一级电子数据检验鉴定实验室建设项目方案

1、目录第 1 章 公司.5第 2 章数据取证.82.1 建设需求82.2 方案设计原则92.2.1 全面性原则92.2.2 符合性原则92.2.3 先进性原则92.2.4 可扩展性原则102.3架构102.4 区域规划122.5 装修要求13第 3 章3.1数据取证区域规划15登记/初检区153.1.1 盘石只读接口套件153.1.2 盘石 PFB 现场取证一体机163.1.3 盘石 1 对 3 光盘机233.1.4 盘石 SafeImager 现场计算机取证系统243.1.5 摄像机263.1.6 照相机273.1.7 屏幕录像.273.2证据检验鉴定分析平台293.2.1 盘石 SFP201

2、 计算机取证分析平台293.2.2 盘石取证分析平台（工作站版）303.3 硬盘阵列检验分析平台313.3.1 盘石 SFP203 取证分析平台313.4 数据发现323.4.1 盘石 SafeAnalyzer 介质取证分析系统323.5 数据恢复区443.5.1 R-Studio 数据恢复工具443.6 数据逻辑分析453.6.1 盘石 IDVP 可视化数据分析平台453.6.2i2 Analyst Notebook 8533.7 镜像加载543.7.1 Mount Image Pr像加载工具543.8 数据库提取和恢复553.8.1 DBRecovery 2010 Suite553.8.2

3、 Aqua Data Studio553.9 屏幕. 563.9.1 屏幕录像563.10 操. 57盘石, 2015页码：2物证鉴定配置方案书版本：<3.0>3.10.1 盘石 SafeVM Pro 计算机取证系统573.11 程序功能分析组593.12 有线网络通信数据取证3.12.1 盘石有线网络通信数据取证3.13 无线网络通信数据取证3.13.1 盘石无线网络通信数据取证. 60.60. 61.613.14 介质修复区633.14.1 硬盘固件修复.633.14.2 光盘修复机693.14.3 受损光盘数据恢复.703.15数据分析区713.15.1 盘石 SafeMob

4、ile Pro取证分析系统增强版713.15.2 Oxygen 取证套装733.15.3 Cellebrite UFED Touch Ultimate743.16区773.16.1 RainbowCrack 口令.773.16.2 StegoHunt 隐写识别工具783.16.3 盘石分布式系统793.17 数据分析区863.17.1 常用取证工具集863.18机房883.18.1 盘石海量3.18.2 盘石 LIMS服务器88与流程监管系统88数据勘查取证分析3.18.33.18.4 纯3.18.5局域网交换机 SSEG2491交换机 SSE X24S91模块 SPF+913.18.6 机柜

5、 Net-Box923.19 物证/储存区923.19.1 防磁柜923.19.2 格圣 GS-100 导轨式物证柜923.19.3文件柜933.19.4 盘石定制物证封存袋、封存条933.20 数据销毁区办943.20.1 MH-2008 型消磁粉碎一体机943.20.2 科密黑碎纸机953.21 办公区963.21.1 惠普 LaserJet Pro963.21.2GD-50N 装订机983.21.3 矮柜/投影/会议桌椅983.21.4 盘石定证工位98第 4 章 工程项目管理1004.1 项目组织结构101盘石, 2015页码：3物证鉴定配置方案书版本：<3.0>4.2 工

6、程实施流程1034.2.1 环境调研1034.2.2 实施计划1034.2.3 安装与调试1044.2.4 操作培训1044.2.5 试运行1044.2.6 实施报告1044.2.7 验收1054.2.8 工程文档1064.3 工程实施进度安排1064.4 质量保证措施107第 5 章 售后服务108第 6 章 培训计划1116.1 交货验收培训1116.2使用培训1116.3 取证技术培训113盘石, 2015页码：4物证鉴定配置方案书版本：<3.0>第 1 章公司盘石（上海）成立于 2002 年，公司专注于计算机、PDA 等设备的取证软、硬件开发与技术服务，是最早在此领域投入完

