電子數(shù)據(jù)現(xiàn)場取證勘察車技術(shù)方案書

電子數(shù)據(jù)現(xiàn)場取證勘察車

技術(shù)方案書

目錄

第1章電子數(shù)據(jù)現(xiàn)場取證勘察車簡介............................................3

1.1概述.........................................................................3

1.2設(shè)計原則.....................................................................4

1.2.1全面性原則....................................................................................................................4

1.2.2符合性原則....................................................................................................................4

1.2.3先進(jìn)性原則....................................................................................................................4

1.2.4可擴展性原則.................................................................................................................4

1.3需求.........................................................................4

1.3.1取證勘查........................................................................................................................4

1.3.2無線定位系統(tǒng),...............................................................................................................5

1.3.3勘查支撐系統(tǒng)................................................................................................................5

第2章技術(shù)方案.................................................................7

2.1車輛底盤選用.................................................................7

2.2技術(shù)規(guī)格及采用標(biāo)準(zhǔn)..........................................................7

2.3功能簡述及設(shè)備配置..........................................................8

2.3.1功能簡述........................................................................................................................8

2.3.2設(shè)備配置........................................................................................................................9

2.3.3取證分析設(shè)備..............................................................................................................12

2.3.4車載定位設(shè)備..............................................................................................................43

2.4布局設(shè)計說明................................................................45

2.5最終設(shè)計效果圖.............................................................47

2.6配置清單....................................................................48

第3章服務(wù)條款................................................................50

3.1技術(shù)培訓(xùn)....................................................................50

3.1.1取證設(shè)備培訓(xùn)..............................................................................................................50

3.1.2車輛培訓(xùn)......................................................................................................................50

3.2技術(shù)支持....................................................................51

3.2.1保證期內(nèi)服務(wù)計劃......................................................................................................51

3.2.2保證期后服務(wù)計戈V......................................................................................................53

3.3應(yīng)急響應(yīng)和質(zhì)量保證.........................................................53

3.3.1服務(wù)人員......................................................................................................................53

3.3.2響應(yīng)時間保證..............................................................................................................54

3.3.3規(guī)范的內(nèi)部流程.........................................................................................................54

3.3.4統(tǒng)一的服務(wù)文檔.........................................................................................................55

3.3.5投訴熱線......................................................................................................................55

第4章公司介紹錯誤!未定義書簽。

第1章電子數(shù)據(jù)現(xiàn)場取證勘察車簡介

1.1概述

隨著計算機的普及，犯罪分子的作案手段也趨于高科技化。各種各樣的刑事犯

罪的現(xiàn)場取證中計算機的控制和分析起到的作用也越來越大。電子數(shù)據(jù)取證產(chǎn)品和

設(shè)備在我國公安機關(guān)的廣泛配備和應(yīng)用始于2002年。初期基本上使用的是引進(jìn)國

外取證產(chǎn)品，但是由于文化和使用習(xí)慣的差異，也由于國內(nèi)廠商在這幾年有了較大

的發(fā)展，國內(nèi)開發(fā)的電子數(shù)據(jù)取證產(chǎn)品已進(jìn)入實戰(zhàn)。

目前經(jīng)過多年建設(shè)，各地公安部門基本上都配備了一定量的電子數(shù)據(jù)取證設(shè)

備，可以對常見的涉及電子數(shù)據(jù)的案件進(jìn)行必要的取證工作。囿于目前的電子取證

設(shè)備現(xiàn)狀，目前的電子數(shù)據(jù)取證分析過程一般被分為兩個階段，第一階段是在案件

現(xiàn)場的快速取證和證據(jù)固定過程，第二階段是位于鑒定實驗室（或類似功能機構(gòu)）

的勘驗過程，這樣分割的過程，存在以下問題：

目前越來越多的案件涉及到各類電子數(shù)據(jù)的取證工作，網(wǎng)安部門的現(xiàn)場勘查的

工作越來越重要，對現(xiàn)場勘查工作的結(jié)果的要求也越來越高：很多案件需要在案件

現(xiàn)場迅速對部分電子證據(jù)進(jìn)行深入分析，根據(jù)分析的結(jié)果快速確定偵察方向?，F(xiàn)有

的現(xiàn)場取證系統(tǒng)往往不具備這么復(fù)雜的功能，需要帶回進(jìn)行分析。同時在現(xiàn)場的設(shè)

備缺乏足夠的性能和功能來運行取證分析軟件。

我國幅員遼闊，很多省市的行政區(qū)劃很大，相應(yīng)的各級網(wǎng)安部門的人員和設(shè)備

配置不是很匹配。如果要進(jìn)行現(xiàn)場勘查，往往需要網(wǎng)安部門的人員攜帶大量的設(shè)備

前往現(xiàn)場，由于現(xiàn)場取證勘察箱涉及的內(nèi)容比較多，因此一般取證勘察箱的體積都

比較大，重量也比較重，外出辦案的攜帶比較麻煩，影響到案件的及時響應(yīng)能力。

另一方面，現(xiàn)場的情況錯綜復(fù)雜，會出現(xiàn)很多意外的情況，比如設(shè)備不滿足現(xiàn)

場設(shè)備的接口、基礎(chǔ)設(shè)施如電力、網(wǎng)絡(luò)以及工作平臺不滿足要求，某些情況下，現(xiàn)

場取證的效果可能會差強人意。

辦案過程中使用現(xiàn)場取證勘察車就可以有效解決上述問題。首先，現(xiàn)場勘察車

的機動能力保證了可以及時運輸所有相關(guān)取證分析設(shè)備到達(dá)現(xiàn)場，減少了攜帶的麻

煩。其次現(xiàn)場取證勘察車系經(jīng)過改裝的特種車輛，通過配備電池和逆變保證車上設(shè)

