ*1l4rU34tqi.EfjmiApumfcR*ir氏r9.ui!.皆idBdEt.4Uflcjf,;l-ihfm|yFru3k4.frrtTiC-ahfaaAEadaPKtraitt.flcjf,;4】揮心上1l-ihjhrftVSiti.fIcf“t日IICjF.iF丈工址sBspji.Hwa舊忍繩吐遼是正出試剛掘20*04耳山曰I5:u44BWE.UHifiEEBjlTh：.4T4!氐於WCjFTrsrBRiaiRTf：.窗mm衛(wèi)nqL曰is：eeoe-B#iHEfldismp*.344.時(shí)月哲h.H

31、嗣日聞囪WEjFz見(jiàn)正出范電皈.口盤”:SOiPEflisaI4：J&Warseikm沁anaSForkL曰i:i：dq油B#EU*BECBgiTh：.SOB3KriPFfl2Lal：i：5PCjFTrsrBRiaiRTf：.S：也MM環(huán)#1.曰IT:15HB#HifiEEBjlTh：.MH-釧海iO.H圜日16KiTiiJ.H3Lai:i:ESif：EjFTS匪SSHTiOflaLaI6：U：ESCjF田1片壞|_聞下觀紳&aiBiFLO月竈曰iT：m：i3B#耳戰(zhàn)m加：4SBffi釧海ii沖肪日曲西嵋EjFli.Hffi-UKam許LL月OB曰I3：D：4.ilfltfHrliSiTliF

32、jHBUTSSJSiFi1fli.oaWESXEjF費(fèi)因.dadnMriiHithkaJLnsniEE3p3rrllxj:K“*E=nFEFEelIn?.LJul0國(guó)tJiei：3Bh4盤件上亀干i中事背戀岀凰sup世厘何踵-.pvuKfi-l?.pms-at-i.V3-=fii-l/乩9DnpS,rarry.ThtMX3*a|-iX3THaMMidTaydababYtxLirit35.3.4)主骨耀*富:ill整輿時(shí)mnx重冉人pnqEqnr*piH*fwcpLnafc冉.kgpwwflvfrpMaJB.wicp.MiHM244fi7n2ig1fe己HJ來(lái)IT己ITXtYour*5s-iq*

33、IWI即時(shí)通訊：對(duì)不同的信息存儲(chǔ)格式進(jìn)行解析，提供快速提取QQ、MSN、Skype、淘寶旺旺、雅虎通、飛信、ICQ聊天記錄、好友列表以及語(yǔ)音記錄，并包括刪除QQ好友號(hào)的恢復(fù);下載軟件：針對(duì)FTP下載和P2P下載工具進(jìn)行分析，主要是獲取下載的任務(wù)隊(duì)列以及站點(diǎn)用戶的信息。支持FlashFXP，CuteFTP，LeapFTP；電驢，比特彗星，超級(jí)旋風(fēng)，快車等。54feAnklTX-E-iCJFIE=JnJH如時(shí)TG:珈l*SJ燦-科肋咀，宅.喊口LX)-j奇:下童蕈抄a|工碇j|:th序|尺訐=61大十ifl.引用頁(yè)araiJiEJliftfiL.rdr1.130QC!-IV=M+riEvilSfc

34、i./CkHl-!r-fev-iaix.1.I.KLI1MIIJJII:na4i.cratogrLEi方rmtr.aC,iD?3MM,iLGITiiSal./TiMi.JiZSOJfI.RSuJHrS!IRtwTITa牛nMirdSrtrirLBEUSA13.11EtiB-BI-UELLaP1-KH*.7*(i-(.i.師閒aC：!-k；3kiASwL.jTOIi&E:.i.3.iiSMJfl-da+HtFstvshi證黑亍沁TaC：!ik-=in；3md.iSwL.L監(jiān)L$.LS.jj罰牡lafwL.cdjiTsaQD.Ek-cns-iinLaKhl&iiL.ZlMud丄TripI.N：.I

35、.i.1.0ZWifInkircE34ar1*13215SaC*iD-=M+ri!：EiTii衛(wèi)!1.IrioSSMi.3TU-I.KkIS&1-3.J:KM?I.FlnhUaJh5l*rrdXLa.!5wrai.TaCiDxm-HiEEWit墨hi./FirikLDhitndajl.K.liW1-3.：l：l:na4i.MMrt-ttrKBjrl.DO-faw.5MM：aCitC-ZM-KiEEWilSit.f口.D-fc1KLIMlia.li:ma4i.crius-i0遲zFi；aC.rL-aajjsLBmJMTi3hs-LEi姿mi：丨矽IiU:Id.11SiiSI:司|z|屜*jix|

