1、電子數據取證鑒定實驗室建設項目方案書版本：2.02012年03月盤石軟件（上海）有限公司2.1公安部對鑒定試驗室的能力要求37第1章技術和工作基TOC o 1-5 h z HYPERLINK l bookmark12 1.1公司介紹6 HYPERLINK l bookmark14 1.2盤石公司產品介紹61.2.1盤石現場計算機取證系統(Safeimager)7離線取證7在線取證8產品特性9SafeImager增強型101.2.2盤石手機取證分析系統(SafeMobile)11 HYPERLINK l bookmark18 1.2.3盤石介質取證分析系統(SafeAnalyzer)13 HYP

2、ERLINK l bookmark26 1.2.4盤石易載鏡像助手(SafeMount)221.2.5盤石計算機仿真取證系統(SafeVM)241.2.6盤石可視化數據分析平臺(IDVP)271.2.7盤石實驗室管理系統(LIMS)311.2.8盤石計算機現場取證勘察箱(SafeSuite)34 HYPERLINK l bookmark44 1.2.9盤石計算機取證分析平臺(SafeForensicPlatform)35取證專業培訓3637第2章實驗室技術規格和要求TOC o 1-5 h z HYPERLINK l bookmark52 2.2實驗室裝備功能要求42 HYPERLINK l b

3、ookmark54 2.3實驗室的區域設置42實驗室的管理43實驗室域管理環境432.4.2流程管理442.4.3安防設備4445第3章實驗室設備配置規格說明數據的固定設備453.1.1證據數據完整性的保護45盤石只讀接口套件45Solo-III高速多功能復制機套件48盤石1to2光盤復制機50數據完整性校驗值計算軟件513.1.2證據數據原始性的保護51攝像機51照相機51屏幕錄像軟件51本地數字化設備非運行狀態下的數據提取523.2.1獨立存儲介質的數據提取528S隔Uoipnis-y乙mi8S（VS）198S血孕図郢糜9TAS池蜩糜翠#返男鋼庫爾蟲乙佔池醉郢糜図甫瑚卑電男原片庫丫結換匸兀

4、池醉郢糜図男原片庫丫結換ST9S|jeqsaji/viVE9s池醉図郢糜號BJ取網男原乃*糜丄翠#丄/蟲乙匕9S（26eiu冋巧）駭麥衛!池色血2薔ElVE9SqseHWI-Moqu!州乙遼譏9S（IAI八刃巧）駭豹鮒草夠習IlVE9S池醉郢糜図丁男原乃*糜丄翠#馬蟲TVE9S池醉郢糜図丄翠#丄/蟲男原乃*糜關傘VESS砌碑僅WH剖酥匸SS池蜩籬嗨Rm供ES篡曲工強乙ZES駭麥OEICW搦1KW粕的巧匸乙ES池蜩籬嗨Rm灘乙乙S隔U駭麥長池出圭引!qoiu刃esITT乙S池醉郢糜図國U翱馬回g至誠巨士&乙S乙ZW3.7數據的解密與解碼603.7數據的解密與解碼60TOC o 1-5 h z3.

5、7.1加密數據的解密:Elcomsoft密碼破解套件60結構化數據的解碼61數據的分析61程序功能的黑盒分析633.9.1程序功能的靜態分析:IDAPRO（專業版+反編譯）63有害程序搜索軟件63實驗室環境條件63基礎環境和設備條件63數據發現提取固定基礎條件64證據數據存儲設備64物證存儲柜65本地數字化設備檢驗專用主機（取證分析工作站SFP-101）.65遠程數字化設備檢驗專用主機66物證封存袋、封存條66程序功能檢驗基礎條件66實驗室管理條件67實驗室附屬設施676868第4章實驗室建設項目工程實施4.1項目實施概況4.2項目實施甘特圖694.2項目實施甘特圖69TOC o 1-5 h

6、z HYPERLINK l bookmark98 第5章技術培訓和支持70 HYPERLINK l bookmark100 5.1技術培訓70 HYPERLINK l bookmark102 5.2技術支持70保證期內服務計劃70保證期后服務計劃71修訂記錄版本時間作者備注2.12009-6-26盤石數碼2.0版本上修改了文檔風格和格式第1章技術和工作基礎1.1公司介紹盤石軟件（前身“上海盤石數碼信息技術有限公司”）成立于2002年，專業從事網絡安全和計算機取證產品的研發和服務。FANSAFE2004年4月，隨著專業取證技術的發展，計算機取證產品的研發和服務即成為公司的主要發展方向。盤石公司的

7、取證技術人員曾多次參與針對公安技術人員的全國性的培訓講解，和公安信息網絡安全保衛部門建立了良好的溝通關系，提供專業的取證產品和技術服務，在一些新的技術領域和案件上提出自己的見解并參與到實際工作中。在計算機取證研發和實踐過程中，盤石公司對國內外電子證據鑒定實驗室的建設也十分關注。參照國外實驗室的框架我們為公安部、上海、廣州、湖北、安徽、浙江等地的實驗室提供了建設方案，并參與公安部十一局、湖北省公安廳、安徽省公安廳、上海市公安局等各地電子證據鑒定實驗室的建設和裝備提供。盤石軟件的企業文化:企業愿景：成為具有世界水平的電子取證技術專業公司企業目標：高度專注于電子取證領域的軟件開發與技術服務核心價值觀

8、會客戶、員工創造共同價值企業口號：發展安全、專注取證、堅如磐石質量方針：持續創新、技術領先、品質卓越、專業服務12盤石公司產品介紹1.2.1盤石現盤石計算機現場取證系統（Safeimager）由可以啟動的光盤/U盤、夕卜接的數據存儲設備構成。使用Safeimager光盤/U盤啟動對象計算機或者在對象計算機上直接運行Safeimager應用程序，可以快速有效地獲取對象計算機上的數據，呆存到夕卜接的數據存儲設備中。Safeimager獲取的數據可以在各類數據分析軟件（例如SafeAnalyzer、MedAnalyzer、Encase、FTK、Smart等）中使用，并可以在獲取數據的過程中計算數據的