備提供足夠的電源供取證分析設(shè)備使用，而且車上提供專用的分析工作臺，調(diào)查人

員可以直接在工作臺上對案件相關(guān)檢材進(jìn)行檢查。同時勘察車配備專門的取證分析

軟件和其他相關(guān)軟件，調(diào)查人員可以對案件檢材現(xiàn)場就進(jìn)行比較深入的分析，為偵

查指明方向。

勘查車的配備可以增強網(wǎng)安部門的快速響應(yīng)能力，提供了增強的計算機犯罪現(xiàn)

場勘查工作能力，對實驗室的機動機動力不足也是個有效的補充，有效的提升了網(wǎng)

安部門和相關(guān)部分的戰(zhàn)斗力。

1.2設(shè)計原則

現(xiàn)場取證勘察車不僅包括相關(guān)取證設(shè)備的采購，還包括對車輛的改裝工程，因

此方案的設(shè)計必須綜合考慮多方因素，我們在設(shè)計本方案的時候貫徹了如下的設(shè)計

原則：

1.2.1全面性原則

計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展使得電子數(shù)據(jù)在我們的生活中扮演越來越重要的角

色，案件偵辦過程中碰到的電子數(shù)據(jù)可能有各種形式。因此區(qū)別于現(xiàn)場取證勘察

箱，現(xiàn)場取證勘察車必須考慮盡可能多的支持各種工作對象，電子證據(jù)的分析也包

括了從單純的文件提取到復(fù)雜的數(shù)據(jù)分析的各種層次、各種方式。我們在設(shè)計現(xiàn)場

取證勘察車方案的時候，力圖涵蓋盡可能多的電子數(shù)據(jù)取證分析能力，通過不同的

設(shè)備和軟件來達(dá)到覆蓋盡可能多的電子數(shù)據(jù)載體。

1.2.2符合性原則

考慮到現(xiàn)場取證勘察車的工作的特殊性，我們在車輛改裝，車輛軟硬件設(shè)備配

備等方面，都嚴(yán)格遵循相關(guān)規(guī)范，參考有關(guān)司法鑒定流程，按照國際電子證據(jù)鑒定

的原則和要求進(jìn)行設(shè)計和建設(shè)。

1.2.3先進(jìn)性原則

計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展日新月異，特別是近幾年互聯(lián)網(wǎng)和無線通信的發(fā)展，

不斷有新的設(shè)備和軟件需要對其進(jìn)行取證分析，我們的方案通過配備最新的軟硬件

來對當(dāng)前的應(yīng)用的取證進(jìn)行支持。

1.2.4可擴展性原則

相對于現(xiàn)場取證勘察箱，現(xiàn)場取證勘察車的投入很大，如果對于可能出現(xiàn)的新

需求不做考慮，不能提供靈活的擴展方式，這樣會導(dǎo)致重復(fù)建設(shè)/采購的問題。因

此在設(shè)計方案的時候我們?yōu)閷砜赡艿囊恍┬枨箢A(yù)先做了考慮，整體的建設(shè)可以無

縫的進(jìn)行擴展。

1.3需求

電子數(shù)據(jù)現(xiàn)場取證勘察車作為網(wǎng)安部門實驗室工作的延伸，集成了網(wǎng)安部門現(xiàn)

場工作的各種能力，比如：電子證據(jù)勘查、電子證據(jù)分析、網(wǎng)絡(luò)和無線定位等。同

時勘察車作為“移動實驗室”又有不同于實驗室的要求。電子數(shù)據(jù)現(xiàn)場取證勘察車

同時集成了車的各種能力，比如供電、通訊、抗震、機動性以及各種支撐系統(tǒng)，提

供現(xiàn)場工作人員一個安全可靠的工作環(huán)境，確?，F(xiàn)場工作的順利開展?？辈燔嚨闹?/p>

要能力如下：

1.3.1取證勘查

取證勘查車首先要滿足的解決現(xiàn)場的取證勘查需求，參考《計算機犯罪現(xiàn)場勘

驗與電子證據(jù)檢查規(guī)則》，主要的現(xiàn)場勘查工作包括：保護(hù)現(xiàn)場、收集證據(jù)、提取

和固定易丟失數(shù)據(jù)、電子證據(jù)在線分析、證據(jù)的固定和保存等。電子證據(jù)包括一般

計算機設(shè)備（PC/筆記本/服務(wù)器）、移動終端（手機/PDA/平板電腦）和外接存儲

設(shè)備內(nèi)的電子數(shù)據(jù)。

一般來說，現(xiàn)場勘查需求包括以下方面：

1.計算機現(xiàn)場取證能力。要求可以快速的對現(xiàn)場的計算機及其介質(zhì)進(jìn)行快速的

證據(jù)固定和獲取。要求能夠同時高速處理多個計算機硬盤，支持多種數(shù)據(jù)

介質(zhì)連接到取證分析平臺。

2.計算機介質(zhì)分析能力。要求提供簡單易用的計算機取證分析軟件對現(xiàn)場的存

儲介質(zhì)進(jìn)行快速分析，獲取必要的信息幫助確定偵查方向。

3.網(wǎng)絡(luò)分析能力?？梢詫ΜF(xiàn)場的網(wǎng)絡(luò)出口數(shù)據(jù)進(jìn)行偵聽，提供包括3G

（WCDMA/CDMA2000）和公安專網(wǎng)接口在內(nèi)的網(wǎng)絡(luò)接口，提供必要的網(wǎng)

絡(luò)分析工具對目標(biāo)網(wǎng)絡(luò)進(jìn)行分析、定位、數(shù)據(jù)提取等工作。

4.移動終端取證分析能力。通訊技術(shù)和無線互聯(lián)網(wǎng)的發(fā)展，使得智能手機、平

板電腦等移動終端越來越多的出現(xiàn)在案件現(xiàn)場，取證勘查車必須能夠提供

手段對移動終端設(shè)備進(jìn)行快速取證。

充分考慮現(xiàn)場電子證據(jù)形態(tài)的復(fù)雜多變的情況，和勘查車載重的需求，勘察車

車載設(shè)備以便攜性設(shè)備為主，包括取證一體化設(shè)備、電子數(shù)據(jù)取證勘查箱等。

1.3.2無線定位系統(tǒng)