7、全研发和数据取证服务的企业之一。公司建立了一支年轻、高素质的研发、服务及运营团队，立志于打造成为优秀的民族高科技企业。公司成立 12 年来，相继获得了一系列认可和荣誉。2006 年被上海市委认定为企业。2007 年 7 月，获得上海市司法局颁发的计算机司法鉴定证，面向提供计算机司法鉴定业务。2009 年被认定为上海市高新技术企业。2010 年 7 月获得首批“上海市创新型企业”称号，同年获得“2010 年度上海市明星企业”称号，3 个主打均被授予“2010 年度上海市优秀”称号。2011 年公司通过质量体系认证，并被普陀区评定为科技小巨人企业。2012 年 2 月盘石（上海）计算机司法鉴定所通

8、过合格评定认可委员会认证认可。公司开发团队参与过的项目：“十五”打击计算机重点攻关项目、“863”项目应急响应中的数据恢复技术，以及推广科技项目计算机取证勘察箱的研制和开发工作。公司与公安、安全、等涉及计算机取证、系统内部审计部门有良业务合作。近年来盘石公司专业技术多次参与、部等全国性技术培训，提供专业的取证和技术服务，协助破获了数百起涉及证据的，如、知识产权纠纷等。公司还为、上海、浙江、云南等十几个省市公安厅（局）物证鉴定提供了建设方案，承建了部分或整个项目。公司已与华东、南京邮电大学，上海交通大学分别签署了合作协议，成为三所高校的教学实习基地，在取证、数据挖掘、网络攻防技术等领域开展产学研

9、深入合作。盘石, 2015页码：5物证鉴定配置方案书版本：<3.0>在数据取证领域，盘石公司拥有十多项著作权和两项发明专利，公司推出的SAFE 系列取证及解决方案，处于国内领先、国际先进行列。截至 2011 年底，已经部署到全国所有省份（包含特别行政区）。盘石公司拥有完全知识产权的 SAFE系列和各类软硬件，在用户中广受好评并不断获得相关部门的大力支持。目前公司已经发布的研发软硬件：SafeImager 盘石计算机现场取证系统lSafeAnalyzer 盘石介质取证分析系统lSafeMobile 盘石取证分析系统lSafeChecker 盘石计算机安全检查系统lSafeImager

10、Mac 盘石计算机现场取证系统lSafeVM 盘石计算机取证系统lLIMS 盘石鉴定管理lIDVP 盘石可视化数据分析平台l盘石云海日志服务系统lSFP 系列盘石计算机取证分析平台l盘石取证一体机lSafeSite 盘影猎手l其中SafeMobile 项目：获得科技部 2007 年度火炬创新基金支持、获得上海市委 2008年度基金支持；盘石, 2015页码：6物证鉴定配置方案书版本：<3.0>SafeAnalyzer 项目：获得 2007 年度上海市科委专项基金支持、2011 年科技型中小企业创新基金支持；SafeImager版项目：获得上海市科委立项；SafeChecker项目：

11、纳入 2008 年奥运安保、息安全测评中心支持；与上海市公合作“Windows 操及其常见应用的取证分析技术研究和工具实现”。近年来公司在及各地方安全保卫工作中发挥了重要作用，如:2008 年的“奥运安保”;2010 年世博会在上海举办，公司技术团队被上海市公公共网络安全监察处聘为“世博会网上安保”，入选上海市 2010 年行业标兵。盘石的企业：企业愿景：成为具有世界水平的取证技术专业公司企业目标：高度专注于取证领域的开发与技术服务价值观：为、客户、员工创造共同价值企业：发展安全、专注取证、坚如磐石质量方针：持续创新、技术领先、品质卓越、专业服务盘石, 2015页码：7物证鉴定配置方案书版本：

12、<3.0>第 2 章数据取证2.1 建设需求早期的计算机犯属于高科技类型，随着计算机技术的普及，计算机的门槛越来越低，并且在很多的常规中也越来越多的要求从计算机等数据中提取和分析证据。在这些罪处理中，仅仅依赖现场调查已经远远不能满足工作的需要，还必须配合后期的深入分析。计算机鉴定分析的建设已经势在必行，从实际需求的角度来分析，应当具备如下功能：1）数据提取固定功能：各类介质和的证据获取和固定2）应用数据分析能力：各类应用程序中的用户数据的提取及分析等功能，例如：、邮件等3）分析：对中的本、和文件等的提取，对涉案镜像分析的功能4）数据恢复：介质逻辑及物理损坏的恢复处理5）系统：系统、

