电子数据取证鉴定试验室建设项目方案说明书

1、电子数据取证鉴定实验室建设项目方案书目录第1章技术和工作基础61.1 公司介绍61.2 某公司产品介绍61.2.1 某现场计算机取证系统(Safeimager) 离线取证 在线取证 产品特性 Safeimager增强型101.2.2 某手机取证分析系统(SaeMobile)111.2.3 某介质取证分析系统(SafeAnalyzer)131.2.4 某易载镜像助手(SafeMount)221.2.5 某计算机仿真取证系统(SafeVM251.2.6 某可视化数据分析平台(IDVP)271.2.7 某实验室管理系统(LIMS)311

2、.2.8 某计算机现场取证勘察箱(SafeSuite)331.2.9 某计算机取证分析平台(SafeForensicPlatform)351.3 取证专业培训35第2章实验室技术规格和要求372.1 公安部对鉴定试验室的能力要求372.2 实验室装备功能要求392.3 实验室的区域设置402.4 实验室的管理412.4.1 实验室域管理环境412.4.2 流程管理422.4.3 安防设备42第3章实验室设备配置规格说明433.1 数据的固定设备433.1.1 证据数据完整性的保护4 某只读接口套件4 Solo-III高速多功能复制机套件4 某1t

3、o2光盘复制机4 数据完整性校验值计算软件493.1.2 证据数据原始性的保护4 摄像机4 照相机4 屏幕录像软件493.2 本地数字化设备非运行状态下的数据提取503.2.1 独立存储介质的数据提取503.2.2 镜像文件加载软件503.3 不可独立访问存储介质的数据提取503.3.1 Safemobile手机取证系统介绍503.3.2 磁存储介质物理数据提取5 SafeDisk硬盘检测、解密和固件恢复系统5 无尘工作环境513.3.3 光存储介质物理数据提取5 光盘修复机/清洗机

4、/软件533.4 本地数字化设备运行状态下的数据提取543.4.1 运行状态下数字化设备上的数据提取5 某仿真取证系统（SafeVM5 Rainbow-LmHash.5 某现场取证系统（SafeImager）543.4.2 运行状态下数字化设备网络通信数据的提取5 wireshark543.5 远程数字化设备的数据提取553.5.1 远程数字化设备存储处理的数据提取553.5.2 远程数字化设备运行状态数据提取553.6 数据的发现563.6.1 某介质取证分析软件（SA）563.6.2 R-Studio介绍563.7 数据的解密

5、与解码583.7.1 加密数据的解密：Elcomsoft密码破解套件583.7.2 结构化数据的解码593.8 数据的分析593.9 程序功能的黑盒分析603.9.1 程序功能的静态分析：IDAPRO（专业版+反编译）603.9.2 有害程序搜索软件613.10 实验室环境条件613.10.1 基础环境和设备条件613.10.2 数据发现提取固定基础条件6 证据数据存储设备6 物证存储柜6 本地数字化设备检验专用主机（取证分析工作站SFP-101）.6 远程数字化设备检验专用主机6 物证封存袋、封存条64

6、3.10.3 程序功能检验基础条件643.10.4 实验室管理条件643.11 实验室附属设施64第4章实验室建设项目工程实施654.1 项目实施概况654.2 项目实施甘特图65第5章技术培训和支持665.1 技术培训665.2 技术支持665.2.1 保证期服务计划665.2.2 保证期后服务计划67修订记录2.12009-6-26某数码2.0版本上修改了文档风格和格式第1章技术和工作基础1.1 公司介绍某软件(前身“上海某数码信息技术有限公司”)成立于J*Hk2002年，专业从事网络安全和计算机取证产品的研发和服务。2004年4月，随着专业取证技术的发展，计算机取证产品的研发和服务即成为