使用無線測向技術(shù)對通過WIFI上網(wǎng)的設(shè)備進(jìn)行定位，通過配備高增益測向天

線，配合無線定位和無線破解軟件，快速對2.4G全頻段掃描，解決偵查過程中遇

到的WIFI定位和偵聽的問題。

1.3.3勘查支撐系統(tǒng)

為了更好的完成現(xiàn)場勘查工作，需要配備相應(yīng)的支撐系統(tǒng)，來配合完成各項現(xiàn)

場勘查工作。包括以下模塊：

■提供定制的車載工作平臺，充分考慮現(xiàn)場需求設(shè)計。

■通訊模塊。提供公安集群通信設(shè)備，通過警用對講機提供現(xiàn)場調(diào)度與指揮功

能。

■車載移動系統(tǒng)，包括手機短信報警平臺、警務(wù)通平臺等。

■提供各種現(xiàn)場勘查使用的工具（如螺絲刀、手電、網(wǎng)線等）

■提供計算機犯罪現(xiàn)場勘查保護(hù)現(xiàn)場所需要的各種工具（警戒帶、警示燈

等）。

■其他車載支撐系統(tǒng)，包括供電、減震、供暖、制冷、設(shè)備機架等，提供現(xiàn)場

工作人員安全舒適的工作環(huán)境。

第2章技術(shù)方案

2.1車輛底盤選用

電子物證車底盤是整個移動移動電子物證實驗室轉(zhuǎn)場運輸?shù)膭恿υ?，所選用的

汽車應(yīng)保證汽車運輸作業(yè)的安全性，并具有任務(wù)要求的路況適應(yīng)能力。

根據(jù)使用要求底盤選用別克GL8旗艦版。

2.2技術(shù)規(guī)格及采用標(biāo)準(zhǔn)

1.車輛設(shè)計改裝原則：根據(jù)GB7258《機動車運行安全技術(shù)條件》，整個設(shè)計

過程貫徹安全性能第一的設(shè)計原則，充分考慮到改裝后整車的配重、載重等涉

及安全的性能，改裝后的整車軸載質(zhì)量和最大總質(zhì)量均符合原車客車性能指

標(biāo)，整車外廓尺寸符合GB1589汽車外廓尺寸界限規(guī)定。整車后軸載荷大于前

軸載荷，符合底盤軸載質(zhì)量，車載軸荷勻布，整車左右布局對稱。側(cè)傾穩(wěn)定角

經(jīng)檢測符合GB7258規(guī)定，確保了行駛穩(wěn)定性和橫向穩(wěn)定性。

2.原車改裝并安裝取證設(shè)備及其附屬設(shè)備后，在車頂安裝警燈情況下，車體

最高點離地面的高度應(yīng)小于3.1M,最寬處不大于原車的寬度。物證車的穩(wěn)定

性、平順性等性能不低于原車設(shè)計指標(biāo)。

3.改裝后車輛在一、二級公路上行駛最高時速不低于100KM,三級公路上

行駛時速不低于60KM,四級路面公路行駛不低于30KM,其車載各設(shè)備不得

出現(xiàn)任何松動和損壞。滿載爬坡能力不小于15度。

4.車廂工作艙密封性能、遮光和防雨性能滿足GJB219要求，氣密性符合

GJB79A的規(guī)定。

5.車輛外表太陽輻射、霉菌、鹽霧等符合GJB367.2規(guī)定。

6.整車滿足GB1589汽車外廓尺寸限界。

7.整車滿足GB4785汽車外部照明和信號裝置的數(shù)量、位置和光色。

8.整車布線及電源設(shè)備安裝滿足QC/T29106汽車低壓電線束技術(shù)條件及

JB911一般工業(yè)低用電壓電氣間隙和漏電距離的規(guī)定。

9.改裝后車廂牢固可靠，有足夠的剛度和強度

10.整車行駛平順性符合QC/T474-1999的有關(guān)規(guī)定。

11.汽車制動性能、噪聲、排放性能應(yīng)滿足特種車輛標(biāo)準(zhǔn)。

12.設(shè)備避振實行GJB無諧峰隔振器總規(guī)范。

13.質(zhì)量體系符合GB/T19001-2000idtlS09001：2000標(biāo)準(zhǔn)。

2.3功能簡述及設(shè)備配置

2.3.1功能簡述

取證勘察車具備以下功能：

1、應(yīng)急供電功能

取證勘察車設(shè)計三種供電方式：

1）市電將市電通過卷線盤連接至市電輸入模塊，可提供全車220V用電設(shè)備

的電力供給。供電同時可為UPS蓄電池充電。

2）發(fā)電機供電1000W發(fā)電機，可維持負(fù)荷在900W以內(nèi)的實驗設(shè)備的滿負(fù)荷

工作需要。

3）12V直流供電通過12V電源輸出裝置為低壓用電設(shè)備提供安全的電源供

給。

前兩種供電方式可以自由切換，靈活配置。12V供電設(shè)有單獨開關(guān)，獨立控

制。

2、提供獨立實驗場所

在車輛后部設(shè)有獨立空間作為電子物證的勘查取證實驗室。該實驗室配備：

電子物證工作站、便攜式取證箱、多功能寫保護(hù)接口箱、手機取證箱、手機信號屏

蔽箱、筆記本電腦、打印機等勘查取證設(shè)備，桌椅箱柜配備齊全，并輔以車輛后懸

架穩(wěn)定系統(tǒng)、駐車加熱器、倒車后視儀、衛(wèi)星導(dǎo)航等輔助設(shè)施，可以為實驗人員提

供平穩(wěn)舒適的實驗環(huán)境。

2.3.2設(shè)備配置

電源

該電子物證車以1000W發(fā)電機作為主要供電電源，正弦波逆變電源電壓穩(wěn)定

是車載工作站等精密設(shè)備的理想供電設(shè)備，同時該車配備市電接入端口和50米電

纜及線盤，在逆變器故障時可通過供電轉(zhuǎn)換開關(guān)隨時切換成市電供電模式。

?雅馬哈EFlOOOis

技術(shù)參數(shù)

