[科普中国]-取证工具

现场勘查阶段的取证工具

应用在现场勘查阶段的工具主要有在线取证工具和一些硬件类数字取证工具。依据法律程序，对正在运行的系统在线收集电子数据或对存储在介质上的电子数据进行获取和固定，确保采集数据的原始性、完整性、有效性1。

在线取证工具勘查人员进入一个犯罪现场时，若计算机处于开机状态，则需要及时收集系统进程信息、注册表信息、账户列表及密码、计算机网络设置、屏幕截图、内存数据、加密分区、聊天记录和账户密码、电子邮件及账户密码、上网记录、手机同步记录等数据内容。服务于在线调查取证的免费工具和开源工具较多，如First Responders Evidence Disk(FRED)、Incident Response Colection Report(IRCR)、Helix、Windows Forensics Tool chest (WFT)、Computer Online Forensic Evidence Extractor(COFEE)等。目前常见的在线取证工具，大多是在嫌疑人的计算机中直接运行取证软件，并自动获取内存、注册表中的数据，同时也可以通过取证软件，实现对硬盘的完整镜像，但此种方法缺点在于可能造成内存中、硬盘中过多的信息被覆盖，影响取证效果。另外，在运行的系统下获取镜像，将有可能造成系统死机，破坏证据的完整性。F-Response网络在线调查CE版本有效解决了这一难题。F-Response利用网络连接两台计算机或局域网内的更多计算机，将任意一台计算机的硬盘或其他存储介质，以物理磁盘的方式显示到调查员计算机中，在调查员计算机中直接运行任意分析工具或镜像工具，实现对嫌疑硬盘数据的完整获取。这种方法是最为理想的，而且仅在嫌疑计算机中占用极少的内存，不会造成死机等问题。在线取证遭遇的另一个问题是：计算机硬盘和内存容量增加，海量数据分析逐渐超出了调查员的查看能力，手工分析无法快速准确定位到关键和敏感信息，EnCasePortable提供了良好的解决方案，能在现场阶段自动搜索目标计算机并自动收集数据，包括文档、网页记录、图片和其他数字证据。

硬盘复制机硬盘作为计算机最主要的信息存储介质，是数字取证的重要获取内容。硬盘复制机提供了对存储在嫌疑硬盘中（包括已删除的文件、未使用空间和文件空白处）的所有数据严格按位拷贝的保证。Dossir、TD1、Quest、Hard Copy、SOLO、Super Sonix、DC-8103都是目前硬盘取证的主流产品。相对于早期的硬盘复制机产品，上述硬盘复制机不仅支持的媒体类型（如对各种类型接口的硬盘、多媒体卡、RAID）更多，速度更快（6～7G/Min ），更为显著的特性是集成了数据修复、关键字快速检索、自动生成实时取证报告等功能。例如，Talon是Logicube推出的最新电子证据固定解决方案，专为现场或实验室数字取证使用的便携式设备。它兼容所有标准和专有的操作系统，设备中的高级关键字搜索工具能在全速捕获的同时进行数百个词的搜索。用户把多个预先定义好的关键字列表存储在CF卡中的多个词组群中，同时可以从CF卡中取出搜索的结果直接显示在窗口中。搜索的关键字可以是Unicode编码，大小写敏感或忽略。此外，键盘方便使用者在现场输入关键字。Talon具有自动生成实时取证工作报告写入CF卡的功能，报告可以现场打印交给被取证方签字，也可以事后打印。Talon还运行一个Logicube的程序校验文件的内容（目录），并把校验结果用ASCII码添加到文件的尾部。此外，CPRTools公司的PSIClone硬盘复制机在数据恢复和破损硬盘取证方面也独具特色。

写保护接口硬件在获取嫌疑人电子数据时，必须确保原始数据的安全。写保护接口硬件用于在现场或实验室利用标准笔记本电脑或普通台式机电脑通过火线或者USB接口获取硬盘镜像和分析文件使用的所有写保护接口，确保证据数据以只读的方式读取到证据分析设备中。WeibeTech公司系列产品和Tebleau公司的UltraKt一直占有较高的市场份额。