7、公司的主要发展方向。某公司的取证技术人员曾多次参与针对公安技术人员的全国性的培训讲解，和公安信息网络安全保卫部门建立了良好的沟通关系，提供专业的取证产品和技术服务，在一些新的技术领域和案件上提出自己的见解并参与到实际工作中。在计算机取证研发和实践过程中，某公司对国外电子证据鉴定实验室的建设也十分关注。参照国外实验室的框架我们为公安部、上海、等地的实验室提供了建设方案，并参与公安部十一局、省公安厅、省公安厅、上海市公安局等各地电子证据鉴定实验室的建设和装备提供。某软件的企业文化:企业愿景：成为具有世界水平的电子取证技术专业公司企业目标：高度专注于电子取证领域的软件开发与技术服务核心价值观：为社会

8、、客户、员工创造共同价值企业口号：发展安全、专注取证、坚如磐石质量方针：持续创新、技术领先、品质卓越、专业服务1.2 某公司产品介绍1.2.1 某现场计算机取证系统(Safeimager)某计算机现场取证系统(Safeimager)由可以启动的光盘/U盘、外接的数据存储设备构成。使用Safeimager光盘/U盘启动对象计算机或者在对象计算机上直接运行Safeimager应用程序，可以快速有效地获取对象计算机上的数据，保存到外接的数据存储设备中。Safeimager获取的数据可以在各类数据分析软件（例如SafeAnalyzer、MedAnalyzer、EncaseFTKSmart等）中使用，并

9、可以在获取数据的过程中计算数据的摘要，作为数据完整性和有效性的证明。Safeimager由两个功能模块组成：离线取证（Offline）和在线取证（Online）。 离线取证使用Safeimager光盘/U盘启动对象计算机，获取对象计算机数据。在不改变对象计算机数据的前提下，Safeimager提供简洁易用的的操作界面，确保硬盘复制位对位的准确率，保证对象计算机的硬盘数据没有任何的改变，提供现场快速获取和介质分析的功能。Safeimager支持Unix/Linux/*BSD/Windows等多种操作系统，具有轻便、适合现场应用的特性。离线取证的主要功能如下:实现对象计算机的硬盘数据

10、镜像，生成复制盘，同时生成数字摘要。复制盘和原始盘具有完全一致的数据。对复制盘的数据分析，具有和对原始盘数据分析同样的效果。通过启动复制盘，模拟对象计算机本地环境。实现对象计算机的硬盘和分区数据镜像，生成DD格式、AFF格式的镜像文件，同时生成数字摘要。D曲式的镜像文件具有和硬盘一样的结构，是对硬盘数据的按位复制，保证数据一致性，是目前法律上认可的数据镜像格式。AFF是高级取证格式，用来保存磁盘镜像信息和相关取证信息的可扩展的开放格式。使用DD格式、AFF格式的镜像文件，可以在各种取证系统中（SafeAnalyzer、Encase、FTK等）直接加载和分析。实现对象计算机中的硬盘和分区进行数字

11、摘要计算，文件的数字摘要类似于人的指纹，只有容完全相同的文件具有相同的数字摘要，便于验证。实现对象计算机中的特定目录或者文件进行复制。可以选择需要复制的Safeimager在复制的同时可以生成每一个文件的数字摘要。对取证硬盘进行擦除操作。 在线取证在目标系统运行的情况下，对目标系统部的易失数据如存信息，临时文件等进行取证。同时由于现场的复杂性，有可能无法对目标系统进行离线取证，可以通过在线取证系统进行取证。由于在线取证软件需要运行在目标系统的操作环境，所以可能会对证据有效性有所影响，须要配合拍照、摄像等手段保持证据力。在线取证目前支持Windows2000/XP/2003平台。在

12、线取证的主要功能如下:导出系统信息：导出运行系统存中的47类易失信息，分为3个大类：操作系统信息、密码信息和上网记录。存信息复制：对对象计算机物理存进行数据镜像，生成D曲式或者AFF格式的数据镜像文件在线硬盘复制不关机情况下对对象计算机的硬盘进行数据镜像，可以硬盘克隆、生成DD镜像文件和AFF镜像文件。在复制的同时可以生成数字摘要。在线分区复制不关机情况下对对象计算机的分区进行数据镜像，可以生成DD镜像文件和AFF镜像文件。支持各种虚拟分区软件（如PrivateDisk）创建的虚拟分区的获取。在复制的同时可以生成数字摘要。 产品特性不拆机箱的数据获取?光盘启动/程序直接运行?在不