電機類型變頻發(fā)電機

相數(shù)單相

功率因數(shù)1

額定電壓（V）220

額定電流（A）4.1

頻率（Hz）50

最大輸出（KVA）1.0

額定輸出（KVA）0.9

額定輸出（直流）（W）96W

額定電壓（直流）（V）12V

額定電流（直流）（A）8A

波形畸變率小于2.5%

發(fā)動機

型式4沖程汽油空冷OHV

排量(cm3)50

額定功率（kW/rpm）1.21/5000

附屬配置

交流過載保護(hù)電子斷路器

直流過載保護(hù)無熔絲斷路器（NFB）

機油報警指示燈

輸出指示燈

超載指示燈

節(jié)能怠速裝置

燃油表-

其它

燃料無鉛汽油

尺寸（長x寬x高）（mm）450x240x380

凈重（kg）12.7

起動方式手起動

油箱容積（1）2.5

潤滑油容量。）0.32

噪音水平（dBA/7m）48?57

連續(xù)運轉(zhuǎn)時間14.5-4.3

（無負(fù)載?額定負(fù)載）（Hr）

電池容量-

2.322電子證據(jù)車載工作站

盤石軟件在多年取證實踐的基礎(chǔ)上，結(jié)合來自一線的取

證需求，參考國際上流行的取證硬件，與國內(nèi)專業(yè)服務(wù)器廠

商一起設(shè)計了全系列取證專業(yè)平臺一盤石計算機取證分析平

臺（SFP）。該系列平臺的特點如下：

?一體化硬件設(shè)計

?高性能CPU和主板架構(gòu)，充分考慮分析性能設(shè)計

?內(nèi)置多種設(shè)備只讀接口，涵蓋IDE、SATA、SCSI、

USB、多功能讀卡器

?內(nèi)置大容量硬盤，最多達(dá)12T數(shù)據(jù)的內(nèi)部存儲

?支持熱插拔的多盤倉設(shè)計，可以對最多16個外接硬盤

進(jìn)行分析處理

?高性能顯卡，支持GPU加速

?內(nèi)置雙千兆網(wǎng)卡，可以進(jìn)行高速網(wǎng)絡(luò)固定和分析，并可以根據(jù)需要擴展到萬

兆接口

?支持最多3塊顯示屏的輸出，可以同時進(jìn)行多項取證分析任務(wù)

?靈活的體系架構(gòu)設(shè)計，可以根據(jù)需要進(jìn)行功能擴展和縮減

?根據(jù)需求的不同，提供多種配置以供選擇

2.3.23設(shè)備機架、勘驗設(shè)備柜

設(shè)備機架、勘驗設(shè)備柜采用不銹鋼管作骨架，鋁板蒙皮，表面作噴塑處理；工

作臺臺板采用進(jìn)口高密度板定制；工作臺下部兩側(cè)做標(biāo)準(zhǔn)機架放置工作站、逆變器

等設(shè)備，中間位置放置工業(yè)鍵盤，鍵盤兩側(cè)做鎖扣，車輛行駛過程中可防止鍵盤因

慣性作用而滑出。右邊設(shè)置升降式顯示器。工作臺與設(shè)備機架采用整體避震設(shè)施，

如圖所示：

450

技術(shù)要求1.骨架采用25X25不銹鋼方管。

2.側(cè)面封0.8mm鐵板，表面平整、縫隙均勻。

3.按圖紙尺寸要求下料、焊接。

4.不得有燒穿、虛焊、假焊現(xiàn)象。清除所有

焊渣、焊珠。

安裝無諧峰隔振器，可對設(shè)備起到有效的振動隔離，隔振器同時具有良好的緩

沖性能。在機柜背面沿水平方向安裝隔振器后，能夠?qū)υO(shè)備機柜水平方向的擺動起

到有效的阻尼限位作用。而垂直方向則留有適當(dāng)?shù)奶鴦佑嗔?，避免了機柜在強沖擊

力作用下產(chǎn)生變形，以及由此而引起的設(shè)備損壞。這種隔振措施在我廠以往交付使

用的車載設(shè)備上多次采用，并經(jīng)過公安部西藏邊防局通信指揮車和63所南京市公

安局衛(wèi)星圖像移動通信車進(jìn)行過多次跑車試驗，能夠滿足使用要求。

勘驗設(shè)備柜內(nèi)采用具有減震作用的材料粘貼柜內(nèi)表面，可對放置在柜內(nèi)的待檢

設(shè)備起到保護(hù)作用。

2.3.3取證分析設(shè)備

盤石現(xiàn)場計算機取證系統(tǒng)(Safeimager)

盤石計算機現(xiàn)場取證系統(tǒng)(Safeimager)由可以啟

動的光盤/U盤、外接的數(shù)據(jù)存儲設(shè)備構(gòu)成。使用

Safeimager光盤/U盤啟動對象計算機或者在對象計算機

上直接運行Safeimager應(yīng)用程序，可以快速有效地獲取

對象計算機上的數(shù)據(jù)，保存到外接的數(shù)據(jù)存儲設(shè)備中。

Safeimager獲取的數(shù)據(jù)可以在各類數(shù)據(jù)分析軟件

(例如SafeAnalyzer、MedAnalyzerEncase、FTK、

Smart等）中使用，并可以在獲取數(shù)據(jù)的過程中計算數(shù)據(jù)的摘要，作為數(shù)據(jù)完整性

和有效性的證明。

Safeimager由兩個功能模塊組成：離線取證（Offline）和在線取證

（Online）。

2.3,3.1.1離線取證

使用Safeimager光盤/U盤啟動對象計

算機，獲取對象計算機數(shù)據(jù)。在不改變對象

計算機數(shù)據(jù)的前提下，Safeimager提供簡

潔易用的的操作界面，確保硬盤復(fù)制位對位

的準(zhǔn)確率，保證對象計算機的硬盤數(shù)據(jù)沒有

任何的改變，提供現(xiàn)場快速獲取和介質(zhì)分析

的功能。Safeimager支持

Unix/Linux/*BSD/Windows等多種操作系

統(tǒng)，具有輕便、適合現(xiàn)場應(yīng)用的特性。

離線取證的主要功能如下:

■實現(xiàn)對象計算機的硬盤數(shù)據(jù)鏡像，生成復(fù)制盤，同時生成數(shù)字摘要。復(fù)制盤和原

始盤具有完全一致的數(shù)據(jù)。對復(fù)制盤的數(shù)據(jù)分析，具有和對原始盤數(shù)據(jù)分析同

樣的效果。通過啟動復(fù)制盤，模擬對象計算機本地環(huán)境。

■實現(xiàn)對象計算機的硬盤和分區(qū)數(shù)據(jù)鏡像，生成DD格式、AFF格式的鏡像文件，

同時生成數(shù)字摘要。。DD格式的鏡像文件具有和硬盤一樣的結(jié)構(gòu)，是對硬盤

數(shù)據(jù)的按位復(fù)制，保證數(shù)據(jù)一致性，是目前法律上認(rèn)可的數(shù)據(jù)鏡像格式。AFF

是高級取證格式，用來保存磁盤鏡像信息和相關(guān)取證信息的可擴展的開放格

式。使用DD格式、AFF格式的鏡像文件，可以在各種取證系統(tǒng)中

（SafeAnalyzer、Encase、FTK等）直接力口載和分析。

■實現(xiàn)對象計算機中的硬盤和分區(qū)進(jìn)行數(shù)字摘要計算，文件的數(shù)字摘要類似于人的

指紋，只有內(nèi)容完全相同的文件具有相同的數(shù)字摘要，便于驗證。

■實現(xiàn)對象計算機中的特定目錄或者文件進(jìn)行復(fù)制?？梢赃x擇需要復(fù)制的。

Safelmager在復(fù)制的同時可以生成每一個文件的數(shù)字摘要。

■對取證硬盤進(jìn)行擦除操作。

■2011年8月19日，Safeimager2.2版本

這次更新主要集中于開機取證的部分：

1.離線光盤linux內(nèi)核升級到2.6.37

2.優(yōu)化了離線桌面環(huán)境、輸入法

3.離線光盤支持Ivm(LinuxLogicalVolumeManager)分區(qū)的識別

4.離線光盤支持硬件Raid分區(qū)的識別

5.離線增加對EXT4文件系統(tǒng)的支持

6.在線添加了密取功能

2010年12月6日,Safeimager2.1.0版本

這次更新主要集中于開機取證的部分：

1.報告中添加取證工具備注；

2.報告中增加北京時間信息；

3.對Vista/Windows7/2008平臺的支持；

4.代碼中部分實現(xiàn)第三方小工具的功能；

5.提高文件列表和文件復(fù)制的效率；

6.增強對64位系統(tǒng)支持，系統(tǒng)信息獲取、硬盤/分區(qū)DD

2010年3月8日，Safeimager2.0.31版本

1.離線啟動內(nèi)核升級到2.6.31：

2.統(tǒng)一了報告，新的報告格式有利于顯示和打印；

3.增加獲取郵件應(yīng)用文件功能；

4.增加獲取即時聊天應(yīng)用文件功能；

5.增加獲取文件功能；

6.增加獲取文件列表功能；

7.在線取證分析程序放進(jìn)虛擬光盤，防止被病毒感染

8.根據(jù)案件類型進(jìn)行快速取證，并可自定義案件類型

.2在線取證

在目標(biāo)系統(tǒng)運行的情況下，對目標(biāo)系統(tǒng)內(nèi)部的易失

數(shù)據(jù)如內(nèi)存信息，臨時文件等進(jìn)行取證。同時由于現(xiàn)場

的復(fù)雜性，有可能無法對目標(biāo)系統(tǒng)進(jìn)行離線取證，可以通過在線取證系統(tǒng)進(jìn)行取證。由于在線取證

軟件需要運行在目標(biāo)系統(tǒng)的操作環(huán)境，所以可能會對證據(jù)有效性有所影響，須要配合拍照、攝像等

手段保持證據(jù)力。在線取證目前支持Windows2000/XP/2003平臺。

在線取證的主要功能如下：

■導(dǎo)出系統(tǒng)信息：

導(dǎo)出運行系統(tǒng)內(nèi)存中的47類易失信息，分為3個大類：基本系統(tǒng)信息、密碼

信息、用戶活動記錄、瀏覽器相關(guān)、動態(tài)信息，及導(dǎo)出即時通訊和郵件文件。

■內(nèi)存信息復(fù)制：

對對象計算機物理內(nèi)存進(jìn)行數(shù)據(jù)鏡像，生成DD格式或者AFF格式的數(shù)據(jù)鏡

像文件

■在線硬盤復(fù)制

不關(guān)機情況下對對象計算機的硬盤進(jìn)行數(shù)據(jù)鏡像，可以硬盤克隆、生成DD鏡

像文件和AFF鏡像文件。在復(fù)制的同時可以生成數(shù)字摘要。

■在線分區(qū)復(fù)制

不關(guān)機情況下對對象計算機的分區(qū)進(jìn)行數(shù)據(jù)鏡像，可以生成DD鏡像文件和

AFF鏡像文件。支持各種虛擬分區(qū)軟件（如PrivateDisk）創(chuàng)建的虛擬分區(qū)的獲

取。在復(fù)制的同時可以生成數(shù)字摘要。

■在線文件獲取

不管及情況下對對象計算機的文件進(jìn)行獲取，提供兩種功能：獲取文件列表和

提取文件。取證人員可以根據(jù)案件現(xiàn)場具體情況進(jìn)行獲取?？梢愿鶕?jù)不同的文件類

型，及特定條件進(jìn)行獲取。

■可信命令行

在對象計算機的Windows操作

系統(tǒng)里，由于取證環(huán)境的多樣性，

不能完全信任對象計算機上的操作

系統(tǒng)環(huán)境，盤石計算機現(xiàn)場取證系

統(tǒng)的光盤/U盤上自帶各個Windows

操作系統(tǒng)平臺的CMD.exe,提供檢

查人員一個“干凈”的命令行環(huán)