数据擦除设备数据擦除设备是一类针对所有规格的硬盘、USB存储设备、存储卡等电子存储介质的安全擦除工具。通常情况下，对已完成电子物证鉴定工作且不需要保留的各种存储介质和涉密数据进行数据清洁，对介质数据擦除，从而确保存储介质可重新使用。目前，多数的硬盘复制机都提供数据擦除功能，但市场上Hammer硬盘擦除机、DriveWper硬盘擦除机专用设备可以同时操作多块硬盘。

手机取证系统手机取证成为近年来最热门的取证话题之一，最主要的原因是难以计数的手机生产商不断为用户提供外观、性能、硬件技术、操作系统、物理格式大不相同的手机。最初，全球第一个便携式手机取证箱Logicube公司的CELLDEK，仅能识别二三百款手机型号，且只能从中提取机身和SIM卡内存储的重要数据，如电话簿、文本短信息、通话记录。伴随着智能手机的广泛应用，手机取证市场空前繁荣，Logicube推出了CelXtract，以色列Cellebrite公司也不断更新UFED的版本。现在，俄罗斯手机取证分析工具OxygenForensicSuite、美国Paraben公司的devicezeizure，以及中国上海盘石公司的SafeMobile和厦门美亚柏科DC-4500、DC-4600也不断得到用户的认可。手机取证产品的性能差别主要体现在支持的手机数量、操作系统类型以及连接方式、获取信息类型数量等方面。

证据检查阶段的取证工具与硬件类取证工具相比，数字取证等工具软件的使用贯穿于整个案件调查过程。取证工具软件分为两大类：单一功能的取证工具和专业司法分析工具。前者主要包括数据恢复类工具、密码破译工具、日志分析工具、通信记录分析工具、电子邮件分析工具等；专业法证工具多为上述功能的整合，可用于发现、分析和展示犯罪的电子证据。

数据恢复工具在获取电子数据时，使用硬盘复制机可以获取物理级的数据信息，即获取全部存储在硬盘、软盘、闪存等存储设备中的数据信息。这些电子数据除了用户自建的各种文档、用户保护文档（加密文件、口令保护文件、压缩文件或隐藏文档）、计算机创建的文档（系统文件、配置文件、备份文件、临时文件、历史文件等），还有其他数据区中可能存在的数据证据（未分配的磁盘空间、Slack空间、被删除文件等）。与案件有关的直接线索或间接线索三、证据检查阶段的取证工具及应用都有可能以数据的形式存储在这些空间的任意位置上。数据恢复工具可将已删除文件恢复，对不同程度上的数据破坏进行恢复，以及将不可见区域的数据进行呈现。WinHex、Data Extractor、PC-3000、Easyrecover、Finaldata、R-stdio以及国内效率源科技推出的Data Compass软件都是数据恢复的利器。近年来，内存数据恢复是取证技术研究的热点，因此内存数据还原、对格式化介质数据的恢复、多媒体文件数据恢复支持、数据恢复速度的快慢等是上述软件比较的主要功能和性能指标。

密码译破工具在收集涉案电子数据时，常碰到文件加密的情况，需要强有力的密码破解软件。ElcomSoft公司是俄罗斯专业的密码破解公司，产品以技术先进、使用灵活、功能强大得到业界广泛认可。Elcom Soft支持破解WinZip、WinRar、AcrobatPDF、Microsoft Office（1995～2007）、Outlook、EFS、ICQ、Yahoo、MSN、Google Talk、WindowsNT/2000/XP和其他常用加密文件或系统的密码破解，新版本还支持WIFI以及iPhone、iPad、黑莓手机加密备份文件的破解。Elcomsoft除了具有常见的暴力破解和字典破解方式以外，还可以由用户自定义破解的参数，包括破解的密码长度、数字词组合、已知字符等，缩短破解的时间。俄罗斯另外一家非常优秀的密码破解公司的Passware软件也有其独特的优点，不仅能够智能扫描计算机中的加密文件、快速重置本地和Windows管理员密码、快速破解MSWord和Excel文件、恢复由BitLocker产生的硬盘加密密钥、对虚拟磁盘解密，而且在业内率先使用CPU+GPU混合并行运算提高破解速度。美国AccessData公司密码破译工具PRTK（Password Recovery ToolKt）也是密码破译不错的选择。