13、加密文档的功能6）系统和网络分析：重建涉案的计算机系统或者网络结构，同时具备分析网络上的各类通讯数据分析的功能7）数据：提供数据的能力8）管理：包含的创建、管理，以及相关镜像及的管理9）配套基础设施：提供、物证存放、网络、安防、支持本方案依据相关标准取证领域所涉及到的各类工作，提供了完善的建设方案供参考，在下文各章节中进行了详细的说明。盘石, 2015页码：8物证鉴定配置方案书版本：<3.0>2.2 方案设计原则对的建设需求进行详细分析之后，我们认为的建设是个综合性的系统工程，因此方案的设计必须综合考虑多方因素，我们在设计本方案的时候如下的设计原则：2.2.1 全面性原则计算机和网

14、络技术的发展使得数据在我们的生活中扮演越来越重要的角色，数据以纷繁复杂的形式展现在我们面前，因此不同于的检测，取证的工作对象也是各式各样，涵盖了小到手持、大到巨型计算机的各种，证据的分析也了从单纯的文件提取到复杂的数据分析的各种层次、各种方式。在设计方案的时候，我们充分考虑各种数据的获取和分析，力图通过不同的和来达到覆盖尽可能多的数据载体。2.2.2 符合性原则考虑到取证的工作的特殊性，我们在系统软硬件配备、网络的设计与建设、机房的装修设计等方面，都严格遵循相关规范，参考有关司法鉴定流程，按照国际证据鉴定的原则和要求进行设计和建设。2.2.3 先进性原则计算机和网络技术的发展日新月异，特别是近

15、几年互联网和无线通信的发展，不断有新的和需要对其进行取证分析，我们的方案通过配备最新的软硬件来对当前的应用的取证进行支持，同时考虑到取证的时效性，我们也试图用最新的网络和技术来帮助实验室解决突飞猛进的和需求。盘石, 2015页码：9物证鉴定配置方案书版本：<3.0>2.2.4 可扩展性原则取证是一项投入巨大的工程，如果对于可能出现的新需求不做考虑，不能提供灵活的扩展方式，这样会导致重复建设的问题。因此在设计方案的时候我们为将来可能的一些需求预先做了考虑，整体的建设可以无缝的进行扩展。2.3架构通常实际的会根据场地面积大小及形状而定，我公司会与客户一起实地察看后，共同设计出最为合适的

16、布局样式。，更为重要的是逻辑架构的搭建，逻辑架构可以反映出最后建成的具备什么功能，能够处理哪些工作，扩展性和工作效率如何。非常注重统一性，它与装备或勘查箱的区别，中的所有是相互关联的，而不是无。因为，处理的是，中涉及的检材各种各样，但是都与相关联。需要一个系统，它不仅仅用于，更需要可以跟踪每个的处理过程。通过该系统可以调配的各类资源，其中也。需要有足够的分析能力，不仅能够做常规分析，更需要对现场无法处理的问题进行深入处理。在平台上分析可以完成各自各样的分析，模拟各自类型的现场环境。如果说系统是人的大脑，那么分析系统就是它的躯干及手脚。还需要足够的来保存数据。包含了数据的及物证的存放。盘石, 2

17、015页码：10物证鉴定配置方案书版本：<3.0>上图是雏形，其中已经包含了的最基本功能，实际应用过程中需要对其功能进行扩展。在此之前，先了解一下在中的处理过程。首先，需要给建立一个，然后对中涉及到的进行检查，确定所有需要分析的情况。接着，对检材进行数据固定，其中可能硬盘、光盘、或者 MP3 等。随后，进入了分析阶段，分析领取到检材镜像后对其进行分析、及其它相关处理。在处理过程中需要对处理情况进行。最后出具分析报告，并将相关证据刻录成光盘与检材一起交给委托人。当整个分析过程都完成后将该相文档及数据封存归档，到此一个处理完毕。处理过程中可能会涉及到以下功能：1）数据提取固定功能2）应