9、摘要，作為數據完整性和有效性的證明。Safeimager由兩個功能模塊組成：離線取證（Offline）和在線取證（Online）。離線取證使用Safeimager光盤/U盤啟動對象計算機，獲取對象計算機數據。在不改變對象計算機數據的前提下，Safeimager提供簡潔易用的的操作界面，確保硬盤復制位對位的準確率，保證對象計算機的硬盤數據沒有任何的改變，提供現場快速獲取和介質分析的功能。Safeimager支持Unix/Linux/*BSD/Windows等多種操作系統，具有輕便、適合現場應用的特性。離線取證的主要功能如下:實現對象計算機的硬盤數據鏡像，生成復制盤，同時生成數字摘要。復制盤和原始

10、盤具有完全一致的數據。對復制盤的數據分析，具有和對原始盤數據分析同樣的效果。通過啟動復制盤，模擬對象計算機本地環境。實現對象計算機的硬盤和分區數據鏡像，生成DD格式、AFF格式的鏡像文件，同時生成數字摘要。DD格式的鏡像文件具有和硬盤一樣的結構，是對硬盤數據的按位復制，保證數據一致性，是目前法律上認可的數據鏡像格式。AFF是高級取證格式，用來保存磁盤鏡像信息和相關取證信息的可擴展的開放格式。使用DD格式、AFF格式的鏡像文件，可以在各種取證系統中（SafeAnalyzer、Encase、FTK等）直接加載和分析。實現對象計算機中的硬盤和分區進行數字摘要計算，文件的數字摘要類似于人的指紋，只有內

11、容完全相同的文件具有相同的數字摘要，便于驗證。實現對象計算機中的特定目錄或者文件進行復制。可以選擇需要復制的。Safeimager在復制的同時可以生成每個文件的數字摘要。對取證硬盤進行擦除操作。在線取證在目標系統運行的情況下，對目標系統寒旨總址J己用空間1?!汀慟：d:l151*mj凸BLB1廠計迴出，晰）SAFEJ1MABER內部的易失數據如內存信息，臨時文件等進行取證。同時由于現場的復雜性，有可能無法對目標系統進行離線取證，可以通過在線取證系統進行取證。由于在線取證軟件需要運行在目標系統的操作環境，所以可能會對證據有效性有所影響，須要配合拍照、攝像等手段保持證據力。在線取證目前支持Wind

12、ows2000/XP/2003平臺。在線取證的主要功能如下:導出系統信息：導出運行系統內存中的47類易失信息，分為3個大類：操作系統信息、密碼信息和上網記錄。內存信息復制：對對象計算機物理內存進行數據鏡像生成DD格式或者AFF格式的數據鏡像文件在線硬盤復制不關機情況下對對象計算機的硬盤進行數據鏡像，可以硬盤克隆、生成DD鏡像文件和AFF鏡像文件。在復制的同時可以生成數字摘要。在線分區復制不關機情況下對對象計算機的分區進行數據鏡像，可以生成DD鏡像文件和AFF鏡像文件。支持各種虛擬分區軟件（如PrivateDisk）創建的虛擬分區的獲取。在復制的同時可以生成數字摘要。產品特性不拆機箱的數據獲取光

13、盤啟動/程序直接運行在不拆機箱的情況下對證據計算機的證據硬盤進行數據獲取，可以獲取包括整個硬盤、分區、目錄和文件等各個級別的數據。在線獲取支持獲取系統運行信息、內存和常見應用程序密碼。支持基于IA32架構的筆記本、PC和服務器支持IDE、SATA、SCSI、RAID等各種硬盤和數據架構支持Dos/Windows文件系統，包括：FAT、FAT32、NTFS支持常見的其它文件系統，包括：EXT2/3、UFS、XFS、HFS、JFS、MINIX、HPFS等使用USB2.0/1394A/1394B接口，數據獲取速率最高可以達到2.5GB/分鐘獲取的數據可以使用SafeAnalyzer、Linux、Wi

14、nHEX、Encase、FinalData、FTK等各種取證工具進行分析規范化操作現在的所有操作進行日志記錄對證據數據進行完整性保護，不破壞現場數據在數據復制的同時生成MD5哈希，便于事后校驗簡單易用所有操作采用圖形化的向導界面操作過程動態顯示，獲取過程一目了然提供快速操作，簡化現場工作考慮到關機時采用復制機會有效地提高現場數據獲取的速度，我們提供了增強型的計算機現場取證系統，內置便攜式高速硬盤復制機。復制機支持IDE、SATA、2.5寸硬盤的直接復制，且可以將IDE/SATA硬盤接口做為只讀接口使用。復制速度最高達到4.5G/分鐘。1.2.2盤石手機取證分析系統(SafeMobile)針對手

15、機的取證和傳統的數據取證有很大不同，手機數據一般都保存為私有格式，不同廠商，型號和系統都會有所不同。盤石SafeMobile手機取證分析系統采用統一的界面獲取各種品牌手機中用戶輸入的數據和部分設備的未分配存儲區域，并進行取證分析。該產品得到科技部2007年度火炬基金支持，并通過認證。SafeMobile系統特性：支持GSM/CDMA手機，包括：摩托羅拉、諾基亞、西門子、三星、索愛、聯想、夏新、飛利浦，天語、多普達、聯想、步步高、七喜、UT斯達康、OPPO、海爾、波導、TCL、酷派、OKWAP、港利通、天語、海信、明基、長虹、友利通、GT佳通、CECT、技嘉、天瓏、愛肯、ZTC中天、大顯、億通、

