您好!欢迎访问陈山律师服务网
 首页   预约留言  有偿咨询   网站导航   业务联系电话:0459-8982183  

此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

取证工具是指什么2


写保护接口硬件

在获取嫌疑人电子数据时,必须确保原始数据的**。写保护接口硬件用于在现场或实验室利用标准笔记本电脑或普通台式机电脑通过火线或[更多法律文章欢迎继续关注黑龙江陈山律师事务所网站:www.chenshan.lawer及www.13304590183.com以及www.陈山.com,请关注官微(手机)13304590183]

者USB接口获取硬盘镜像和分析文件使用的所有写保护接口,确保证据数据以只读的方式读取到证据分析设备中。WeibeTech公司系列产品和Tebleau公司的UltraKt一直占有较高的市场份额。

数据擦除设备

数据擦除设备是一类针对所有规格的硬盘、USB存储设备、存储卡等电子存储介质的**擦除工具。通常情况下,对已完成电子物证鉴定工作且不需要保留的各种存储介质和涉密数据进行数据清洁,对介质数据擦除,从而确保存储介质可重新使用。目前,多数的硬盘复制机都提供数据擦除功能,但市场上Hammer硬盘擦除机、DriveWper硬盘擦除机专用设备可以同时*作多块硬盘。

手机取证系统

手机取证成为近年来*热门的取证话题之一,*主要的原因是难以计数的手机[更多法律文章欢迎继续关注黑龙江陈山律师事务所网站:www.chenshan.lawer及www.13304590183.com以及www.陈山.com,请关注官微(手机)13304590183]

生产商不断为用户提供外观、性能、硬件技术、*作系统、物理格式大不相同的手机。*初,****个便携式手机取证箱Logicube公司的CELLDEK,仅能识别二三百款手机型号,且只能从中提取机身和SIM卡内存储的重要数据,如电话簿、文本短信息、通话记录。伴随着**手机的广泛应用,手机取证市场**繁荣,Logicube推出了CelXtract,以色列Cellebrite公司也不断更新UFED的版本。现在,俄罗斯手机取证分析工具OxygenForensicSuite、美国Paraben公司的[更多法律文章欢迎继续关注黑龙江陈山律师事务所网站:www.chenshan.lawer及www.13304590183.com以及www.陈山.com,请关注官微(手机)13304590183]

devicezeizure,以及**上海盘石公司的SafeMobile和厦门美亚柏科DC-4500、DC-4600也不断得到用户的认可。手机取证产品的性能差别主要体现在支持的手机数量、*作系统类型以及连接方式、获取信息类型数量等方面。

检查取证工具编辑

与硬件类取证工具相比,数字取证等工具软件的使用贯穿于整个案件调查过程。取证工具软件分为两大类:单一功能的取证工具和**司法分析工具。前者主要包括数据恢复类工具、密码破译工具、日志分析工具、通信记录分析工具、电子邮件分析工具等;**法证工具多为上述功能的整合,可用于发现、分析和展示犯罪的电子证据。

数据恢复工具

在获取电子数据时,使用硬盘复制机可以获取物理级的数据信息,即获取全部存储在硬盘、软盘、闪存等存储设备中的数据信息。这些电子数据除了用户自建的各种文档、用户保护文档(加密文件、口令保护文件、压缩文件或隐藏文档)、计算机创建的文档(系统文件、配置文件、备份文件、临时文件、历史文件等),还有其他数据区中可能存在的数据证据(未分配的磁盘空间、Slack空间、被删除文件等)。与案件有关的直接线索或间接线索三、证据检查阶段的取证工具及应用都有可能以数据的形式存储在这些空间的任意位置上。数据恢复工具可将已删除文件恢复,对不同程度上的数据破坏进行恢复,以及将不可见区[更多法律文章欢迎继续关注黑龙江陈山律师事务所网站:www.chenshan.lawer及www.13304590183.com以及www.陈山.com,请关注官微(手机)13304590183]