18、用数据分析能力3）分析4）数据恢复5）系统6）系统和网络分析7）数据盘石, 2015页码：11物证鉴定配置方案书版本：<3.0>8）管理其中，16 的功能都是归属于分析系统之中。所以，分析系统并不仅仅是几台分析 PC，它需要形成一个网状结构，其中心包含处理服务器服务器以及，多种功能节点接入其中完成各项工作。2.4 区域规划上文了的整体设计思想及功能的配备，本章将对本的布局规划及分割进行相说明。本次建设项目的特点在于规模大、功能全，因此在于区域的规划上面，我方认为可以将整个划分为六网十二区的模式（以十一局的 4 网 9 区模型为基础做了细分和改良），其中六网指的是：其中六网为逻辑划分

19、，将的功能按照其管理特点及网络结构进行的区分。十二区则是在物理功能及地域上进行的分割，因此六网十二区的规划方式各个功能区域之间的空间上相互，而功能上有相互关联，互相协作。该规划模式的在于功能独立，数据共享。盘石, 2015页码：12物证鉴定配置方案书版本：<3.0>网与网之间能够管理，但又能够相互协同，区与区之间互不干扰，但又密不可分，这也是现代化的取证所具备的特点，也因为这种特点使得取证的管理井井有条，工作效率大大提升。相对于以往的取证而言，这种规划方式解决了“管理与效率”这个问题，以往为了便于管理仅仅在空间上进行分割管理，但是鉴定工作往往实际到多个功能之间的协作，所以空间区域的

20、管理增加协作成本，因此实际投入使用后发现工作效率大幅下降。运行一段时间后不得不为了提升工作效率放弃管理制度，采用了一区多用，甚至一机多用来降低协作成本提升效率，但是管理变的一团糟。我方对于这些问题进行了深入的研究，发现可以通过在的物理空间上建立逻辑网络来平衡管理与效率的，六区十二网的格局即区域，又能够快速协作，即方便管理又不影响工作效率，是一种双赢的规划模式。2.5 装修要求本节是我方对于贵方的装修的一些建议，具体如下：1）地板建议使用方式，方便日后工位扩容时线路的部署；2）的初检区、无尘台、室及库房的建议配置对讲功能，方便与受理区；3）受理区建议配置闭路电视，可以查看第 2 点建议中提及的区

21、域中的工作；4）的网络线路全部采用千兆线（6 类线），可以满足目前工作的需要；5）的可以悬挂一些软装潢，例如流程图等；6）介质恢复区中的逻辑恢复区的漆必须是光面漆，避免灰尘掉落；7）无尘室的更衣间中需要安装一个洗手盆，一是清洁手上的灰尘，二是可以去除静电；盘石, 2015页码：13物证鉴定配置方案书版本：<3.0>8） 每个工位上需要预留充足的电源插座，必须是支持多国标准的，建议每工位 6 个（三孔），并且保证工作台面上下方都有，下方用于平台等，上方用于移动设备等；9） 每工位需要配置充足的网络接口，与电源插座相同需要注意桌面上下都有网络口，建议每个工位 6 个以上；10）办公区域

22、、会议室等需预留 2 个内部网络口；11）根据目前选用的功耗，机房需要的三相电，目前配 2 组 42U 机柜，如果全负荷运行需要 75 平方毫米的电线。盘石, 2015页码：14物证鉴定配置方案书版本：<3.0>第 3 章数据取证区域规划3.1登记/初检区业务受理区位于处，或单独一间办公室内。通常用于检验鉴定业务受理，委托及检材登记等工作。同时可以对检材进行预处理，介质的、镜像、计算，以及送检计算机数据的快速提取分析等工作，该区域中部署了终端以及硬盘复制机等装备。下文章节将详细各类装备的功能及参数。3.1.1 盘石只读接口套件3.1.1.1.1 IDE/SATA 只读接口USB 3

23、.0 接口的 IDE 和 SATA 接口硬盘的取证写保护器。可以通过 USB1.X/2.0/3.0 接口将 IDE 硬盘连接到取证计算机，进行只读的证据获取和分析。3.1.1.1.2 SAS 只读接口eSATA/FireWire/USB 到 SAS的取证写保护器。可以通过 eSATA、FireWire-A (400 Mb/s), FireWire-B (800 Mb/s), 或者 USB 1.X/2.0 接口将 SAS 硬盘连接到取证计算机，进行只读的证据获取和分析。T6es 取证 SAS 接口是第一个便携的 SAS 硬盘硬件只读接口。3.1.1.1.3 SCSI 只读接口FireWire/U

