信息犯罪与电子取证:硬件取证工具
发布日期:2021-11-08
来源:计算机与网络安全
1. 电子证据只读锁
为了避免在计算机取证过程中,由于对硬盘操作而引发更改硬盘数据的现象,电子证据只读锁已经成为计算机取证的标准配置工具,其获取的证据的有效性已经被法庭采信。只读锁通过屏蔽写信号,确保不会修改犯罪嫌疑人的硬盘,因此具有司法有效性。
电子证据只读锁具体操作步骤如下。
(1)将嫌疑硬盘连接到只读锁相应接口(如SATA、SAS、IDE)。
(2)将只读锁的eSATA或USB接口与计算机主机连接。
(3)连接好只读锁电源线并打开电源开关,开始工作。
目前国际上流行的电子证据只读锁有Tableau系列只读锁、Wiebetech系列只读锁以及美亚柏科DC-8700系列只读锁。然而只有美国Guidance Software与中国美亚柏科拥有SATA、IDE、SAS、USB3.0、USB2.0、存储卡等全系列电子证据只读锁的核心技术。
2. 硬盘复制机
目前对硬盘的数据获取主要有软件方式和硬件方式两种实现方法。软件方式主要利用如EnCase、FTK或其他专用磁盘复制及镜像软件,通过相应接口实现对嫌疑硬盘的数据分析或直接硬盘镜像,能够在一定程度上满足硬盘数据获取的需要。
硬件方式主要利用硬盘复制机,通过对嫌疑硬盘的精确复制,实现对硬盘数据的完整获取。目前普遍使用的是Tableau TD2及TD3、SOLO 4、Forensic Falcon以及取证魔方(DC-8811)、高速硬盘复制机(DC-8202)等设备。目前国内外硬盘复制设备性能基本达到同等水平,SATA III代机械硬盘复制速度一般可达6~7 GB/min,SSD硬盘复制可高达20 GB/min以上。
3. 取证魔方
“取证魔方”是厦门美亚柏科信息股份有限公司研发的一款适合执法部门进行现场勘查分析的综合取证一体化设备。成立于1999年的美亚柏科是国内最早从事取证工具研发的公司之一,也是全球计算机取证产品的两家上市公司之一。2011年,取证魔方获得中国创新设计大奖“红棉奖”。2014年,取证魔方通过美国FCC和欧洲CE认证。
取证魔方采用全球领先的高速硬盘复制、自动取证分析、动态系统仿真等多任务并行处理技术,同时提供了符合司法有效性的写保护功能,使现场进行证据固定、计算机取证分析工作简单快捷,大大提高现场勘查的效率,是国内最受欢迎且用户数最多的一款取证一体化设备,有计算机取证界的“瑞士军刀”之称。
在硬盘复制方面,取证魔方支持多种只读和复制接口(IDE、SATA、SAS、SCSI、USB),支持一对一、二对二等多路并行复制,硬盘复制速度可达27 GB/min。在复制或镜像时可进行关键词搜索,并可将结果导入取证大师进行关联查看。取证魔方支持对目标计算机进行不拆机硬盘复制,支持分别或同时加载/卸载多个只读源盘接口,包括SATA/SAS接口、IDE接口及USB接口,并且支持续点复制、续点镜像功能。
在数据分析方面,取证魔方支持对指定的源盘进行预分析,提取指定分析策略相关的文件到本地磁盘上,提取完毕后,再对提取到本地的相关文件进行解析,同时启动硬盘复制功能,把源盘的所有数据复制到目标盘,还可在复制的同时查看分析数据的结果。此外,取证魔方内置取证大师专业版,支持对磁盘中的数据进行深度分析及数据恢复,还支持通过取证服务云对QQ、飞信、阿里旺旺、Skype等密码密钥的提取。
在系统仿真方面,取证魔方支持Windows 10、Windows 8.1、Windows 8、Windows Server 2012、Windows 7、Windows Vista、Windows XP、Windows 2008、Windows 2003、Windows 2000,多种版本的Linux,以及基于x86架构10.10、10.9和以下版本Mac OS系统的系统仿真;并支持对整个硬盘(MBR格式和GPT格式)、全盘镜像或分区镜像(DD文件、E01文件、Img文件等)的仿真。
取证魔方可快速批量生成现场快速分析工具“取证精灵”U盘,对现场正在运行的大量计算机系统进行数据快速提取及分析(如企业单位、网吧等场合);可制订各种现场取证策略,提取特定数据,加快数据提取速度,特定数据包括上网记录、即时通信信息、电子邮件、加密文件、各类文档等;支持现场快速分析,或现场只导出相关重要文件,缩短现场信息获取时间;支持预先设置关键词信息,现场快速查获所需的机器。
4. “章鱼”多通道高速获取系统
“章鱼”多通道高速获取系统是一款利用多个传输通道对计算机存储介质进行不拆机并行获取的便携设备,支持对不易拆卸硬盘的笔记本、服务器以及苹果笔记本(MacBook/iMac)等不拆机进行高速数据获取。该系统充分利用目标计算机现有的一个或多个接口将硬盘数据镜像分流存储到设备内置的多个硬盘,实现硬盘镜像速度大幅提升。相比单路获取设备,DC-8670单位时间获取的数据量可提升4倍,可以很好地解决现在计算机存储设备容量越来越大、获取时间越来越长的问题。
DC-8670与目标计算机的连接步骤如下。
(1)使用USB 3.0或雷电数据线连接通道1盘位与目标计算机。
(2)使用USB 3.0数据线分别连接通道2、通道3、通道4盘位与目标计算机。使用四路USB 3.0集线器连接DC-8670与目标计算机,如图1所示。
DC-8670与目标计算机的连接
(3)在DC-8670主界面,勾选需要获取的硬盘或分区,该硬盘将被自动添加至任务列表中。
(4)单击“开始”按钮,进行获取操作。在信息打印区域将显示任务获取详情。