境，

■屏幕截圖

在現(xiàn)場進(jìn)行取證的時候，對象計算機上的一些畫面可能需要立即保存下來，或

者在對象計算機的一些操作需要記錄現(xiàn)場的狀況，盤石計算機現(xiàn)場取證系統(tǒng)提供截

屏的功能，可以保存圖像。

■隱蔽獲取

在對很多計算機系統(tǒng)進(jìn)行安全檢查時，在每一臺機器上進(jìn)行完全一樣的操作變

成非常煩瑣。錯誤!未指定書簽。提供獨有的“密取功能”為這樣的操作提供“一

次配置，到處運行”的功能。

2.3.3.1.3產(chǎn)品特性

■不拆機箱的數(shù)據(jù)獲取

/光盤啟動/程序直接運行

/在不拆機箱的情況下對證據(jù)計算機的證據(jù)硬盤進(jìn)行數(shù)據(jù)獲取，可以獲取包括整個硬

盤、分區(qū)、目錄和文件等各個級別的數(shù)據(jù)。

,在線獲取支持獲取系統(tǒng)運行信息、內(nèi)存和常見應(yīng)用程序密碼。

/支持基于IA32架構(gòu)的筆記本、PC和服務(wù)器

,支持IDE、SATA、SCSI、RAID等各種硬盤和數(shù)據(jù)架構(gòu)

/支持Dos/Windows文件系統(tǒng)，包括：FAT、FAT32、NTFS

/支持常見的其它文件系統(tǒng)，包括：EXT2/3/4,UFS、XFS、HFS、JFS、MINIX、

HPFS等

/使用USB2.0/1394A/1394B接口，數(shù)據(jù)獲取速率最高可以達(dá)到2.5GB/分鐘

/獲取的數(shù)據(jù)可以使用SafeAnalyzer、Linux、WinHEX、Encase、FinalData^FTK

等各種取證工具進(jìn)行分析

■規(guī)范化操作

,現(xiàn)在的所有操作進(jìn)行日志記錄

/對證據(jù)數(shù)據(jù)進(jìn)行完整性保護(hù)，不破壞現(xiàn)場數(shù)據(jù)

/在數(shù)據(jù)復(fù)制的同時生成MD5或SHA256哈希，便于事后校驗

■簡單易用

/所有操作采用圖形化的向?qū)Ы缑?/p>

/操作過程動態(tài)顯示，獲取過程一目了然

,提供快速操作，簡化現(xiàn)場工作

.4SafeimagerPro增強型

考慮到關(guān)機時采用復(fù)制機會有效地提高現(xiàn)場數(shù)據(jù)獲取的速度，我們提供了增強型的計算機現(xiàn)場

取證系統(tǒng)，內(nèi)置便攜式高速硬盤復(fù)制機。復(fù)制機支持IDE、SATA,2.5寸硬盤的直接復(fù)制，且可以

將ID日SATA硬盤接口做為只讀接口使用。復(fù)制速度最高達(dá)到4.5G/分鐘。

2.33.2盤石蘋果計算機現(xiàn)場取證系統(tǒng)(Safeimager

Mac)

在蘋果公司(AppleInc.)發(fā)布基于IntelCPU的蘋果計

算機之前，蘋果計算機的價格一直是處于高端地位，其使用

范圍局限于桌面設(shè)計人員和一些極客(Geek),并未走入普

通的消費群體，這也是一個相對封閉的群體。但是在這之

后，由于蘋果計算機也能利用BootCamp安裝Windows系

統(tǒng)進(jìn)行雙啟動，并且隨著價格的下降，蘋果計算機超酷的外

形不斷吸引用戶的注意，其使用人數(shù)在不斷上升，逐漸成為

全美第三大出貨量的公司。在實際的案件過程中也出現(xiàn)類似

的情況，尤其是一些涉外的案件，碰到蘋果計算機的機會在

逐漸增大。

目前，國內(nèi)對基于Windows的PC取證技術(shù)已經(jīng)逐漸成熟，但是對蘋果機的

取證還是一片空白。但是，隨著蘋果計算機應(yīng)用的普及，針對蘋果機和蘋果操作系

統(tǒng)的取證需求會越來越多。SafeimagerMac是盤石軟件在基于Windows平臺計算

機現(xiàn)場取證系統(tǒng)相關(guān)技術(shù)研究基礎(chǔ)上，研究蘋果計算機相關(guān)技術(shù)，推出的針對蘋果

計算機進(jìn)行現(xiàn)場快速取證的工具。

.1主要功能

■通過外部啟動光盤，啟動蘋果計算機（針對PowerPC和Intel兩種硬件體系架

構(gòu)），對蘋果機進(jìn)行取證并進(jìn)行相關(guān)數(shù)據(jù)的獲取，

■獲取蘋果機整個硬盤，生成原始格式（DD）的硬盤鏡像，并生成Hash；

■獲取蘋果機硬盤分區(qū)，生成原始格式（DD）的分區(qū)鏡像，并生成Hash；

■加載HFS/HFS+文件系統(tǒng)，對相關(guān)目錄和文件進(jìn)行取證；

■自動獲取MacOSX操作系統(tǒng)日志；

■自動獲取MacOSX共享列表；

■自動獲取MacOSX的Safari瀏覽器及常用的瀏覽器軟件Firefox、Chrome,獲

取信息包括書簽、上網(wǎng)日志、Cookie信息、緩存記錄等；

■自動獲取和分析MacOSX聯(lián)系人信息；

■自動獲取和分析MacOSX常用聊天軟件Adium、iChat、Skype聯(lián)系人和聊天數(shù)