13、拆机箱的情况下对证据计算机的证据硬盘进行数据获取，可以获取包括整个硬盘、分区、目录和文件等各个级别的数据。?在线获取支持获取系统运行信息、存和常见应用程序密码。?支持基于IA32架构的笔记本、PC和服务器?支持IDE、SATASCSI、RAID等各种硬盘和数据架构?支持Dos/Windows文件系统，包括:FATFAT32NTFS?支持常见的其它文件系统，包括：EXT2/3、UFSXFSHFSJFS、MINIX、HPF骈?使用USB2.0/1394A/1394B接口，数据获取速率最高可以达到2.5GB/分钟?获取的数据可以使用SafeAnalyzer、Linux、WinHEXEncase、Fi

14、nalData、FTK等各种取证工具进行分析规化操作?现在的所有操作进行日志记录?对证据数据进行完整性保护，不破坏现场数据?在数据复制的同时生成MD5合希，便于事后校验简单易用?所有操作采用图形化的向导界面?操作过程动态显示，获取过程一目了然?提供快速操作，简化现场工作 SafeImager增强型考虑到关机时采用复制机会有效地提高现场数据获取的速度，我们提供了增强型的计算机现场取证系统，置便携式高速硬盘复制机。复制机支持IDE、SATA2.5寸硬盘的直接复制，且可以将IDE/SATA硬盘接口做为只读接口使用。复制速度最高达到4.5G/分钟。1.2.2 某手机取证分析系统(Safe

15、Mobile)针对手机的取证和传统的数据取证有很大不同，手机数据一般都保存为私有格式，不同厂商，型号和系统都会有所不同。某SafeMobile手机取证分析系统采用统一的界面获取各种品牌手机中用户输入的数据和部分设备的未分配存储区域，并进行取证分析。该产品得到科技部2007年度火炬基金支持，并通过认证。SafeMobile系统特性：支持GSM/CDMA机，包括：摩托罗拉、诺基亚、西门子、三星、索爱、联想、夏新、飞利浦，天语、多普达、联想、步步高、七喜、UT斯达康、OPPO海尔、波导、TCL酷派、OKWAP港利通、天语、海信、明基、长虹、友利通、GT佳通、CECT技嘉、大珑、爱肯、ZTC中大、大显

16、、亿通、创维、普莱达、奥丁、天时达、万利达、华立、唯科、侨兴、纽曼、桑达、康佳、恒基伟业、华禹、倚天、金鹏、德赛、万事通、新邮通、宏康、盛泰、明腾、IDOTSD埃立特、普天、振华欧比、互通、高新奇、魅族、南极星、汉泰、福日、汇讯、三巨网、东信、首信、金立、唯奥、广信、邦华、晨兴、高科、宝捷讯、众一、嘉源、国信、金正、HKC百迪宝、兆讯达、骏域、深爱、权智、高斯贝尔、赛洛特、亿城、友信达、中恒、联创、新中桥、科诺、知己、雅讯达、天元、宝码、乐华、中讯天创、奥克斯、VOSIA奥翔、都宝、FIC大众、绿力、中宝、屹东、摩西、琦基、艾美讯、OQO爱国者、特灵通、赛昂星、齐乐、盛隆、吉事达、爱我、奥乐、