域的数据进行呈现。WinHex、Data Extractor、PC-3000、Easyrecover、Finaldata、R-stdio以及国内效率源科技推出的Data Compass软件都是数据恢复的利器。近年来,内存数据恢复是取证技术研究的热点,因此内存数据还原、对格式化介质数据的恢复、多媒体文件数据恢复支持、数据恢复速度的快慢等是上述软件比较的主要功能和性能指标。

密码译破工具

在收集涉案电子数据时,常碰到文件加密的情况,需要强有力的密码破解软件。ElcomSoft公司是俄罗斯**的密码破解公司,产品以技术先进、使用灵活、功能强大得到业界广泛认可。Elcom Soft支持破解WinZip、WinRar、AcrobatPDF、Microsoft Office(1995~2007)、Outlook、EFS、ICQ、Yahoo、MSN、Google Talk、WindowsNT/2000/XP和其他常用加密文件或系统的密码破解,新版本还支持WIFI以及iPhone、iPad、黑莓手机加密备份文件的破解。Elcomsoft除了具[更多法律文章欢迎继续关注黑龙江陈山律师事务所网站:www.chenshan.lawer及www.13304590183.com以及www.陈山.com,请关注官微(手机)13304590183]

有常见的暴力破解和字典破解方式以外,还可以由用户自定义破解的参数,包括破解的密码长度、数字词组合、已知字符等,缩短破解的时间。俄罗斯另外一家****的密码破解公司的Passware软件也有其**的优点,不仅能够**扫描计算机中的加密文件、快速重置本地和Windows管理员密码、快速破解MSWord和Excel文件、恢复由BitLocker产生的硬盘加密密钥、对虚拟磁盘解密,而且在业内率先使用CPU+GPU混合并行运算提高破解速度。美国AccessData公司密码破译工具PRTK(Password Recovery ToolKt)也是密码破译不错的选择。

专用计算机法证工具

专用计算机法证工具指为执法部门提供**、彻底的计算机数据获取、分析和发现能力的软件,分析结论受法院认可。

Guidance EnCase是*早开发的法证工具,也是目前使用*为广泛的计算机法证工具,具证据获取、处理、深度取证分析、案例归档的功能,并一向以其**的挖掘潜在证据的能力而闻名。**推出的EnCase7获取能力更强大,增加了对平板电脑和多种*作系统**手机的支持;可对新的证据文件格式(Ex01和LEFx)直接加密,确保证据**;证据处[更多法律文章欢迎继续关注黑龙江陈山律师事务所网站:www.chenshan.lawer及www.13304590183.com以及www.陈山.com,请关注官微(手机)13304590183]

理器自动化程度更高,文件夹恢复、文件签名解析、关键字搜索、索引等常用任务自动化运。EnScript处理器新集成了系统信息解析模块、即时通讯解析模块、文件恢复模块、个人信息提取模块(CC,Phone Numbers,Email,SSN)、Windows事件日志分析模块、Windows*作记录解析模块、Unix登录信息解析模块、Linux系统日志解析模块,还新增了自定义EnScript功能。在深度取证分析方面,新增加EXT4、HSFX、MicrosoftOffice2010、Checkpoint/Pointsec加密文件、iOS物理镜像(iPad,iPhone,iPod)文件系统和文件类型的分析,新的电子邮件[更多法律文章欢迎继续关注黑龙江陈山律师事务所网站:www.chenshan.lawer及www.13304590183.com以及www.陈山.com,请关注官微(手机)13304590183]

调查平台可查看邮件互发记录和相关信息的功能。EnCase7中自定义模板定制报告,确保报告质量和一致性,并提供了案例归档功能。另外,新版本中还增加FastblocSE软件写保护功能,可以对USB、Firewire、IDE、SATA和SCSI存储器进行写保护。Encase Physical Disk Emulator(PDE)功能可在加载计算机证据到本地磁盘后,通过VMWare虚拟机和其他一些第三方工具进行深入的分析。