據(jù)記錄；

■自動獲取和分析MacOSX常用郵件軟件MacMail、ThunderBird、Entourge賬

戶信息、聯(lián)系人信息、郵件和RSS信息；

■自動生成MacOSX用戶目錄結(jié)構(gòu)和文件列表，包括文件創(chuàng)建時間、訪問時間和

最后修改時間信息；

■自動生成MacOSX系統(tǒng)安裝的應(yīng)用程序列表報告;

%SafelmagerMac版

產(chǎn)品特色

■自帶光盤啟動蘋果計算機系統(tǒng)

■只讀加載證據(jù)介質(zhì)，確保證據(jù)有效性

■支持HFS/HFS+、NTFS、FAT等多種文件系統(tǒng)獲取

■支持APM、GPT分區(qū)格式

■同時支持PowerPC架構(gòu)和IntelX86架構(gòu)蘋果計算機

■人性化的圖形操作界面

■充分考慮取證工作需求設(shè)計

盤石介質(zhì)取證分析系統(tǒng)(SafeAnalyzer)

SafeAnalyzer為執(zhí)法部門提供全面、徹底的計算機數(shù)據(jù)分析?、檢查

能力。具有強大的數(shù)據(jù)恢復(fù)、過濾、分析、查找和報告功能，并提供簡

單易用的操作界面，是當(dāng)前電子數(shù)據(jù)取證分析的首選工具。符合司法取

證的需求。該產(chǎn)品是ENCASE/FTK/Winhex等分析軟件的全中文替代

品。更加符合中國用戶的使用習(xí)慣。在部分功能效率上超越了國外產(chǎn)

品。

■獲取鏡像生成MD5哈希校驗值，并可隨時校驗；

■導(dǎo)出文件可以同時計算文件的MD5哈希；

■分析過程有詳細(xì)的審計日志，便于案件的審查復(fù)核工作

關(guān)鍵特性包括:

■支持計算機存儲介質(zhì)直接分析，及支持DD、AFF、Encase、Is。格式鏡像

文件的分析，及支持單獨目錄和文件加載，對其進(jìn)行只讀訪問，不破壞原始數(shù)

據(jù)；

■支持本地磁盤、光驅(qū)、軟驅(qū)、外接設(shè)備；

■支持MBR、GPT(Vista)分區(qū)方式，可以定義磁盤的結(jié)束扇區(qū)

■支持NTFS、Fat、exFAT、Ext2/Ext3/Ext4、HFS/HFS+文件系統(tǒng)；

■支持離線方式打開案件

■自動進(jìn)行系統(tǒng)分析，包括系統(tǒng)安裝時間，操作系統(tǒng)版本，用戶信息，網(wǎng)絡(luò)配

置信息，安裝的程序，最后運行時間等，并可以選擇性地納入案件報告；

■靈活的時區(qū)支持及管理，允許勘查人員為每一個證據(jù)文件、每一個卷或每一

個案件指定時區(qū)設(shè)置，解決了所分析的介質(zhì)使用的時區(qū)設(shè)置與調(diào)查人員所用時

區(qū)設(shè)置不同的情況

■支持圖庫預(yù)覽功能；

■提供文本、十六進(jìn)制、縮略圖、預(yù)覽等文件查看方式；

■自動編碼識別：支持文檔文件的編碼自動識別

■文本查看：包含文本查找、自動換行等功能

■十六進(jìn)制解析：直接查看文件十六進(jìn)制數(shù)據(jù)，并且實時將十六進(jìn)制數(shù)據(jù)轉(zhuǎn)換

為數(shù)值、文本或者時間值等

■文件過濾：系統(tǒng)缺省和自定義的過濾功能，并支持多重過濾；

■時間線分析：通過設(shè)置時間區(qū)域，建立該區(qū)段修改、訪問、創(chuàng)建的文件時間線，

方便定位案件相關(guān)文件；

■刪除恢復(fù)：文件系統(tǒng)中刪除恢復(fù)、特征恢復(fù)；可恢復(fù)高級格式化磁盤內(nèi)的文件，

可判斷出交叉覆蓋文件;