24、SB 到 SCSI 桥的取证写保护器。可以通过 FireWire-A (400 Mb/s),FireWire-B (800 Mb/s), 或者 USB 1.X/2.0 接口将 SCSI 硬盘连接到取证计算机，进行只读的证据获取和分析。3.1.1.1.4 USB 只读接口USB 接口只读锁，通过 USB 接口只读锁可以将任何 USB变为只读。支持 USB 2.0/1.1 和低速接口。可以用于 U 盘，USB卡，USB 外部硬盘等。盘石, 2015页码：15物证鉴定配置方案书版本：<3.0>和其它盘石只证一样，USB 接口只读锁可以通过 1394/USB 2.0 连接到分析用计算机，支

25、持系统平台和，在获取和分析过程中不用担心数据会写入到 USB 存储。USB 接口只读锁使用内置的液晶用户界面，用户通过这个界面可以查看连接的厂商、型号、容量、序列号等技术。3.1.1.1.5 只读卡只读接口，可以处理的卡：l Compact Flash Card (CFC)l MicroDrive (MD)l Memory Stick Card (MSC)l Memory Stick Pro (MS Pro)l Smart Media Card (SMC)l xD Card (xD)l Secure Digital Card (SDC)l MultiMedia Card (MMC)3.1.2

26、盘石 PFB 现场取证一体机盘石, 2015页码：16物证鉴定配置方案书版本：<3.0>的需求，我们推荐使用盘石 PFB 取证一体机作为硬盘机，因为该是目前市面上最快的机，最高速度达到 24G/分钟，支持几乎所有常见介质类型多，全中文操作界面。另外该集成了国内优秀的介质分析分析，方便出现场时候使用。“盘石 PFB 取证一体机”是在多年取证实践的基础上，结合来自一线的取证需求，参考国际上流行的取证硬件，设计的一款高度集成的的便携勘察取证专业。该瞄准当今计算机发展的最新潮流，面向司法取证领域的取证难题，采用了全球最快的硬盘技术、最全面的计算机取证分析技术和最易用的取证技术。该采用了物理

27、只读技术，相比驱动只读技术，可以更提供符合司法要求的数据保护功能。同时该在单一内尽可能集成了多种只读接口，可以提供硬盘、U 盘、卡等数据保护功能。可以简化现场取证勘察工作，帮助勘察取证更快更进行取证勘察工作，有助于规范勘察取证流程，实现取证分析工作的标准化。主要特性：硬件设计。ll CPU：英特尔 I7 2630QM 2.0GHzl 主板：Intel® QM67l 内存：8G 内存（4G 1066MHz DDR2 ×2）l 硬盘：128G SSDl 显示器： 10.1触摸屏，可调整可视角度，可180 度旋转收纳，分辨率1024*768。盘石, 2015页码：17物证鉴定配置

28、方案书版本：<3.0>盘石, 2015页码：18物证鉴定配置方案书版本：<3.0>l 内置双千兆网卡，可以进行高速网络固定和分析。l USB 接口：USB3.0×2，USB2.0×2l 其他接口：VGA 接口×1，接口×1，串口×1速度支持 36GB/分钟，使用 SATAIII 接口的固态硬盘实测速度超过 20G 每分钟，l机械硬盘实测速度超过 10G 每分钟。l 真正物理只读设计，杜绝由于驱动导致非只读问题。l 只读接口类型：l 内置 1 个只读盘仓，1 个读写盘仓，均为 2.5/3.5 英寸自适应，标准厚度及超薄自适

29、应。盘石, 2015页码：19物证鉴定配置方案书版本：<3.0>内置 1 个 SATA/SAS 只读硬盘接口，1 个 SATA 读写硬盘接口，通过数据线连接硬l盘内置 1 个 USB 只读接口及 6 种不同类型卡只读接口，原生支持SD, MS,lCF, M2, TF 和 XD 卡，通过卡套支持 miniSD, RS-MMC 等类型。内置 68 针 SCSI 只读接口，原生支持 68 针 SCSI 硬盘，通过转接卡支持 50 针、80l针 SCSI 硬盘。内置 1 个 eSATA 只读接口，1 个 eSATA 读写接口l内置多种只读接口，涵盖 SATA、SAS、USB、多功能。l可以