17、科健、厦华、熊猫、南方高科、大唐、托普、迪比特、浪潮、中桥、数源、紫光UNISNEO奥盛、Beluga、科盛通信等多个品牌2000多款手机，型号还在不断增加中；支持中国市场使用的所有SIM卡，如全球通，M-ZONE神州行，世界风，Up新势力，如意通，Uni,宝视通，各种CDMASIW;国产手机的支持MTK平台、展讯平台对智能手机的支持Linux平台、WindowsCE手机/SIM卡本、通话记录、短信、设备信息和文件的获取；支持对手机/SIM卡删除短信的恢复；MTK平台物理获取，主要针对手机里的存储器，通过硬件工具对手机字库进行备份，根据特征搜索镜像，获取用户数据信息，包括删除记录；手机连接方式

18、支持：数据线、红外、蓝牙提供灵活多样的搜索方法，支持多编码格式同时搜索；书签功能灵活强大，能更好的帮助分析数据；即时提供的报表预览功能，一次性生成可打印报表，降低取证分析人员的劳动强度；文件预览功能可查看十六进制数据，方便高级取证分析人员进一步分析所得数据支持设备校验，防止在文件移动过程中发生意外；工作平台为Win2000及其后续版本。1.2.3 某介质取证分析系统(SafeAnalyzer)SafeAnalyzer为执法部门提供全面、彻底的计算机数据分析、检查能力。具有强大的数据恢复、过滤、分析、查找和报告功能，并提供简单易用的操作界面，是当前电子数据取证分析的首选工具。目前产品的已经达到国

19、际先进水平，符合司法取证的需求。该产品是ENCASE/FTK/Winhe筹分析软件的全中文替代品。更加符合中国用户的使用习惯。在部分功能效率上超越了国外产品。获取镜像生成MD5合希校验值，并可随时校验；导出文件可以同时计算文件的MD5合希；分析过程有详细的审计日志，便于案件的审查复核工作立rrrTMTf折51WillVJ科比I!CH槌t口n6FKG,.P,.,JJ.W，除工*才IlTl-IKlfi.凡山ULHE*.-(9DOOOQOaaoalc-I8!,ijiK.r.KXajUi工：lhEil!(iIIftli/lNUJjbjjbiIr=DQ13QCQ口口K&C-iji:.jiVEB-iiij

20、f1A*II;8-U1I*-JDtl建B.W-flflGfl.irixTvi,a-rmd1A.i.rmSkerf1119Hli*|r*,ti-3s-fii&!“心口白+MBFI,。但：J7wcHiH弓I胃口inibj,-trpgnq：g4JIbeQCLBiVFjrqap”7LC1日10dii-t-匚.皿口型日na：r-T!JUHEfiJcHLtE!dd.aT:0i乙enr可ridFnir-rzggr-F-HiH:睢曰tit|a;00口LB曰1JIT!CI占口超ta期S7.二口twZL：m川F曰L3rrf口匚才年7H；p1,rna.小回一q；aBlo口口tci十口彳白,川！0目r口J3TjqrM

21、-rri：iaq.，工l口？E-|：B.iREiM,R1HaArR3TJIC3.Hg口UTLt-门儿r二rnck4di3tabad七E白氏r:.ll:ll;Lf!.L;k.r*9&eur/.BNM-ui-5J31Y-1Jfl3en-VBAFa-rE43TC-3-O4-1OBfcL(：.-.J-M-3I.皇*.d32x-tLaa-,euqe|i0*mbaiiPi?J2iLpDHSltTQd却an，m，.I1”由门aaa3OU:1EI:3)HixNOFro-rHTJFiqt-ih.!，自fri-s-n6.15-ttvd耳H号叶，HM同向l-l1&tlL4kncwB-qserr!-!Iil一U_40

22、口1,月口口JU：IkT一hewwlslSjflSod：oei：naliE*4口！-用eTT支持计算机存储介质直接分析，及支持DDAFREncase格式镜像文件的分析，对其进行只读访问，不破坏原始数据；支持MBRGPT(Vista)分区方式，可以直接运行在Vista中；自动进行系统分析，包括系统安装时间，操作系统版本，用户信息，网络配置信息，安装的程序，最后运行时间等，并可以选择性地纳入案件报告；灵活的时区支持及管理，允许勘查人员为每一个证据文件、每一个卷或每一个案件指定时区设置，解决了所分析的介质使用的时区设置与调查人员所用时区设置不同的情况支持图库预览功能；提供文本、十六进制、缩略图、预览