16、創維、普萊達、奧丁、天時達、萬利達、華立、唯科、僑興、紐曼、桑達、康佳、恒基偉業、華禹、倚天、金鵬、德賽、萬事通、新郵通、宏康、盛泰、明騰、IDO、TSD、埃立特、普天、振華歐比、互通、高新奇、魅族、南極星、漢泰、福日匯訊、三巨網、東信、首信、金立、唯奧、廣信、邦華、晨興、高科、寶捷訊、眾一、嘉源、國信、金正、HKC、百迪寶、兆訊達、駿域、深愛、權智、高斯貝爾、賽洛特、億城、友信達、中恒、聯創、新中橋、科諾、知己、雅訊達、天元、寶碼、樂華、中訊天創、奧克斯、VOSIA奧翔、都寶、FIC大眾、綠力、中寶、屹東、摩西、琦基、艾美訊、OQO、愛國者、特靈通、賽昂星、齊樂、盛隆、吉事達、愛我、奧樂、科

17、健、廈華、熊貓、南方高科、大唐、托普、迪比特、浪潮、中橋、數源、紫光UNIS、NEO、奧盛、Beluga、科盛通信等多個品牌2000多款手機，型號還在不斷增加中；支持中國市場使用的所有SIM卡，如全球通，M-ZONE，神州行，世界風，Up新勢力，如意通，Uni，寶視通，各種CDMASIM卡；國產手機的支持MTK平臺、展訊平臺對智能手機的支持Linux平臺、WindowsCE手機/SIM卡電話本、通話記錄、短信、設備信息和文件的獲取;支持對手機/SIM卡刪除短信的恢復；MTK平臺物理獲取，主要針對手機里的存儲器，通過硬件工具對手機字庫進行備份，根據特征搜索鏡像，獲取用戶數據信息，包括刪除記錄；手

18、機連接方式支持：數據線、紅外、藍牙提供靈活多樣的搜索方法，支持多編碼格式同時搜索；書簽功能靈活強大，能更好的幫助分析數據;即時提供的報表預覽功能，一次性生成可打印報表，降低取證分析人員的勞動強度；文件預覽功能可查看十六進制數據，方便高級取證分析人員進一步分析所得數據支持設備校驗，防止在文件移動過程中發生意外;工作平臺為Win2000及其后續版本。1.2.3盤石介質取證分析系統(SafeAnalyzer)SafeAnalyzer為執法部門提供全面、徹底的計算機數據分析、檢查能力。具有強大的數據恢復、過濾、分析、查找和報告功能，并提供簡單易用的操作界面，是當前電子數據取證分析的首選工具。目前產品的

19、已經達到國際先進水平，符合司法取證的需求。該產品是ENCASE/FTK/Winhex等分析軟件的全中文替代品。更加符合中國用戶的使用習慣。在部分功能效率上超越了國外產品。獲取鏡像生成MD5哈希校驗值，并可隨時校驗；導出文件可以同時計算文件的MD5哈希；分析過程有詳細的審計日志，便于案件的審查復核工作mnjcaitH-cr：JIM(TJIA：|-HLDO：B：ni.i員廣対5_-|XI宦冷s?hlmh吋g|JS*AIU.-AS9DH口呂口口口口呂Dc-curF-mts：.：tTjcmWEOdCUlJ.isqTWAiJj-C-ia-bSVC-l-UHi-feTWKMtrtJDJJmrDONE去樂R

20、：呼ft.i.HTTE?：ErWb-apE.dnJb-c-raci.tSdas*52a-npiEsV:0k3.5T2月冃月flflm月円月月月flfl冃:口|1111II口口rlMu口rlcl蒔坪一-年爭.SIS片ittt埠坪耳環訐HBH-?u-a.H?sa.wH-a-賈科mDa急爲急Tin亦EsvEIEEfLAEJe爲空LIE曰曰曰目口曰曰HflB月冃月QJi月fl月fl月冃BBHEEBB-H-BBB-H-BBlitIEJ?.JJ-r1z21-3233333曰曰曰曰曰曰曰n曰曰曰HmmK-g.uhELhIT.uhTTdj3:l皿Jalmfll皿加JHEJ31fii.i加Ald年早毎迂年坪切氏

21、年切壞氏迂丘TTapTCISJQE斗Qeap舟LLsr-s-uIDimjL：aoooocooo&osc-00ZQ003|0OCWZCTOOCKiECijiKKXimijiXiCiiXn：iCiiW7tgn=*oogi=LQOOOOODSK-OOO0OT口口OO*Oijiji；n：ii：iEx3?3a03Daz32fliTZBO曰E3C狛3D3l!30：6I7320i3F20TiT盅誥33331雷SQSG:中DDn口PA1,QG_:*!5D.nDDT4FD253fiaJo35TT3=:irl:lL;.ll-libB:3:3I5O30313T_HA-cn_H-aAFDOr33332n-a-H32E

22、H-EBRQDU口E:曰e口4FP#33DillHlti:E.aaAH-Dn-CEDn-2E31Ksc-sarl-TsFl匚曰:3rrdcllrlJhs口nooII.333cnF3TCd日22T金器益器盂二7-2LZOTS-D*-ieDBILBiBS百百嘴StaLagZzce-o-i-iBca=is:JGpciatisn.0TfiEi.,giXi-Ci-4-10aazija：asHi.CZXEiX口冒十VlXiELQUrj：xrrx-rHTxiDn.B.1ri-7EiE-i1S-rr-*D位百腳毛：BLHfissw-g-:H1liLreef號IL已炮無護I3C麼河春導：5C低尼琦V:&*僮百；