■具有高性能的關(guān)鍵字搜索功能、支持多關(guān)鍵字同時搜索而不明顯降低效率，支持

搜索前過濾，提高搜索效率；

■關(guān)鍵詞查找：各種編碼格式的關(guān)鍵詞查找，支持正則表達(dá)式可忽略大小寫，關(guān)鍵

字支持GB2312、UTF7、UTF8、Unicode、Unicodebig-endian>Base64、Big5

編碼，支持多國語言搜索關(guān)鍵詞的配置；

■基本信息、：方便取證人員對操作系統(tǒng)環(huán)境有個整體上的認(rèn)識，能夠提取的的信息

包括（操作系統(tǒng)信息、時區(qū)信息、網(wǎng)絡(luò)配置、安裝軟件、服務(wù)列表、共享信

息、用戶信息、USB設(shè)備使用記錄、硬件信息、Windows搜索歷史、最近運

行的程序、最近打開的文檔、自動運行等）；

■注冊表分析：察看Windows的注冊表文件，可根據(jù)系統(tǒng)缺省和自定義的注冊表項目，快速定位

瀏覽；

■Web分析：查看目標(biāo)機器的瀏覽器歷史、緩存記錄、Cookie信息和收藏夾等，支持被清除歷史、

緩存記錄的預(yù)覽和獲取功能，支持IE、Firefox、Opera、Chrome、360SE瀏覽器；

■郵件分析：查看對象計算機客戶端郵件，包括收件箱、發(fā)件箱、已發(fā)送郵件、草稿箱、廢件箱

等，支持的郵件客戶端有foxmail,outlook,Thunderbird、outlookexpress,還支持對web

郵箱的分析獲取，目前支持的web郵箱有：Tom、126、163、QQ、Yahoo、Sina等；

■即時通訊分析：提供快速提取QQ、MSN、Skype、淘寶旺旺、雅虎通、飛信、UC、ICQ、

AIM、Pidgin、Mirand聊天記錄、好友列表以及語音記錄，YY好友列表及單聊記錄，ooVoo

好友列表及聊天記錄，并包括刪除QQ好友號、QQ聊天記錄及QQ2009的好友及群成員列

表，在有密碼、能上網(wǎng)的情況下可以查看QQ2009~QQ2011的聊天記錄；

■回收站分析：解析放入回收站的數(shù)據(jù)信息，及從回收站刪除的數(shù)據(jù)信息；

■事件日志分析：快速提取分析對象計算機事件日志；

■打印緩存：搜尋系統(tǒng)中存在的具體SPL和SHD文件，取出相關(guān)信息和EMF文件，還可搜尋未

分配簇取出未被覆蓋的EMF文件;

■下載軟件：針對FTP下載工具和P2P下載工具進(jìn)行分析，主要是獲取下載的任務(wù)隊列以及站點

用戶的信息。支持FlashFXP,CuteFTP,LeapFTP；電驢，比特彗星，超級旋風(fēng)，快車，

Vagaa等；

■復(fù)合文件分析：可以查看內(nèi)含有其它文件的多層組成的文件。能夠在層級查看那些文件；

■自動展開ZIP文件內(nèi)的目錄，直接搜索ZIP文件及office2007的文件

■快速分析：批量執(zhí)行多種任務(wù)，實現(xiàn)一鍵式調(diào)查，大大簡化取證工作。

■生成鏡像：可以將對象介質(zhì)制作成DD鏡像，并計算哈希值；

■校驗文件特征：用以校驗出目標(biāo)文件屬性是否更改；

■報告生成：根據(jù)用戶添加的書簽和備注信息，生成案件報告；

■操作日志：對案件的操作都記錄日志；

■司法符合性：獲取鏡像生成SHA256,MD5哈希校驗值，并可隨時校驗，導(dǎo)出文件可以同時計

算文件的SHA256、MD5哈希，分析過程有詳細(xì)的審計日志，便于案件的審查復(fù)核工作

■多國語言版本支持

■全中文界面，系統(tǒng)簡單易用。

主要特性詳列：

時間線：是反映計算機內(nèi)部信息在某一段時間內(nèi)的變化及統(tǒng)計，快捷地過濾當(dāng)前想看的信息活動，

包括：文件、郵件、注冊表、即時通訊、上網(wǎng)日志、事件日志、下載軟件。在時間線視圖里每種信

息以不同顏色標(biāo)記。

2003/1/1-I4：I4：52：2010/12/1-11:05:50?制

W林

g般2008-05-1320:30:45D?liv*rySUHu—.D?liv?rySub?y<t?m?rn?“?r-d??n>on?googl?E?iLuorn?-?dly1vip@gE"日.coe

2008-05-1321:30:36?52442328249qq-<om?--'dlylvip*?dlytvip^gmailxom?

2008-05-1322:36:060erviceCP*--5525*6'*dlylvipO>

lga2008-03-1322136:10忖平白-?service?108reg.cr>?---358^8"?dlylvip4>9>

g2008-05-1322i3S:09平臺一?service?I68?-*,SSFJJIH'<>

g2008-05-132Z43i21-Bff92EF牛臺.<servicedI68?-**JSZflH*<dlylvip??

g2008-05-1323:01:30*3M|SSSt*E'<dly<vip4Kgm??->>siyuh*<siyuh^l63.cofn?

g2008-05-1323:5?3，iyuhei63.coE-交友電?*dlylvip<P>

g2008-05-1400:18:47V?hootDeliver*<d?liver?-m?*t?rOm?<l.yahoo.co.jp>>>dlylv<pOgm?>

2008-05-1400:31:38*dlylvip<?->*3miaoxhor?g*<3miMozhongO>

lfli2008-05-140046:49?dlylvip<P>->*52442328249qq.eo<n-

咯

g200895-1409:39:199uowetO■?nxdOpansafoxom;guowei@p?c??fe.vom________InformatM

gZOOS-05-1409:39:19<guowei4PpA--?vnKd?p*cs??.?guowei?p?csaf?.com?fa

g2008-05-1409:39:19quowe?C>pan%-?nxd<t>;Quowei4P________lnformati?

列《t949w*:25451注冊班;0BDVTiS網(wǎng)14559上網(wǎng)日電;6029?M?B?：$33下3;49法中Q8N?：3O3

伏本：

優(yōu)先出：3SK

amid:tangwet

產(chǎn)制：4-產(chǎn)??澳

X.91A:nxd

TestSet:

MlH^a13七UJ3?

NW：帆、MBox\?4BV?ANSAFEa,?An.ly*…Detect*43]aMWJbOA書

事件日志：日志文件中的記錄可提供以下用途：監(jiān)控系統(tǒng)資源、審計用戶行為、對可疑行為進(jìn)行告

警、確定入侵行為的范圍、為恢復(fù)系統(tǒng)提供幫助、生成調(diào)查報告、為打擊計算機犯罪提供證據(jù)來

源。錯誤!未指定書簽。提供了快速分析事件日志，提高取證分析的效率

virssfl?3"$《小F

??s上網(wǎng)8卷：—9n日:e分析BDB1通以Tttscn

至

^工

M