36、琪行jLS345$79ULLP一-=1-uU=-1-I號(hào)U旬闖gf4AdMnlj：iDriarJcarMD:um*nwilRLtitm-/crnll-wnh*Jnifi.fr/vqlnskarvnln-ck-irl.fl&.kh個(gè)卸弄：Mrprcee-rr/unM-Eter/|-4o-Mo4lJife叭：巒。網(wǎng)年4M耳汗吁11：45：38h汶畳親Rfi例：上;PtfitJR閆：20(年0斗尺Tfl1l：fl5：SJAWSi十:心粒用肅|劉目牛監(jiān)忻1電匚Evul+i*己下盤*i51uk*rl.E.零IVAa打印緩存：搜尋系統(tǒng)中存在的具體SPL和SHD文件，取出相關(guān)信息和EMF文件，還可搜尋未分配

37、簇取出未被覆蓋的EMF文件。+匸:當(dāng)1hr歹GFnl匚$F牡hwiiEClEECKLA匚口目RkTuJ-psc-hei；C&m口LuiV-iIxhs.IrJnLjmlTWOWLCWi.I5匚_l7stLaaHkchLMi.riJDCflS斛訶Ljly匚邁髡立伸匚n-i酔藥廠方p打f阪存曲折塔臬：OQ打卬任參峠伽仙SFL.匚心卓分弧苗涮S.6L二口匚JfTEntfS附:泉傅卜FKCWWSTOiSafeTmaBcr現(xiàn)場(chǎng)計(jì)弭SaMrraH-?田qL鹽啟期九宜山6.外冉&1飯庭存睛ift番購(gòu)成樓用SaFdiragerTtffijlJ盤啟功對(duì)象計(jì)直tl或者在對(duì)累計(jì)埠機(jī)上直憐運(yùn)齊沁imar西齢可冊(cè)朋迪地託

38、用對(duì)聚計(jì)鋼1上的敵據(jù)，保存封外持的戰(zhàn)據(jù)臣潔諛苗中軟杵1年免焉補(bǔ)石M*吃蛛nil侶亡i:-遺用-a；241）工尺比忻flSiyi-Ji陽(yáng)燉.#-i因$基本信息：能夠提取的的信息包括（操作系統(tǒng)信息、時(shí)區(qū)信息、網(wǎng)絡(luò)配置、安裝軟件、服務(wù)列表、共享信息、用戶信息、USB設(shè)備使用記錄、硬件信息等）-門出=t：(ei工JL毋圻umiEiFip廉.冋邛出玄臥二vIto.IIfciill刃遙II圖ILifleI量不JeI不耳rEMftIOB*-i.口靈JE霍IS.廚匚舊卞T!匸:口【-匸id鯽gitjg.口.FWEE.口Ci転整北!件口山雖輕HSi：山尹*個(gè)!：匚用戸加思EO&陣E詣音粳硝囪I口*jYbp.ig

39、!:i:i北狛l*15MJ1序!nuEaffftEsaEfl-I嘖暑f茍lli呂啊s|i*t*TIaI城舌各警I鼻i識(shí)百呂4tllQI咲暑呂尊Ia*i識(shí)羽竊tiGI繪*15尊lni吉込呂*igaI飲呂聲：lqllF&tt：lGI說(shuō)齊*flaI謂赳聲IokTl.Mil-Ziyii.aai-xiTlC血ktLcAwl:-rAuMii-Mrric畑斫srLcA*jl:-rrir柑呵Tl刃iUji:-rTLC燉kTPL：kIEl?Fi.-i-!fiH.IlikIOIrFi:*1石誓11序Ih4U1IlL3kIEJ比ElriaESkMhgaSl;曲干ii冃x日ioiem慕片dULJl-liKrE|aii

40、ejtiUEiiidlA|I.EEt-：W.HMNffLLflE4口W.l*IPxrrm比ElriaGSiLiMiWCHl.n；oreiiFiBia.i*m至“au&CUwiWiKxu再ii冃沁曰mnim畫w.rBSlWr1.1.zwhTii月：t日101(-10*rtwriabBSuihdB.Mi網(wǎng)WiiR;-iBiii.icidemjavUikUHk.iri.difcl-S-HitIliLK1IRLakIEl9PitlLik比1i.LK1*|円擊丘址IPl3ki.OIhikKJk.r.T|:;:&IHIAiti3|CHauy朗Efii月丫日io.if.iqJKhtal；”Ift-l-.Cf