23、笹p；KTGEE號豈EZQ斗STQE&Dgrrnij1CC*4W：lLfl36|=|QA：1ArtiHisirwirTrfliOlJtlf-li-n；IIEfl30ElOa：DD33infiK/cPTinJ:I秦円0-fftJg.a.t.l-gig關鍵特性包括：支持計算機存儲介質直接分析，及支持DD、AFF、Encase格式鏡像文件的分析，對其進行只讀訪問，不破壞原始數據；支持MBR、GPT(Vista)分區方式，可以直接運行在Vista中；自動進行系統分析，包括系統安裝時間，操作系統版本，用戶信息，網絡配置信息，安裝的程序，最后運行時間等，并可以選擇性地納入案件報告；靈活的時區支持及管理，允

24、許勘查人員為每一個證據文件、每一個卷或每一個案件指定時區設置，解決了所分析的介質使用的時區設置與調查人員所用時區設置不同的情況支持圖庫預覽功能；提供文本、十六進制、縮略圖、預覽等文件查看方式；自動編碼識別：支持文檔文件的編碼自動識別十六進制解析：類似WinHex文件過濾：系統缺省和自定義的過濾功能，并支持多重過濾；時間線分析：通過設置時間區域，建立該區段修改、訪問、創建的文件時間線，方便定位案件相關文件；刪除恢復：文件系統中刪除恢復、特征恢復；可恢復高級格式化磁盤內的文件，可判斷出交叉覆蓋文件；具有高性能的關鍵字搜索功能、支持多關鍵字同時搜索而不明顯降低效率，支持搜索前過濾，提高搜索效率；關鍵

25、詞查找：各種編碼格式的關鍵詞查找，支持正則表達式可忽略大小寫，關鍵字支持GB2312、UTF7、UTF8、Unicode、Unicodebig-endian、Base64、Big5編碼；基本信息：方便取證人員對操作系統環境有個整體上的認識，能夠提取的的信息包括（操作系統信息、時區信息、網絡配置、安裝軟件、服務列表、共享信息、用戶信息、USB設備使用記錄、硬件信息等）；注冊表分析：察看Windows的注冊表文件，可根據系統缺省和自定義的注冊表項目，快速定位瀏覽；Web分析：查看目標機器的瀏覽器歷史、緩存記錄、Cookie信息和收藏夾等，支持被清除歷史緩存記錄的頁覽和獲取功能，支持IE、Firef

26、ox、Opera、Chrome瀏覽器；郵件分析：查看對象計算機客戶端郵件，包括收件箱、發件箱、已發送郵件、草稿箱、廢件箱等，支持的郵件客戶端有foxmail、outlook、outlookexpress，還支持對web郵箱的分析獲取目前支持的web郵箱有:Tom、126、163、QQ、Yahoo、Sina等；即時通訊分析：提供快速提取QQ、MSN、Skype、淘寶旺旺、雅虎通、飛信、ICQ聊天記錄、好友列表以及語音記錄，并包括刪除QQ好友號；回收站分析：解析放入回收站的數據信息，及從回收站刪除的數據信息；事件日志分析：快速提取分析對象計算機事件日志；打印緩存：搜尋系統中存在的具體SPL和SHD

27、文件，取出相關信息和EMF文件，還可搜尋未分配簇取出未被覆蓋的EMF文件；下載軟件：針對FTP下載工具和P2P下載工具進行分析，主要是獲取下載的任務隊列以及站點用戶的信息。支持FlashFXP，CuteFTP，LeapFTP;電驢，比特彗星，超級旋風，快車，Vagaa等；復合文件分析：可以查看內含有其它文件的多層組成的文件。能夠在層級查看那些文件；校驗文件特征：用以校驗出目標文件屬性是否更改；報告生成：根據用戶添加的書簽和備注信息，生成案件報告；全中文界面，系統簡單易用。主要特性詳列：事件日志：日志文件中的記錄可提供以下用途：監控系統資源、審計用戶行為、對可疑行為進行告警、確定入侵行為的范圍、

28、為恢復系統提供幫助、生成調查報告、為打擊計算機犯罪提供證據來源。提供了快速分析事件日志，提高取證分析的效率;郵件分析：類似客戶端方式進行查看郵箱中的內容，包括收件箱、發件箱、已發送、垃圾郵件、以及聯系人等；目前支持的客戶端有foxmail、outlook、outlookExproler;TkrtlMklrKf-ttMcTkrtlMklrKf-ttMc-iL-nQFiSttil+eq2Idk.hi.h.n4ij5g+I?匚口IC-naWlCBtai-+匸口亦闔“皿心hl-I1*OntKLxkEsfQ和閘血2曰i-口rAsrt*Bftaffdq-rh-s匸.匸咗晦種C0LjSbBlaEEaiHE匚

29、H5:*LHEir匚口二1仔燉弓AW匸ar匸.口口ILMrrdsgSfaHTdih_riu解1科片晞XiT胳甘苦王直I.i彌LSKflPSLiffli2Fft!：iiQlidirddixd!EtEEidH!tsriJBa口IiiaraxdrL1盯山.曙臥掃時由區輕達*!44*1*-l.iwaKflPSLiffli2Fft!：i區婭達ssra因E?IiJdafli+mFbWi口硯StiM于ftFhs團瞼屯干菱辟FNJ硯目缶！竭mad耳區皐応擁4ffl1ili硯妙的存葉I-tEVfucvFfa-tEVfucv3.n-.-IT丄TT-n-JifucvFfacv1ST丄！T2?!Td?.1fjmiAp

30、umfcR*irpvriMJEi:mr9BACBi!aCr04i即“iri.iepjQ*1l4rU34tqi.EfjmiApumfcR*ir氏r9.ui!.皆idBdEt.4Uflcjf,;l-ihfm|yFru3k4.frrtTiC-ahfaaAEadaPKtraitt.flcjf,;4】揮心上1l-ihjhrftVSiti.fIcf“t日IICjF.iF丈工址sBspji.Hwa舊忍繩吐遼是正出試剛掘20*04耳山曰I5:u44BWE.UHifiEEBjlTh：.4T4!氐於WCjFTrsrBRiaiRTf：.窗mm衛nqL曰is：eeoe-B#iHEfldismp*.344.時月哲h.H