30、完成 1 对 1、1 对 2、2 对 2、3 对 3 等多种方式的，过程中原始硬盘l始终只读。可以通过扩展增加四个硬盘只读接口。l盘石, 2015页码：20物证鉴定配置方案书版本：<3.0>l 多种格式，支持 100%（位对位）、或者“证据”硬盘或者 U 盘上的Linux DD 镜像（工业标准）和 E01 镜像文件（EnCase 取证文件格式）。可以自定义 Linux DD 的分片文件大小。l 任务中断/恢复（断点续拷）：中断当前的任务，自动保存任务进度，并支持任务继续。电源盘仓及前置硬盘接口，确保源盘与目标盘的供电安全。ll 内置国内最取证分析SafeAnalyzer，功能涵盖各

31、类文件系统的文件提取与删除恢复、QQ 的与模拟登陆获取删除的、介质内操、中文搜索、其他聊天分析、上网分析、邮件分析、日志分析、表分析、哈希分析、时间线分析以及各种数据恢复功能。盘石, 2015页码：21物证鉴定配置方案书版本：<3.0>l 内置国内最计算机SafeVM，可以将取证镜像文件或者外接的硬盘模拟为虚拟机，在虚拟机环境下进行启动，取证调查可以以交互的系统用户的角度直观的检查和操作目，收集相关证据。支持各种接口类型的介质及各种格式的镜像文件，支持多虚拟机管理，支持以 SCSI 方式加载磁盘，支持 MacOS 10.5 以及之后版本的， 支持各类 windows 系统， 支持绕

32、过windows 用户，支持修复开机蓝屏，支持 windows 免激活，支持各类 Linux系统。配件：l SAS/SATA 数据线 ×2l IDE 转 SATA 套件 × 1l IDE 电源线×1l E-SATA 数据线×1l 电源适配器×1l 手写笔×1盘石, 2015页码：22物证鉴定配置方案书版本：<3.0>l 用户手册×1l 无线套装×1l 拉杆式便携箱×1光盘×1l3.1.3 盘石 1 对 3 光盘机盘石 1：3 光盘机专为光盘取证所设计，支持一对三，支持盘片格式有： D

33、VD-ROM 、 DVD-、 DVD-R 、 DVD-Audio 、 DVD-RAM 、 DVD-RW 、 DVD+R 、DVD+RW、DVD-R、DVD-RW 等规格。其主要规格如下：显示方式 LED 液晶面板显示l写入模式 自动侦测(DAO,TAO)l功能模式 直接刻录模式,模拟刻录模式,擦除光盘,母片纠错测试，安全刻录模式,比对刻l录碟片,系统功能设定。操作方式 脱机拷贝,多键式触控面板l性能：不需接计算机只需插上电源即可使用。操作简单,拷贝完成后碟片自动弹出。l采用 IDE 接口，刻录 DVD-R/DVD-RW 只需 5-10 分钟,可同时4.7GB DVD-lR/DVD-RW 光盘

34、1-2 张。支持目前所有格式。l液晶面板全程显示，声音提示。l具有直接刻录，盘片检测，刻录功能。l盘石, 2015页码：23物证鉴定配置方案书版本：<3.0>3.1.4 盘石 SafeImager 现场计算机取证系统SafeImager 不仅可以用于现场取证及勘察，在处理阵列系统和不拆机的问题是很选者，通过 U盘及光盘启动对象计算机后可以将数据完整的成镜像供后期分析。同时，在取证工作中还是会涉及到现场的数据，因此该是必不可少的。计算机现场取证系统（SafeImager）由可以启动的光盘/U 盘、外接的数据。使用 SafeImager 光盘/U 盘启动对象计算机或者在对象计算机上直接

35、运行 SafeImager 应用程序，可以快速有效地获取对象计算机上的数据，保存到外接的数据中。SafeImager 获取的数据可以在各类数据分析（例如 SafeAnalyzer、MedAnalyzer、Encase、FTK、Smart 等）中使用，并可以在获取数据的过程中计算数据的摘要，作为数据完整性和有效性的证明。SafeImager 由两个功能模块组成：离线取证（Offline）和在线取证（Online）。使用 SafeImager 光盘/U 盘启动对象计算机，获取对象计算机数据。在不改变对象计算机数据的前提下，SafeImager 提供简洁易用的的操作界面，确保硬盘位对位的准确率，保证