41、lFLCiaiMiric.MvianBiDfiiikLIKBE3BricailU-1411dHMKjAW匚EmwhVn_匸nMWlan3il-uiwnjn-I7il-tt-G-Nl電涉(曲E衛(wèi)石鼻心|盤liM阿;SOOSSplOHJaHI7:12；:*SiaG-SEfUHMIg40-64tOn2D17.12*9如+1S憶曄噩耳m辛jtGE.止Li(H口立奇fiMflFH1丄”f.merciijvi.-jiJIB|理回收站分析：對(duì)回收站INFO,INF02文件直接分析，并解析回收站中曾經(jīng)刪除過(guò)的文件信息。3CQi耕DtoEQ斗KlBflt(C：iBDQiJEwtanaiCOQ1：旺CXCLE.B

42、lfl-口口。H9EDO3Baaltanfig-.rJsl匸:匚JnciicntssriCEHfirKLEEUSDC-schc軒口口。Ftfagjr曲IFlLes白COaBECVCLERc-DS5CCQrr軒口口。5吋31VdLlFiETTITDDQAHlLIi英sfi擴(kuò)風(fēng)審fiismiwsj&iiiaInkInkDellInkInkDc2.Lak誠(chéng)Du前InkInkDcA.LiInkDc5.liliInkInkInk|.2TiLnuEDDBO.甸朋年0.snned.200H.創(chuàng)囲罰.200H0.創(chuàng)肝申1.別抽年a.辺曲車1.EDDBtJ.EQDB.SOOBtl.3W日年1.2DDB0.創(chuàng)D日

43、年0.2DDBa.卻DH年.的叩年a.辺朗車1.而罰.別朋年1.ZOOHO.3W甲).ZOOHO.創(chuàng)麗甲1.EOOB年0.辺曲車1.ft.&isswra全貉鋰20備E：月佃q碣*1EDDBW凸03年te月035TOl91細(xì)閆】：咖商mate年ce月m.25354DK乍4).啪卄l：TjisntffT月.39=).IdUCIdl2：月別L2Oi黛=|BWj】：EDDB年ffl即陽(yáng)年C6月迦M；5(0車r剛間】：EDDSX凹嗨年ie月黑WWt：-A.Hl.T.ni.：-j:20165月W.LM-1qDK沁).i-fr*-idiI：:：3:即陽(yáng)年C6月詞m72T電=】曄m朗嗨K月誦L3L940%BU

44、舸間】：EDDB年旦即03年C6月場(chǎng)旳9035牛r2Dt6月厲TOqo).HI.f|i=l12：!3-J2D月SO.65G5雲(yún)亠）.即08年C6月113L2Dm&a峯=圖庫(kù)預(yù)覽：案件中的圖片文件在圖庫(kù)中以圖片的形式呈現(xiàn)，直觀而富有效率。oislssi-s=眠匕壯、羽nwa也5.=瞇堀0啟=s=:sffl4flts單u3,JtBI-,l3aHH;耳峠!耳啤!耳啤!*啤!屮啤!斗亂曲亂皿亂和皿和皿和丨ft91n匸._luLLLL匚匚LULL匚廠LU匚匚LULU4mdes-iA-UK-*SZL.曲FnaeloQmsswnBcloQoTBassQESN3SSI71Q已41OC曰sss=時(shí)QsaoQmT

45、NOSeoeoDDCllaInllpEifqJ:-i-.lnuKqE乂lr-izx-戈r*H-4F-H-,Fpxz-SaXI,旬乂一Cqq.x-1.-,ln*x-l-lqH-,VExz3*x-l【H/-dcx-lqH”F-cs:yuaxl,3*dpnqqx-I三上昌戔盅衛(wèi)專Hi=fifi-llr監(jiān)ffK!-U*-pg-1-8fTW3rtDfin-PHhib-dvfcl岸fHdwMKaa:&一匸bsJ二爭(zhēng)&耳：吊：匸J*M.-r-;e-書薊-UJDXEJDJTk-x-anLi7HS乂匚雯WVJJ二?。荷显?！帶匸gl-Fvi-c-llffzuIfe劃帳啦割科ti-DU呵舉tt:ys*憐tipriz