31、嗣日聞囪WEjFz見正出范電皈.口盤”:SOiPEflisaI4：J&Warseikm沁anaSForkL曰i:i：dq油B#EU*BECBgiTh：.SOB3KriPFfl2Lal：i：5PCjFTrsrBRiaiRTf：.S：也MM環#1.曰IT:15HB#HifiEEBjlTh：.MH-釧海iO.H圜日16KiTiiJ.H3Lai:i:ESif：EjFTS匪SSHTiOflaLaI6：U：ESCjF田1片壞|_聞下觀紳&aiBiFLO月竈曰iT：m：i3B#耳戰m加：4SBffi釧海ii沖肪日曲西嵋EjFli.Hffi-UKam許LL月OB曰I3：D：4.ilfltfHrliSiTliF

32、jHBUTSSJSiFi1fli.oaWESXEjF費因.dadnMriiHithkaJLnsniEE3p3rrllxj:K“*E=nFEFEelIn?.LJul0國tJiei：3Bh4盤件上亀干i中事背戀岀凰sup世厘何踵-.pvuKfi-l?.pms-at-i.V3-=fii-l/乩9DnpS,rarry.ThtMX3*a|-iX3THaMMidTaydababYtxLirit35.3.4)主骨耀*富:ill整輿時mnx重冉人pnqEqnr*piH*fwcpLnafc冉.kgpwwflvfrpMaJB.wicp.MiHM244fi7n2ig1fe己HJ來IT己ITXtYour*5s-iq*

33、IWI即時通訊：對不同的信息存儲格式進行解析，提供快速提取QQ、MSN、Skype、淘寶旺旺、雅虎通、飛信、ICQ聊天記錄、好友列表以及語音記錄，并包括刪除QQ好友號的恢復;下載軟件：針對FTP下載和P2P下載工具進行分析，主要是獲取下載的任務隊列以及站點用戶的信息。支持FlashFXP，CuteFTP，LeapFTP；電驢，比特彗星，超級旋風，快車等。54feAnklTX-E-iCJFIE=JnJH如時TG:珈l*SJ燦-科肋咀，宅.喊口LX)-j奇:下童蕈抄a|工碇j|:th序|尺訐=61大十ifl.引用頁araiJiEJliftfiL.rdr1.130QC!-IV=M+riEvilSfc

34、i./CkHl-!r-fev-iaix.1.I.KLI1MIIJJII:na4i.cratogrLEi方rmtr.aC,iD?3MM,iLGITiiSal./TiMi.JiZSOJfI.RSuJHrS!IRtwTITa牛nMirdSrtrirLBEUSA13.11EtiB-BI-UELLaP1-KH*.7*(i-(.i.師閒aC：!-k；3kiASwL.jTOIi&E:.i.3.iiSMJfl-da+HtFstvshi證黑亍沁TaC：!ik-=in；3md.iSwL.L監L$.LS.jj罰牡lafwL.cdjiTsaQD.Ek-cns-iinLaKhl&iiL.ZlMud丄TripI.N：.I

35、.i.1.0ZWifInkircE34ar1*13215SaC*iD-=M+ri!：EiTii衛!1.IrioSSMi.3TU-I.KkIS&1-3.J:KM?I.FlnhUaJh5l*rrdXLa.!5wrai.TaCiDxm-HiEEWit墨hi./FirikLDhitndajl.K.liW1-3.：l：l:na4i.MMrt-ttrKBjrl.DO-faw.5MM：aCitC-ZM-KiEEWilSit.f口.D-fc1KLIMlia.li:ma4i.crius-i0遲zFi；aC.rL-aajjsLBmJMTi3hs-LEi姿mi：丨矽IiU:Id.11SiiSI:司|z|屜*jix|

36、琪行jLS345$79ULLP一-=1-uU=-1-I號U旬闖gf4AdMnlj：iDriarJcarMD:um*nwilRLtitm-/crnll-wnh*Jnifi.fr/vqlnskarvnln-ck-irl.fl&.kh個卸弄：Mrprcee-rr/unM-Eter/|-4o-Mo4lJife叭：巒。網年4M耳汗吁11：45：38h汶畳親Rfi例：上;PtfitJR閆：20(年0斗尺Tfl1l：fl5：SJAWSi十:心粒用肅|劉目牛監忻1電匚Evul+i*己下盤*i51uk*rl.E.零IVAa打印緩存：搜尋系統中存在的具體SPL和SHD文件，取出相關信息和EMF文件，還可搜尋未分配

37、簇取出未被覆蓋的EMF文件。+匸:當1hr歹GFnl匚$F牡hwiiEClEECKLA匚口目RkTuJ-psc-hei；C&m口LuiV-iIxhs.IrJnLjmlTWOWLCWi.I5匚_l7stLaaHkchLMi.riJDCflS斛訶Ljly匚邁髡立伸匚n-i酔藥廠方p打f阪存曲折塔臬：OQ打卬任參峠伽仙SFL.匚心卓分弧苗涮S.6L二口匚JfTEntfS附:泉傅卜FKCWWSTOiSafeTmaBcr現場計弭SaMrraH-?田qL鹽啟期九宜山6.外冉&1飯庭存睛ift番購成樓用SaFdiragerTtffijlJ盤啟功對象計直tl或者在對累計埠機上直憐運齊沁imar西齢可冊朋迪地託

