取证工具是什么

小嘿QA2020-07-07 09:31:43阅读(...)

取证工具是指确保调查计算机犯罪时保护证据的完整性和证据的有效性所使用的一些辅助工具。现场勘查阶段需要应用在线取证工具、硬盘复制机、手机取证工具获取本地或远程数据,有针对性地选取计算机法证工具对数据源进行比对、搜索、分析,进而重构案情。

取证工具是指确保调查计算机犯罪时保护证据的完整性和证据的有效性所使用的一些辅助工具。开展犯罪调查工作时,一般现场勘查阶段需要应用在线取证工具、硬盘复制机、手机取证工具获取本地/远程数据,并采取有效的校验工具及时将证据固定;实验室证据检查阶段首先恢复删除数据、修复损坏数据、还原隐藏文件、扫描加密文件对其进行文件解密,校验文件签名是否正确;证据分析阶段最为复杂,需要根据具体案情制定相应的调查方案,有针对性地选取计算机法证工具对数据源进行比对、搜索、分析,进而重构案情。

取证工具是什么

勘查取证工具

应用在现场勘查阶段的工具主要有在线取证工具和一些硬件类数字取证工具。依据法律程序,对正在运行的系统在线收集电子数据或对存储在介质上的电子数据进行获取和固定,确保采集数据的原始性、完整性、有效性。

在线取证工具

勘查人员进入一个犯罪现场时,若计算机处于开机状态,则需要及时收集系统进程信息、注册表信息、账户列表及密码、计算机网络设置、屏幕截图、内存数据、加密分区、聊天记录和账户密码、电子邮件及账户密码、上网记录、手机同步记录等数据内容。服务于在线调查取证的免费工具和开源工具较多,如 First Responders Evidence Disk(FRED)、Incident Response Colection Report(IRCR)、Helix、Windows Forensics Tool chest (WFT)、Computer Online Forensic Evidence Extractor(COFEE)等。目前常见的在线取证工具,大多是在嫌疑人的计算机中直接运行取证软件,并自动获取内存、注册表中的数据,同时也可以通过取证软件,实现对硬盘的完整镜像,但此种方法缺点在于可能造成内存中、硬盘中过多的信息被覆盖,影响取证效果。另外,在运行的系统下获取镜像,将有可能造成系统死机,破坏证据的完整性。F-Response 网络在线调查 CE 版本有效解决了这一难题。F-Response 利用网络连接两台计算机或局域网内的更多计算机,将任意一台计算机的硬盘或其他存储介质,以物理磁盘的方式显示到调查员计算机中,在调查员计算机中直接运行任意分析工具或镜像工具,实现对嫌疑硬盘数据的完整获取。这种方法是最为理想的,而且仅在嫌疑计算机中占用极少的内存,不会造成死机等问题。在线取证遭遇的另一个问题是:计算机硬盘和内存容量增加,海量数据分析逐渐超出了调查员的查看能力,手工分析无法快速准确定位到关键和敏感信息,EnCasePortable 提供了良好的解决方案,能在现场阶段自动搜索目标计算机并自动收集数据,包括文档、网页记录、图片和其他数字证据。

硬盘复制机

硬盘作为计算机最主要的信息存储介质,是数字取证的重要获取内容。硬盘复制机提供了对存储在嫌疑硬盘中(包括已删除的文件、未使用空间和文件空白处)的所有数据严格按位拷贝的保证。Dossir、TD1、Quest、Hard Copy、SOLO、Super Sonix、DC-8103 都是目前硬盘取证的主流产品。相对于早期的硬盘复制机产品,上述硬盘复制机不仅支持的媒体类型(如对各种类型接口的硬盘、多媒体卡、RAID)更多,速度更快(6~7G/Min ),更为显著的特性是集成了数据修复、关键字快速检索、自动生成实时取证报告等功能。例如,Talon 是 Logicube 推出的最新电子证据固定解决方案,专为现场或实验室数字取证使用的便携式设备。它兼容所有标准和专有的操作系统,设备中的高级关键字搜索工具能在全速捕获的同时进行数百个词的搜索。用户把多个预先定义好的关键字列表存储在 CF 卡中的多个词组群中,同时可以从 CF 卡中取出搜索的结果直接显示在窗口中。搜索的关键字可以是 Unicode 编码,大小写敏感或忽略。此外,键盘方便使用者在现场输入关键字。Talon 具有自动生成实时取证工作报告写入 CF 卡的功能,报告可以现场打印交给被取证方签字,也可以事后打印。Talon 还运行一个 Logicube 的程序校验文件的内容(目录),并把校验结果用 ASCII 码添加到文件的尾部。此外,CPRTools 公司的 PSIClone 硬盘复制机在数据恢复和破损硬盘取证方面也独具特色。

写保护接口硬件

在获取嫌疑人电子数据时,必须确保原始数据的安全。写保护接口硬件用于在现场或实验室利用标准笔记本电脑或普通台式机电脑通过火线或者 USB 接口获取硬盘镜像和分析文件使用的所有写保护接口,确保证据数据以只读的方式读取到证据分析设备中。WeibeTech 公司系列产品和 Tebleau 公司的 UltraKt 一直占有较高的市场份额。

数据擦除设备

数据擦除设备是一类针对所有规格的硬盘、USB 存储设备、存储卡等电子存储介质的安全擦除工具。通常情况下,对已完成电子物证鉴定工作且不需要保留的各种存储介质和涉密数据进行数据清洁,对介质数据擦除,从而确保存储介质可重新使用。目前,多数的硬盘复制机都提供数据擦除功能,但市场上 Hammer 硬盘擦除机、DriveWper 硬盘擦除机专用设备可以同时操作多块硬盘。

手机取证系统

手机取证成为近年来最热门的取证话题之一,最主要的原因是难以计数的手机生产商不断为用户提供外观、性能、硬件技术、操作系统、物理格式大不相同的手机。最初,全球第一个便携式手机取证箱 Logicube 公司的 CELLDEK,仅能识别二三百款手机型号,且只能从中提取机身和 SIM 卡内存储的重要数据,如电话簿、文本短信息、通话记录。伴随着智能手机的广泛应用,手机取证市场空前繁荣,Logicube 推出了 CelXtract,以色列 Cellebrite 公司也不断更新 UFED 的版本。现在,俄罗斯手机取证分析工具 OxygenForensicSuite、美国 Paraben 公司的 devicezeizure,以及中国上海盘石公司的 SafeMobile 和厦门美亚柏科 DC-4500、DC-4600 也不断得到用户的认可。手机取证产品的性能差别主要体现在支持的手机数量、操作系统类型以及连接方式、获取信息类型数量等方面。

收藏0个人收藏
走进科技生活方式

评论交流

泪雪默认头像请「登录」后参与评论
  1. 加载中..