专用计算机法证工具专用计算机法证工具指为执法部门提供全面、彻底的计算机数据获取、分析和发现能力的软件，分析结论受法院认可。

Guidance EnCase是最早开发的法证工具，也是目前使用最为广泛的计算机法证工具，具证据获取、处理、深度取证分析、案例归档的功能，并一向以其独有的挖掘潜在证据的能力而闻名。最新推出的EnCase7获取能力更强大，增加了对平板电脑和多种操作系统智能手机的支持；可对新的证据文件格式（Ex01和LEFx）直接加密，确保证据安全；证据处理器自动化程度更高，文件夹恢复、文件签名解析、关键字搜索、索引等常用任务自动化运。EnScript处理器新集成了系统信息解析模块、即时通讯解析模块、文件恢复模块、个人信息提取模块(CC,Phone Numbers,Email,SSN)、Windows事件日志分析模块、Windows操作记录解析模块、Unix登录信息解析模块、Linux系统日志解析模块，还新增了自定义EnScript功能。在深度取证分析方面，新增加EXT4、HSFX、MicrosoftOffice2010、Checkpoint/Pointsec加密文件、iOS物理镜像(iPad,iPhone,iPod)文件系统和文件类型的分析，新的电子邮件调查平台可查看邮件互发记录和相关信息的功能。EnCase7中自定义模板定制报告，确保报告质量和一致性，并提供了案例归档功能。另外，新版本中还增加FastblocSE软件写保护功能，可以对USB、Firewire、IDE、SATA和SCSI存储器进行写保护。Encase Physical Disk Emulator(PDE)功能可在加载计算机证据到本地磁盘后，通过VMWare虚拟机和其他一些第三方工具进行深入的分析。

美国AccessData公司的FTK（ForensicToolkit）提供了强大的搜索功能，被公认为世界上对文件、电子邮件分析的首选软件。FTK内置OutsideInViewer技术，可查看超过270种不同格式文件，可自定义的过滤选项能满足用户从上万份文件中快速查找所需的证据，全文索引功能可即时生成搜索结果，具有超强的图像和互联网信息搜索功能。电子邮件和压缩文件分析是FTK的特色之一，能够自动从PKZIP、WinZp、iWinRAR、GZIP和TAR格式压缩文件中释放数据，支持MsOutlook、OutlookExpress、AOL、Netscape、Yahoo、Earthlink、Eudora、Hotmail、MSN、e-mail，可查看、搜索、打印、导出电子邮件信息和附件，可恢复删除部分邮件信息。

德国X-ways公司的X-waysForensics是较为出色的计算机法证工具，与WinHex软件紧密结合，使其具备强大的数据恢复功能和数据分析功能，如可对特定文件类型恢复；察看并完整获取RAM和虚拟内存中的运行进程；可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙中的信息；能够非常简单地发现并分析ADS数据（NTF Salternate datastreams)，这些数据有时EnCase和ILook也无法检测的，并增加了很多特有功能，如强大的物理搜索和逻辑搜索功能，可同时搜索多个关键词。

澳大利亚Nuix公司的FBIForensicDesktop曾被评为世界领先的电子邮件及电子数据图形化分析工具，版本3之后不再只针对电子邮件进行分析，已成为专业的海量电子数据分析工具，通过分析服务器/多工作站的协同工作，可快速对各种数据进行分类、预览。NuixForensicDesktop处理数据时，直接读取原有文件格式，支持邮件格式的种类覆盖常见邮件类型，其简洁但非常强大的图形展示功能，可以清晰地描述事件是如何发生的及证据是如何进入的，内部发生了什么事情，什么人涉及在事件当中，揭示通讯人之间的联络关系。

Digital Detective公司的NetAnalysis目前已经成为了互联网历史纪录分析和恢复的行业标准。NetAnalsis软件可以直接从写保护的物理和逻辑磁盘中查找记录，可以从未分配空间、Swap交换文件、FileSlack,文件残留区、未使用磁盘空间、DD镜像和二进制文件中查找、恢复历史记录。自动将页面中的原始图片找出来，自动重建HTML页面，恢复出的页面与嫌疑人所看到的页面完全一样。NetAnalysis能自动过滤并分类搜索词汇，这使得可以将其作为证据单独提交。此外，NetAnalysis还支持关键词库和SQL查询，这些词库和查询可以与其他调查员分享或留作其他分析时使用。离线缓存数据查看器DigitalDetectiveHstEx还可以作为其他分析软件（如Encase，X-Ways Forensics）协同工作，是一个体积小，速度快，支持Flash、图像，和office文档、PDF的外挂查看器。