38、用對聚計鋼1上的敵據，保存封外持的戰據臣潔諛苗中軟杵1年免焉補石M*吃蛛nil侶亡i:-遺用-a；241）工尺比忻flSiyi-Ji陽燉.#-i因$基本信息：能夠提取的的信息包括（操作系統信息、時區信息、網絡配置、安裝軟件、服務列表、共享信息、用戶信息、USB設備使用記錄、硬件信息等）-門出=t：(ei工JL毋圻umiEiFip廉.冋邛出玄臥二vIto.IIfciill刃遙II圖ILifleI量不JeI不耳rEMftIOB*-i.口靈JE霍IS.廚匚舊卞T!匸:口【-匸id鯽gitjg.口.FWEE.口Ci転整北!件口山雖輕HSi：山尹*個!：匚用戸加思EO&陣E詣音粳硝囪I口*jYbp.ig

39、!:i:i北狛l*15MJ1序!nuEaffftEsaEfl-I嘖暑f茍lli呂啊s|i*t*TIaI城舌各警I鼻i識百呂4tllQI咲暑呂尊Ia*i識羽竊tiGI繪*15尊lni吉込呂*igaI飲呂聲：lqllF&tt：lGI說齊*flaI謂赳聲IokTl.Mil-Ziyii.aai-xiTlC血ktLcAwl:-rAuMii-Mrric畑斫srLcA*jl:-rrir柑呵Tl刃iUji:-rTLC燉kTPL：kIEl?Fi.-i-!fiH.IlikIOIrFi:*1石誓11序Ih4U1IlL3kIEJ比ElriaESkMhgaSl;曲干ii冃x日ioiem慕片dULJl-liKrE|aii

40、ejtiUEiiidlA|I.EEt-：W.HMNffLLflE4口W.l*IPxrrm比ElriaGSiLiMiWCHl.n；oreiiFiBia.i*m至“au&CUwiWiKxu再ii冃沁曰mnim畫w.rBSlWr1.1.zwhTii月：t日101(-10*rtwriabBSuihdB.Mi網WiiR;-iBiii.icidemjavUikUHk.iri.difcl-S-HitIliLK1IRLakIEl9PitlLik比1i.LK1*|円擊丘址IPl3ki.OIhikKJk.r.T|:;:&IHIAiti3|CHauy朗Efii月丫日io.if.iqJKhtal；”Ift-l-.Cf

41、lFLCiaiMiric.MvianBiDfiiikLIKBE3BricailU-1411dHMKjAW匚EmwhVn_匸nMWlan3il-uiwnjn-I7il-tt-G-Nl電涉(曲E衛石鼻心|盤liM阿;SOOSSplOHJaHI7:12；:*SiaG-SEfUHMIg40-64tOn2D17.12*9如+1S憶曄噩耳m辛jtGE.止Li(H口立奇fiMflFH1丄”f.merciijvi.-jiJIB|理回收站分析：對回收站INFO,INF02文件直接分析，并解析回收站中曾經刪除過的文件信息。3CQi耕DtoEQ斗KlBflt(C：iBDQiJEwtanaiCOQ1：旺CXCLE.B

42、lfl-口口。H9EDO3Baaltanfig-.rJsl匸:匚JnciicntssriCEHfirKLEEUSDC-schc軒口口。Ftfagjr曲IFlLes白COaBECVCLERc-DS5CCQrr軒口口。5吋31VdLlFiETTITDDQAHlLIi英sfi擴風審fiismiwsj&iiiaInkInkDellInkInkDc2.Lak誠Du前InkInkDcA.LiInkDc5.liliInkInkInk|.2TiLnuEDDBO.甸朋年0.snned.200H.創囲罰.200H0.創肝申1.別抽年a.辺曲車1.EDDBtJ.EQDB.SOOBtl.3W日年1.2DDB0.創D日

43、年0.2DDBa.卻DH年.的叩年a.辺朗車1.而罰.別朋年1.ZOOHO.3W甲).ZOOHO.創麗甲1.EOOB年0.辺曲車1.ft.&isswra全貉鋰20備E：月佃q碣*1EDDBW凸03年te月035TOl91細閆】：咖商mate年ce月m.25354DK乍4).啪卄l：TjisntffT月.39=).IdUCIdl2：月別L2Oi黛=|BWj】：EDDB年ffl即陽年C6月迦M；5(0車r剛間】：EDDSX凹嗨年ie月黑WWt：-A.Hl.T.ni.：-j:20165月W.LM-1qDK沁).i-fr*-idiI：:：3:即陽年C6月詞m72T電=】曄m朗嗨K月誦L3L940%BU

44、舸間】：EDDB年旦即03年C6月場旳9035牛r2Dt6月厲TOqo).HI.f|i=l12：!3-J2D月SO.65G5雲亠）.即08年C6月113L2Dm&a峯=圖庫預覽：案件中的圖片文件在圖庫中以圖片的形式呈現，直觀而富有效率。oislssi-s=眠匕壯、羽nwa也5.=瞇堀0啟=s=:sffl4flts單u3,JtBI-,l3aHH;耳峠!耳啤!耳啤!*啤!屮啤!斗亂曲亂皿亂和皿和皿和丨ft91n匸._luLLLL匚匚LULL匚廠LU匚匚LULU4mdes-iA-UK-*SZL.曲FnaeloQmsswnBcloQoTBassQESN3SSI71Q已41OC曰sss=時QsaoQmT

45、NOSeoeoDDCllaInllpEifqJ:-i-.lnuKqE乂lr-izx-戈r*H-4F-H-,Fpxz-SaXI,旬乂一Cqq.x-1.-,ln*x-l-lqH-,VExz3*x-l【H/-dcx-lqH”F-cs:yuaxl,3*dpnqqx-I三上昌戔盅衛專Hi=fifi-llr監ffK!-U*-pg-1-8fTW3rtDfin-PHhib-dvfcl岸fHdwMKaa:&一匸bsJ二爭&耳：吊：匸J*M.-r-;e-書薊-UJDXEJDJTk-x-anLi7HS乂匚雯WVJJ二！：上曾！帶匸gl-Fvi-c-llffzuIfe劃帳啦割科ti-DU呵舉tt:ys*憐tipriz