46、lz瓦總相口圧一tNKdn*戲U+Btnhldn*son*sdn*Jk_dn*-n-fb*-m_d-D|doqqnln.dqlriln.udlcqqzim.udoqqllln.UCICCIqnlnDfdlsqziLHLNciEIHJB-M-M-dsy5u:gilt孕貞百111F8ftA1aJx1df0tBdf|豐:!理5E1!J-11.1j-13二gI51IiUz回n_4cJ1VjUWs4cJHHIL1IjTl-ThjTa呼詢:A!_fflbM-i-z11I11Khn月iittiit!0B刃*#-w-EEHn-_-KCTKfiw*JDisr*_ORO*J_uisQtK口口勺ID蘭,*Sa*JD

47、i世0tNF!。皿ofofri-s=drZHSH-C_/wft7WWLftffinzuyuHie.吩歸怎摘-5K4弋膩i蚤1AAA-EMIT-Ep-HE-*!:_3-邸aEsJS8RKefJQS0XR/blI矗PHHPHfeiSa*用曲電MMM陽(yáng)如用和MJ誠(chéng)B九JKMJksssgsf-KJhJGArAZJDOE曰bniMr-l-lfEJLZ-I-IH0M診卜ZJws?a-Tr善t-踴卑*爲(wèi)+iarsEU口目卜XXXMXXXXXXXXXXXXXXXX31QSEElEIEiaEQBQSEElDElSEQBEMllig-g-SflBflot3acia(!oaraaj!s?：|-i1iBKtBQEIS

48、SEJSEJIEQEJHE)BhiIBSDQB石團(tuán)莎TOSislsii,n-ssarHftR1uctsuUEf-.-0rw=SUJ-KB.w-b址苗m卍+-HNizvssss8vsv8SSSSQ*s9n-8V-SBSMSSCSDE盂EELERLLg土E芒包也EEEX-n8sHJ-slnDa呂00DS呂2丄1-I-&-C-wtfsVspssBUHss-sFCOOLulB-lpDOr-00&8U.UQEHEEDO器呂呂8wis雷ss8$8J!8_!=!s呂ss58s8=Js383sI8_aI-百gu:stsEGOO$CD3UJEir-DOIrr-ao豈呂卅HsQsusMsRssA*B-Us-ras

49、s8A呼EEE總EEBE益Ek.1-E盟包EE-0E盅斤gOS_w-衣s.VIFgs-8s_w-海Ls祟s?5swHHI3epef1ei1vsT8E8s-V838hsu*s*8?8值&r.普二,自H.-3UDInsJ.msEIlllal星二！alF-n善晶.rilH.-MUDInAHxmuEIlllall-.ml-lBr-nElsJW*=H.rta-ua3H.-3UDInsJ.msEIlllal星二！alF-n善晶.rilB-HH.-3UDInsanQ0SQ0S33T-cAnalx-icxCJH.SEF*Ste5工具BST4mm:鈕審鏈嬖x黑昨弄詞rD亡密WLtfc5ir匚:|溶IP1=11址

50、WWarrtflut11LP所百rubbi址加g珀也址阿富冃町址堪恬*凹手機(jī)導(dǎo)陽(yáng)1*垃再立怦5fep天人屯棕n廉口口口口口口口口口口IITTAVE-DL畑T曉中致站中丈耳IKW*iLtp:/w37ht-tpwv-rai7ETiLtpSI3ThVlp/wvTSIT3-iLL.ln.s=urnE-chvna.:-niicTaEoft-c：ifwi,iiB.,.riliatlnX.i匚1一Chfrcfcx0tills1DAlyvalid班工已0拠-1|(|1t?sBa.sxTj.Mj(_JrrP，0.QaO.Qir./de-ie-otr.i.urule-5曲血“當(dāng)1：4野即te.OtljBat5et

51、i.:ptTmityp*-卩工3.*=哪肌兀疔1.1541|5|510導(dǎo)耳1址為啞1：、!*：出祇怙1田扎,，HKLri5ofTwatEeSriloiocoftVNiiidoMtuiVCixcrtii.tVeEfiiZni.GroijpF&1icyAc-pn(rt+C*+/patterii.typsRissictiyHKLM,.Scd：Tyax，iJViGrssisortinkCijiTe&tVerclCnIi-ifnofTicsEprisntdebu；Jot5i5t:-./incluL:.咗滄口】.eu1xunntBKtPUxar?.:口bjuttpKt-am,typaRanixtry-HK