23、等文件查看方式；自动编码识别：支持文档文件的编码自动识别十六进制解析：类似WinHex文件过滤：系统缺省和自定义的过滤功能，并支持多重过滤；时间线分析：通过设置时间区域，建立该区段修改、访问、创建的文件时间线，方便定位案件相关文件；删除恢复：文件系统中删除恢复、特征恢复；可恢复高级格式化磁盘的文件，可判断出交叉覆盖文件；具有高性能的关键字搜索功能、支持多关键字同时搜索而不明显降低效率，支持搜索前过滤，提高搜索效率；关键词查找：各种编码格式的关键词查找，支持正则表达式可忽略大小写，关键字支持GB2312UTF7UTF8UnicodeUnicodebig-endian、Base64Big5编码；基

24、本信息：方便取证人员对操作系统环境有个整体上的认识，能够提取的的信息包括(操作系统信息、时区信息、网络配置、安装软件、服务列表、共享信息、用户信息、USB设备使用记录、硬件信息等)；注册表分析：察看Windows的注册表文件，可根据系统缺省和自定义的注册表项目，快速定位浏览；We阴析：查看目标机器的浏览器历史、缓存记录、Cookie信息和收藏夹等，支持被清除历史、缓存记录的预览和获取功能，支持IE、Firefox、Opera、Chrome浏览器；分析：查看对象计算机客户端，包括收件箱、发件箱、已发送、草稿箱、废件箱等，支持的客户端有foxmail、outlook、outlookexpress,

25、还支持对web的分析获取，目前支持的web有：Tom126、163、QQYahooSina等；即时通讯分析：提供快速提取QQMSNSkype、淘宝旺旺、雅虎通、飞信、ICQ聊大记录、好友列表以及语音记录，并包括删除QQ子友号；回收站分析：解析放入回收站的数据信息，及从回收站删除的数据信息；事件日志分析：快速提取分析对象计算机事件日志；打印缓存：搜寻系统中存在的具体SPL和SHD文件，取出相关信息和EMFt件，还可搜寻未分配簇取出未被覆盖的EMFC件；下载软件：针对FTP下载工具和P2P下载工具进行分析，主要是获取下载的任务队列以及站点用户的信息。支持FlashFXP,CuteFTP,LeapF

26、TP电驴，比特彗星，超级旋风，快车，Vagaa等；复合文件分析：可以查看含有其它文件的多层组成的文件。能够在层级查看那些文件；校验文件特征：用以校验出目标文件属性是否更改；报告生成：根据用户添加的书签和备注信息，生成案件报告；全中文界面，系统简单易用。主要特性详列：事件日志：日志文件中的记录可提供以下用途：监控系统资源、审计用户行为、对可疑行为进行告警、确定入侵行为的围、为恢复系统提供帮助、生成调查报告、为打击计算机犯罪提供证据来源。提供了快速分析事件日志，提高取证分析的效率；g*l=i=W口；1IhFFDhn直nTnbg”r|lIIannvl%UEd0*hw|蓟也fiK4i-!UJsr-iL

27、WU-1：剧间一k制.mllgilMIITi噂伍0ZktWEEL-*r理学甲龄国甲上o#a工口号号&0日早f痴H口口口口口口！：口口口口|口口口口口口口.HLXl?fl国Hfld弓啊flHfl月O-IH.I3口i7r日口日口日1-1日FI日门日日日日日nHDIHEFTIU3M3amvrE31FTKqh-L-7-lEThe54餐。fLqaeH1-ii-ffarhL-SnrSTtrf5vir”FE，ILSEfTMe-7*h】ri1MlPsqa-I*HFCLVUg81H.i17-.，a3miirlliwBVMIBl-ilmi1tlM4bBH-amJ造t.*-tT.*tT*T全工无C:Ewf厚量蓝皿器