46、lz瓦總相口圧一tNKdn*戲U+Btnhldn*son*sdn*Jk_dn*-n-fb*-m_d-D|doqqnln.dqlriln.udlcqqzim.udoqqllln.UCICCIqnlnDfdlsqziLHLNciEIHJB-M-M-dsy5u:gilt孕貞百111F8ftA1aJx1df0tBdf|豐:!理5E1!J-11.1j-13二gI51IiUz回n_4cJ1VjUWs4cJHHIL1IjTl-ThjTa呼詢:A!_fflbM-i-z11I11Khn月iittiit!0B刃*#-w-EEHn-_-KCTKfiw*JDisr*_ORO*J_uisQtK口口勺ID蘭,*Sa*JD

47、i世0tNF!。皿ofofri-s=drZHSH-C_/wft7WWLftffinzuyuHie.吩歸怎摘-5K4弋膩i蚤1AAA-EMIT-Ep-HE-*!:_3-邸aEsJS8RKefJQS0XR/blI矗PHHPHfeiSa*用曲電MMM陽如用和MJ誠B九JKMJksssgsf-KJhJGArAZJDOE曰bniMr-l-lfEJLZ-I-IH0M診卜ZJws?a-Tr善t-踴卑*爲+iarsEU口目卜XXXMXXXXXXXXXXXXXXXX31QSEElEIEiaEQBQSEElDElSEQBEMllig-g-SflBflot3acia(!oaraaj!s?：|-i1iBKtBQEIS

48、SEJSEJIEQEJHE)BhiIBSDQB石團莎TOSislsii,n-ssarHftR1uctsuUEf-.-0rw=SUJ-KB.w-b址苗m卍+-HNizvssss8vsv8SSSSQ*s9n-8V-SBSMSSCSDE盂EELERLLg土E芒包也EEEX-n8sHJ-slnDa呂00DS呂2丄1-I-&-C-wtfsVspssBUHss-sFCOOLulB-lpDOr-00&8U.UQEHEEDO器呂呂8wis雷ss8$8J!8_!=!s呂ss58s8=Js383sI8_aI-百gu:stsEGOO$CD3UJEir-DOIrr-ao豈呂卅HsQsusMsRssA*B-Us-ras

49、s8A呼EEE總EEBE益Ek.1-E盟包EE-0E盅斤gOS_w-衣s.VIFgs-8s_w-海Ls祟s?5swHHI3epef1ei1vsT8E8s-V838hsu*s*8?8值&r.普二,自H.-3UDInsJ.msEIlllal星二！alF-n善晶.rilH.-MUDInAHxmuEIlllall-.ml-lBr-nElsJW*=H.rta-ua3H.-3UDInsJ.msEIlllal星二！alF-n善晶.rilB-HH.-3UDInsanQ0SQ0S33T-cAnalx-icxCJH.SEF*Ste5工具BST4mm:鈕審鏈嬖x黑昨弄詞rD亡密WLtfc5ir匚:|溶IP1=11址

50、WWarrtflut11LP所百rubbi址加g珀也址阿富冃町址堪恬*凹手機導陽1*垃再立怦5fep天人屯棕n廉口口口口口口口口口口IITTAVE-DL畑T曉中致站中丈耳IKW*iLtp:/w37ht-tpwv-rai7ETiLtpSI3ThVlp/wvTSIT3-iLL.ln.s=urnE-chvna.:-niicTaEoft-c：ifwi,iiB.,.riliatlnX.i匚1一Chfrcfcx0tills1DAlyvalid班工已0拠-1|(|1t?sBa.sxTj.Mj(_JrrP，0.QaO.Qir./de-ie-otr.i.urule-5曲血“當1：4野即te.OtljBat5et

51、i.:ptTmityp*-卩工3.*=哪肌兀疔1.1541|5|510導耳1址為啞1：、!*：出祇怙1田扎,，HKLri5ofTwatEeSriloiocoftVNiiidoMtuiVCixcrtii.tVeEfiiZni.GroijpF&1icyAc-pn(rt+C*+/patterii.typsRissictiyHKLM,.Scd：Tyax，iJViGrssisortinkCijiTe&tVerclCnIi-ifnofTicsEprisntdebu；Jot5i5t:-./incluL:.咗滄口】.eu1xunntBKtPUxar?.:口bjuttpKt-am,typaRanixtry-HK

52、USSDftvu-alm-c-xot:!ViniaTxliCurxBnt7axxiDEi.CxaupFollEyAppLntk/pi.ttxn?.-.+丸進Iv-bFlffi|ffic5Edh-x4dni.iJ9xTHRtitiawurrduet-cn-srrrmjiistalji.tintf-ni-riu1爭口Rhis上網日志：分析MicrosoftInternetExplorer瀏覽器4.0以上版本的上網行為。包括歷史、緩存、cookie、收藏夾，并能從磁盤的未分配空間中找出被清除的歷史和緩存記錄。.-jpB:丄阿口古_;/上円日訖rtQJiSjEiffi卜二1腹勞心QUI為ZG=*卯占d

53、LjffDflOitS|丘支.11用稱iiif1JMi1|笛選11Tifit-lfS-1許UHL*fi1iW#映GM詩映GM詩匚p巧gIn.m.c-j*如購smiBSjS3(M0i2QD.D口孚hri；LE14iam.AidjiintrwtEr&如L|瘋創紳斕an.&J*DIUMam.AidjiintrwtEr&芟in如h*vLK創顧畑am.0母rrn-klslam.AidjiintrwtEr&豈Mr4ktLsllArd&HWI53FWISODA-iMUrbi.-ri_jhwa.rwjOup.r.bcj,aiiers0世1amwj爾n3JWI!EiMHCi|EWam.5UfliTD|_jili