52、USSDftvu-alm-c-xot:!ViniaTxliCurxBnt7axxiDEi.CxaupFollEyAppLntk/pi.ttxn?.-.+丸進(jìn)Iv-bFlffi|ffic5Edh-x4dni.iJ9xTHRtitiawurrduet-cn-srrrmjiistalji.tintf-ni-riu1爭(zhēng)口Rhis上網(wǎng)日志：分析MicrosoftInternetExplorer瀏覽器4.0以上版本的上網(wǎng)行為。包括歷史、緩存、cookie、收藏夾，并能從磁盤的未分配空間中找出被清除的歷史和緩存記錄。.-jpB:丄阿口古_(tái);/上円日訖rtQJiSjEiffi卜二1腹勞心QUI為ZG=*卯占d

53、LjffDflOitS|丘支.11用稱iiif1JMi1|笛選11Tifit-lfS-1許UHL*fi1iW#映GM詩(shī)映GM詩(shī)匚p巧gIn.m.c-j*如購(gòu)smiBSjS3(M0i2QD.D口孚hri；LE14iam.AidjiintrwtEr&如L|瘋創(chuàng)紳斕an.&J*DIUMam.AidjiintrwtEr&芟in如h*vLK創(chuàng)顧畑am.0母rrn-klslam.AidjiintrwtEr&豈Mr4ktLsllArd&HWI53FWISODA-iMUrbi.-ri_jhwa.rwjOup.r.bcj,aiiers0世1amwj爾n3JWI!EiMHCi|EWam.5UfliTD|_jili

54、fe*：Isw.fLiobu.*0?DJMWJEiEi.DWW.I5MIHCIEWmo.AdfelJlmUr荻itD廠I夕*1KHJSbawZOOKC-lUXJBWl.SXlsm.1hlEiJTiiiERT躋43SQ44ll甲址展|七|城屜|殆駐1、；垃.JERKizaobaoxom愛(ài)棗報(bào)STB大朶焙手)B-11O.主肉由fit!：SwTliixiAhhdarlm.tEvVLargl&ttirspMsrf-M-tryflFS曲巧JkL:2aO44BllS2(Mkaftl:A*ninaatrt-ar*htaP：/NIJRl：:ZMBM15Zfl412SahZflfllEQDB何月汨MFZ5Al*

55、：I鼻羔ItAZiinistrfltir*144C:JDocunw*KndSemo測(cè)肢:Ft扣卜竝典電Tl+:富14們玉岀QG：)D4-UMnamiS4fd冋活尬直冉中般:16272fill：汨棘甘-凹棘3剤卅琳口菇瑜、凹FffisCompactF-ashCard(CFC)MicroDrive(MD)MemoryStickCard(Msc)MemoryStickPro(Mspro)SmartMediaCard(SMC)xDCard(XD)secureDigita-Card(SDC)MU-tiMediaCard(MMC)IDE3.525、sIDE薔聖2.5wfij當(dāng)酣IDE3.51.8、sIDE

56、薔聖1.84WC1J當(dāng)酣IDE3.5ZIF、劈曲IDE琳琳聖ZIFSCSI68000、68尊SCSI琳琳聖80尊琳口SCSI6850、66尊SCSI琳琳聖50尊琳口ISATA、專SATA話ATA式、而設(shè)據(jù)的改和Solo-m高速多功能復(fù)制機(jī)套件本方案在現(xiàn)場(chǎng)復(fù)制機(jī)的選型方面，采用了ImageMASSterSolo-III硬盤復(fù)制機(jī)。ImageMASSterSolo-III取證系統(tǒng)是一套手持輕便、高速的硬盤數(shù)據(jù)獲取設(shè)備，專為司法取證用途計(jì)。利用該設(shè)備的同步數(shù)據(jù)校驗(yàn)功能，可確保疑犯數(shù)精確復(fù)制，不會(huì)造成數(shù)據(jù)傳輸過(guò)程中疑犯硬盤數(shù)據(jù)修數(shù)據(jù)重置。系統(tǒng)特性:中文菜單和操作界面。MD5和CRC32哈希校驗(yàn):在復(fù)制