美国AccessData公司的FTK(ForensicToolkit)提供了强大的搜索功能,被公认为**上对文件、电子邮件分析的**软件。FTK内置OutsideInViewer技术,可查看超过270种不同格式文件,可自定义的过滤选项能满足用户从上万份文件中快速查找所需的证据,全文索引功能可即时生成搜索结果,具有**的图像和互联网信息搜索功能。电子邮件和压缩文件分析是FTK的特色之一,能够自动从PKZIP、WinZp、iWinRAR、GZIP和TAR格式压缩文件中释放数据,支持MsOutlook、OutlookExpress、AOL、Netscape、Yahoo、Earthlink、Eudora、Hotmail、MSN、e-mail,可查看、搜索、打印、导出电子邮件信息和附件,可恢复删除部分邮件信息。

德国X-[更多法律文章欢迎继续关注黑龙江陈山律师事务所网站:www.chenshan.lawer及www.13304590183.com以及www.陈山.com,请关注官微(手机)13304590183]

ways公司的X-waysForensics是较为出色的计算机法证工具,与WinHex软件紧密结合,使其具备强大的数据恢复功能和数据分析功能,如可对特定文件类型恢复;察看并完整获取RAM和虚拟内存中的运行进程;可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙中的信息;能够**简单地发现并分析ADS数据(NTF Salternate datastreams),这些数据有时EnCase和ILook也无法**的,并增加了很多特有功能,如强大的物理搜索和逻辑搜索功能,可同时搜索多个关键词。

澳大利亚Nuix公司的FBIForensicDesktop曾被评为****的电子邮件及电子数据图形化分析工具,版本3之后不再只针对电子邮件进行分析,已成为**的海量电子数据分析工具,通过分析服务器/多工作站的协同工作,可快速对各种数据进行分类、预览。NuixForensicDesktop处理数据时,直接读取原有文件格式,支持邮件格式的种类覆盖常见邮件类型,其简洁但**强大的图形展示功能,可以清晰地描述事件是如何发生的及证据是如何进入的,内部发生了什么事情,什么人涉及在事件当中,揭示通讯人之间的联络关系。

Digital Detective公司的NetAnalysis目前已经成为了互联网历史纪录分析和恢复的行业标准。NetAnalsis软件可以直接从写保护的物理和逻辑磁盘中查找记录,可以从未分配空间、Swap交换文件、FileSlack,文件[更多法律文章欢迎继续关注黑龙江陈山律师事务所网站:www.chenshan.lawer及www.13304590183.com以及www.陈山.com,请关注官微(手机)13304590183]

残留区、未使用磁盘空间、DD镜像和二进制文件中查找、恢复历史记录。自动将页面中的原始图片找出来,自动重建HTML页面,恢复出的页面与嫌疑人所看到的页面**一样。NetAnalysis能自动过滤并分类搜索词汇,这使得可以将其作为证据单独提交。此外,NetAnalysis还支持关键词库和SQL查询,这些词库和查询可以与其他调查员分享或留作其他分析时使用。离线缓存数据查看器DigitalDetectiveHstEx还可以作为其他分析软件(如Encase,X-Ways Forensics)协同工作,是一个体积小,速度快,支持Flash、图像,和office文档、PDF的外挂查看器。

参考资料




下一篇:什么是非法取证
首席律师
大庆市律师协会刑法分会会员
律师执业证书编号:
12306200410613422
电话:0459-8982183
手机:13304590183
微信:13304590183
邮箱:13304590183@163.com
网址:www.13304590183.com
技术支持:黑龙江泰名网络科技有限公司 
事务所地址:大庆市高新技术开发区外包园A1-2-5-403室,律师服务投诉电话:13304590183
国家信息产业部备案:黑ICP备19001836号-4