36、对象计算机的硬盘数据没有任何的改变，提供现场快速获取和介质分析的功能。SafeImager 支持 Unix/Linux/*BSD/Windows 等多种操，具有轻便、适合现场应用的特性。离线取证的主要功能如下：l 实现对象计算机的硬盘数据镜像，生成盘，同时生成数字摘要。盘石, 2015页码：24物证鉴定配置方案书版本：<3.0>盘和原始盘具有完全一致的数据。对盘的数据分析，具有和对原始盘数据分析同样的效果。通过启动盘，模拟对象计算机本地环境。实现对象计算机的硬盘和分区数据镜像，生成 DD 格式、AFF 格式的镜像文件，同l时生成数字摘要。DD 格式的镜像文件具有和硬盘一样的结构，是

37、对硬盘数据的按位，保证数据一致性，是目前法律上认可的数据镜像格式。AFF 是高级取证格式，用来保存磁盘镜像和相关取证的可扩展的开放格式。使用 DD 格式、AFF 格式的镜像文件，可以在各种取证系统中(SafeAnalyzer、 Encase、FTK 等)直接加载和分析。实现对象计算机中的硬盘和分区进行数字摘要计算，文件的数字摘要类似于人的指l纹，只有内容完全相同的文件具有相同的数字摘要，便于验证。实现对象计算机中的特定目录或者文件进行。可以选择需要的。lSafeImager 在的同时可以生成每一个文件的数字摘要。对取证硬盘进行擦除操作。l在线取证的功能如下：在目运行的情况下，对目内部的数据如内

38、存，临时文件等进行取证。同时由于现场的复杂性，有可能无法对目进行离线取证，可以通过在线取证系统进行取证。由于在线取证需要运行在目标系统的操作环境，所以可能会对证据有效性有所影响，须要配合拍照、摄像等保持证据力。产品特性如下：l 不拆机箱的数据获取l 光盘启动/程序直接运行盘石, 2015页码：25物证鉴定配置方案书版本：<3.0>可以获取整个硬盘、分区、目录和文件等各个级别的数据。l在线获取支持获取系统运行、内存和常见应用程序。l支持 IDE、SATA、SCSI、RAID 等各种硬盘和数据架构l支持各类文件系统，：FAT、FAT32、NTFS、EXT2/3、UFS、XFS、HFS、

39、JFS、lMINIX、HPFS 等数据获取速率最高可以达到 6GB/分钟（限 eSATA 接口）l获取的数据可以使用 SafeAnalyzer、Linux、WinHEX、Encase、FinalData、FTKl等各种取证工具进行分析现在的所有操作进行日志l对证据数据进行完整性保护，不破坏现场数据l在数据的同时生成 MD5 或 SHA256，便于事后校验l所有操作采用图形化的向导界面l操作过程动态显示，获取过程一目了然l提供快速操作，简化现场工作l3.1.5 摄像机松下 HDC-HS000GK初检时，通常会对检材进行拍照，必须是还会对检验过程进行录像。因此，摄影和摄像器材在初检区域也是不可或缺

40、的。本方案推荐使用佳能松下 HDC-HS900GK 高清数码摄相机, 915 万像素/12 倍光变/硬盘式 220GB 硬盘/3.5 英寸宽屏 LCD/Dicomar镜头，完全满足了鉴定工作的需要。都是以文件格式保闪存卡内，方便随一起归档管理。相机如下：页码：26物证鉴定版本：<3.0>3.1.6 照相机佳能 EOS 60D （18-135/3.5-5.6IS）单反套机，该相机具有高达 1800 万像素的感光芯片，足可以拍清电路板上的某个的型号，同时，其具备高清摄像功能，可以录制 1080P格式的 AVI，完全满足了鉴定工作的需要。都是以文件格式保闪存卡内，方便随一起归档管理。3.