57、的過(guò)程中可以同時(shí)計(jì)算MD5和CRC32哈希校驗(yàn)值。觸摸屏用戶界面：高級(jí)觸摸屏用戶界面和可編程的鍵盤，方便用戶使用。高速數(shù)據(jù)復(fù)制：數(shù)據(jù)復(fù)制速度超過(guò)3GB/分鐘。內(nèi)置寫保護(hù)：對(duì)嫌疑人硬盤提供內(nèi)置的寫保護(hù)功能。內(nèi)置1394B和USB2.0接口：用來(lái)獲取不能打開(kāi)的嫌疑人筆記本和PC。通過(guò)寫保護(hù)端口連接后可以預(yù)覽嫌疑人硬盤。同時(shí)獲取到兩塊硬盤：可以將數(shù)據(jù)高速獲取道兩塊硬盤。支持IDE、SATA和SCSI硬盤設(shè)備（SCSI設(shè)備通過(guò)附加硬件設(shè)備支持）。多獲取模式：用位到位的方式將嫌疑人硬盤數(shù)據(jù)復(fù)制到，分段的DD文件，這樣可以將多個(gè)鏡像復(fù)制到一塊證據(jù)硬盤。擦除功能：擦除數(shù)據(jù)的速度超過(guò)3GB/分鐘?？截怘PA和

58、DCO區(qū)域。HPA是獨(dú)立于硬盤正常操作系統(tǒng)文件系統(tǒng)之外的保留區(qū)域。該設(shè)備可檢測(cè)并獲取此區(qū)域。DCO允許系統(tǒng)修改硬盤提供的相關(guān)參數(shù)。該設(shè)備可檢測(cè)并獲取此區(qū)域。壞扇區(qū)處理。增強(qiáng)的壞扇區(qū)處理功能，允許操作者跳過(guò)整個(gè)扇區(qū)壞塊。審計(jì)日志：詳細(xì)的操作日志可以打印或者保存到CF卡中。多種介質(zhì)設(shè)備支持：支持IDE、SATA、SCSI硬盤之間的數(shù)據(jù)復(fù)制。也可以閃存和筆記本硬盤獲取數(shù)據(jù)（SCSI設(shè)備通過(guò)附加硬件設(shè)備支持）。升級(jí)：軟件和固件可以通過(guò)CF卡進(jìn)行升級(jí)。硬件規(guī)格:電壓：90-230V/50-60Hz功率：在未接硬盤時(shí)10W溫度：5-55攝氏度相對(duì)濕度：20%-60%凈重：2.2磅尺寸：8.3x5.8x2.

59、2同時(shí)包括如下硬件選項(xiàng)組成高速?gòu)?fù)制機(jī)取證箱，提供對(duì)SCSI硬盤的高速?gòu)?fù)制和獲取能力?？焖賁CSI選項(xiàng)：完成從一塊SCSI硬盤到另外一塊SCSI硬盤的復(fù)制，速度超過(guò)4GB/分鐘。通過(guò)可選的其它適配器完成SCSI硬盤到SATA和IDE硬盤的復(fù)制。SCSI到SATA適配器：允許從SCSI硬盤復(fù)制到另外一塊SATA硬盤。SCSI到IDE(P-ATA)適配器：允許從SCSI硬盤復(fù)制到另外一塊IDE硬盤。筆記本適配器：使得Solo-3可以從各種型號(hào)的筆記本硬盤獲取數(shù)據(jù)。PCMCIA-ATA適配器：提供從ATA兼容的閃存設(shè)備獲取數(shù)據(jù)。盤石1to2光盤復(fù)制機(jī)rdnuitc1:2DVDLhjpHcateir盤石

60、1:2光盤復(fù)制機(jī)專為光盤取證所設(shè)計(jì)，支持一對(duì)二復(fù)制，支持盤片格式有：DVD-ROM、DVD-Video、DVD-R、DVD-Audio、DVD-RAM、DVD-RW、DVD+R、DVD+RW、DVD-R、DVD-RW等規(guī)格。其主要規(guī)格如下：翥顯示方式LED液晶面板顯示寫入模式自動(dòng)偵測(cè)(DAO,TAO)功能模式直接刻錄模式，模擬刻錄模式，擦除光盤,母片糾錯(cuò)測(cè)試，安全刻錄模式,比對(duì)刻錄碟片，系統(tǒng)功能設(shè)定。操作方式脫機(jī)拷貝,多鍵式觸控面板控制產(chǎn)品性能:不需接計(jì)算機(jī)只需插上電源即可使用。操作簡(jiǎn)單,拷貝完成后碟片自動(dòng)彈出。采用IDE接口，刻錄DVD-R/DVD-RW只需5-10分鐘，可同時(shí)復(fù)制4.7GB