54、fe*：Isw.fLiobu.*0?DJMWJEiEi.DWW.I5MIHCIEWmo.AdfelJlmUr荻itD廠I夕*1KHJSbawZOOKC-lUXJBWl.SXlsm.1hlEiJTiiiERT躋43SQ44ll甲址展|七|城屜|殆駐1、；垃.JERKizaobaoxom愛棗報STB大朶焙手)B-11O.主肉由fit!：SwTliixiAhhdarlm.tEvVLargl&ttirspMsrf-M-tryflFS曲巧JkL:2aO44BllS2(Mkaftl:A*ninaatrt-ar*htaP：/NIJRl：:ZMBM15Zfl412SahZflfllEQDB何月汨MFZ5Al*

55、：I鼻羔ItAZiinistrfltir*144C:JDocunw*KndSemo測肢:Ft扣卜竝典電Tl+:富14們玉岀QG：)D4-UMnamiS4fd冋活尬直冉中般:16272fill：汨棘甘-凹棘3剤卅琳口菇瑜、凹FffisCompactF-ashCard(CFC)MicroDrive(MD)MemoryStickCard(Msc)MemoryStickPro(Mspro)SmartMediaCard(SMC)xDCard(XD)secureDigita-Card(SDC)MU-tiMediaCard(MMC)IDE3.525、sIDE薔聖2.5wfij當酣IDE3.51.8、sIDE

56、薔聖1.84WC1J當酣IDE3.5ZIF、劈曲IDE琳琳聖ZIFSCSI68000、68尊SCSI琳琳聖80尊琳口SCSI6850、66尊SCSI琳琳聖50尊琳口ISATA、專SATA話ATA式、而設據的改和Solo-m高速多功能復制機套件本方案在現場復制機的選型方面，采用了ImageMASSterSolo-III硬盤復制機。ImageMASSterSolo-III取證系統是一套手持輕便、高速的硬盤數據獲取設備，專為司法取證用途計。利用該設備的同步數據校驗功能，可確保疑犯數精確復制，不會造成數據傳輸過程中疑犯硬盤數據修數據重置。系統特性:中文菜單和操作界面。MD5和CRC32哈希校驗:在復制

57、的過程中可以同時計算MD5和CRC32哈希校驗值。觸摸屏用戶界面：高級觸摸屏用戶界面和可編程的鍵盤，方便用戶使用。高速數據復制：數據復制速度超過3GB/分鐘。內置寫保護：對嫌疑人硬盤提供內置的寫保護功能。內置1394B和USB2.0接口：用來獲取不能打開的嫌疑人筆記本和PC。通過寫保護端口連接后可以預覽嫌疑人硬盤。同時獲取到兩塊硬盤：可以將數據高速獲取道兩塊硬盤。支持IDE、SATA和SCSI硬盤設備（SCSI設備通過附加硬件設備支持）。多獲取模式：用位到位的方式將嫌疑人硬盤數據復制到，分段的DD文件，這樣可以將多個鏡像復制到一塊證據硬盤。擦除功能：擦除數據的速度超過3GB/分鐘。拷貝HPA和

58、DCO區域。HPA是獨立于硬盤正常操作系統文件系統之外的保留區域。該設備可檢測并獲取此區域。DCO允許系統修改硬盤提供的相關參數。該設備可檢測并獲取此區域。壞扇區處理。增強的壞扇區處理功能，允許操作者跳過整個扇區壞塊。審計日志：詳細的操作日志可以打印或者保存到CF卡中。多種介質設備支持：支持IDE、SATA、SCSI硬盤之間的數據復制。也可以閃存和筆記本硬盤獲取數據（SCSI設備通過附加硬件設備支持）。升級：軟件和固件可以通過CF卡進行升級。硬件規格:電壓：90-230V/50-60Hz功率：在未接硬盤時10W溫度：5-55攝氏度相對濕度：20%-60%凈重：2.2磅尺寸：8.3x5.8x2.

59、2同時包括如下硬件選項組成高速復制機取證箱，提供對SCSI硬盤的高速復制和獲取能力。快速SCSI選項：完成從一塊SCSI硬盤到另外一塊SCSI硬盤的復制，速度超過4GB/分鐘。通過可選的其它適配器完成SCSI硬盤到SATA和IDE硬盤的復制。SCSI到SATA適配器：允許從SCSI硬盤復制到另外一塊SATA硬盤。SCSI到IDE(P-ATA)適配器：允許從SCSI硬盤復制到另外一塊IDE硬盤。筆記本適配器：使得Solo-3可以從各種型號的筆記本硬盤獲取數據。PCMCIA-ATA適配器：提供從ATA兼容的閃存設備獲取數據。盤石1to2光盤復制機rdnuitc1:2DVDLhjpHcateir盤石

60、1:2光盤復制機專為光盤取證所設計，支持一對二復制，支持盤片格式有：DVD-ROM、DVD-Video、DVD-R、DVD-Audio、DVD-RAM、DVD-RW、DVD+R、DVD+RW、DVD-R、DVD-RW等規格。其主要規格如下：翥顯示方式LED液晶面板顯示寫入模式自動偵測(DAO,TAO)功能模式直接刻錄模式，模擬刻錄模式，擦除光盤,母片糾錯測試，安全刻錄模式,比對刻錄碟片，系統功能設定。操作方式脫機拷貝,多鍵式觸控面板控制產品性能:不需接計算機只需插上電源即可使用。操作簡單,拷貝完成后碟片自動彈出。采用IDE接口，刻錄DVD-R/DVD-RW只需5-10分鐘，可同時復制4.7GB