41、1.7 屏幕录像屏幕录像是一款专业的屏幕录像制作工具。使用它可以轻松地将屏幕上的作过程、网络教学课件、网络电视、网络、聊天等录制成 FLAS、WMV 动画、AVI 动画或者自的 EXE 动画，也支持摄像头录像。本具有长时间录像声音完全同步的能力。本使用简单，功能强大，是制作各种屏幕录像、教学动画和制作教学课件的首选。基本功能如下：l 支持长时间录像并且保证声音同步。(V3 V3.5 V5 V5.5 V6 等以前的旧版本声音同步有问题，请使用最新版)。在硬盘空间足够的情况下,可以进行不限时间录象(只有V7.5 版有此功能)。l 支持摄像头录像。支持定时录像。盘石, 2015页码：27物证鉴定配置

42、方案书版本：<3.0>录 制 生 成EXE文 件 ， 可 以 在 任 何 电 脑 ( 操为lwindows98/2000/2003/XP/VISTA/WIN7 等)，不需附属文件。高度压缩，生成文件小。录制生成 AVI 动画，支持各种压缩方式。l生成 FLAS，文件小可以在网络上方便使用，同时可以支持附带声音并且保持l声音同步。录制生成微软流媒体格式 WMV/ASF 动画，可以在网络上。l支持后期配音和声音文件导入，使录制过程可以和配音分离。l录制目标选取：可以是、选定窗口或者选定范围。l录制时可以设置是否同时录制声音，是否同时录制鼠标。l可以自动设置最佳帧数。l可以设置录音质量。

43、lEXE 录像自动扩帧功能，更加平滑,即使是 1 帧/秒也有平滑的效果。lAVI 扩帧功能，可以制作 25 帧/秒的 AVI 动画。l鼠标点击自动提示功能。l设置 EXE 录制时各种参数，比如位置、大小、背景色、窗体、时间等。l支持多节 EXE 录像。录像分段录制好后再多节 EXE，时可以按循序播l放，也可以某一节。后期编辑功能，支持 EXE 截取、EXE、EXE 转成 LX、LX 截取、LX、AVIl、AVI 截取、AVI 转换压缩格式，EXE 转成 AVI 等功能。支持 EXE 录象加密和编辑加密。加密后只有才能够，编辑加密后l不能再进行任何编辑，有效保证录制者权益。盘石, 2015页码：

44、28物证鉴定配置方案书版本：<3.0>l 可以用于录制作、长时间录制网络课件、录制QQ/MSN等聊天、录制网络电视节目、录制片段等。3.2证据检验鉴定分析平台3.2.1 盘石 SFP201 计算机取证分析平台本方案推荐使用盘石 SFP 计算机取证分析平台。本平台的优点在于集成多种硬件高速只读接口，例如支持 SAS/SATA 硬件只读的硬盘仓，可以支持多块 3.5 硬盘或者多块 2.5盘。本方案中涉及到的型号为 SFP-201 平台的配置如下：l 单排塔式机箱l SATA/IDE/USB 一体式只读接口，SCSI 只读接口l 置顶 2.5/3.5 SATA/SAS 热拔插读写仓盘石,

45、 2015页码：29物证鉴定配置方案书版本：<3.0>l 4×3.5 SATA/SAS 热拔插只读仓，4×3.5 SATA/SAS 热拔插读写仓l 4×2.5 SATA/SAS 热拔插只读仓，4×2.5 SATA/SAS 热拔插读写仓l USB/PS2/多功能只读l Intel Xeon E5-2620×2/32G ECC 内存/120G SSD+6T 硬盘l 双千兆网卡/HD7850 1G DDR5 显存/蓝光 DVD RWl 最高速度 24GB/Min*8l 支持 E01/DD 等多种镜像文件的“一对一、一对多”获取和网络l 2

46、3 寸戴尔显示器*33.2.2 盘石取证分析平台（工作站版）系列检验，专为各类系统定制。硬件主体为 MacPro四核高阶桌上型电脑， 配有 Apple LEDCinema Display 27 英寸光面宽屏显示器。组成SafeImager-Mac 盘石计算机现场取证系统、MacForensicsLab Write Controller写保护工具、MacForensicsLab 取证分析工具、MacLockPick 多平台在线取证工具。电脑现场取证系统（MacLockPick）支持 Mac OS、Windows、以及 Linux 等操作系统，是一款跨平台在线取证工具。该系统是专为计算机取证面设计，可以快速有效获取如操、用户行为和历史等详细。通过使用插件的架构方式，系统可以根据用户对不同的需要而自行配置。盘石, 2015页码：30物证鉴定配置方案书版本：<3.0