28、器器，风r%*|4&县匕工鸟而k-Awll.R.ftMiialwn.AwmKnA1，I*l色:匾_LitRKi1m短/1.咖，也：|3H电:皿49*3-L0UbL&3Mc审I1蟀WFPL1M口阳*口，P白!电喊rmEMEMcminrit.回事.2M3中中？h|H吊FTmyw型qw10I7TI!“y|1七33r彳:刎“口叱，JU山3W“Y5Tm172Qi0f233M3WXi：WLIRVAM.J_fir脚炖牌d.椎H4iAf4DJSjR0Vlli|milk记不木串w豆茶场h一个口tk番林:一r隼的注拙冉也由B赳比。电ilaM上:HntIQJ12*4dI1QR：*LgdU儿ftl*ai吟ktB:IE

29、MIQIda晨AN3量ftWH4,-t-WB任.nrtOWN”uifi，鼻1UliXaHdbntlfvorIB：MbII工Hip-*Bri4lTUX*?，加弊分析：类似客户端方式进行查看中的容，包括收件箱、发件箱、已发送、垃圾、以及联系人等；目前支持的客户端有foxmail、outlook、outlookExproler；il/i优”SffilAq.)*也)lABUi触脚-口修丹t-.口口rqj；+,口na”iFrff.中iQril口d!,*,.fiLJ2*3*-口日gUT砧ft*A寸时弹T-QUVMr口二丰且工卢trnan-CB#口01通at-rU介AZZW居EEi:上节tCRtt*#口WM

30、号,匚-5-nlV+KBAfE口口Wi,nvim匚口G1nui口鼻cna句力痔费卡wJHUWfSt理面尚E注EB门事ihctoJi：DtmCMJaa；一*2-*口哂钿H:JH1.11.fihTFi*K-iJaa|事FtmIhriJia口事板3：*i*-*0.口铀工中，去11%曲惠!)，彳总文N用白屿方口.*11国干t口.制电子“*Ted口心千T34Sr4-il|fIJiQlir-AlUFt奥野口鼻珏宜*人好*1即口”星师TLR产1,”742”“F*p口目由小1，,*tLiipjciiipmafc4tlcipx*wi4p*Lr尸一|l：3|13ahpnFntqfTuLhA41b曲山NeI-ipr

31、luavianejulV1JR.-UIkTirpulhG4pua-iiinrpul|*-iniijE三二三三三anMB率iHJllQ日3E?法刖啊才的叫界If4二，通4T.M汨5W50HV4；旧!=5IaoowtHAsaB：，用幽射鼻拈曰：二:UaPTlUlR31E3sa1?.用年TH二旧口九蝎党JiXMSiM鹫旧nIBJ(SKHftiOAsEI绻:如EBRM事讨事制日H力他%9川区刎日H州1B酬期事mGii白拈.3ES39HS|QlinH*33艮(K日石疆土桩MIL|Q修酊4”的#11月:旧出*M工dbh工是花演场常壮也3WS11函电-”bw?T*4149tFW433WSIfw-fl334n

32、h5KJFvVJl-*T*tfs-bVBUBMinrtsTw-Eri皿mrrww曲卿MU，1F胆ea即tw收制n次.HK-B*d事#i5青帽*fflA说MrtADh4fnris4vl-0Kfe4l*a*1RI人iflvHMv*f!I*IJHVirpMV日.2iMC7H2IHI1Oil1己任UJt*TieMH5-44C-三金/L:CHft2-dvktalvEJv4paunfc.rnm-gtLJdl口田。需咂幽收内人于M，辑SITPifllYlP.IKKE晶第安-.PKxzkw-ZI?.pK-ra-viep-avfti,nt:pSIrarry,-8Jtisaxn|J!ll1MdH/*)LM.ITt

33、&宜已包m口6力*lmi.fci!d#.t7TfiJi0险，即时通讯：对不同的信息存储格式进行解析，提供快速提取QQMSNSkype、淘宝旺旺、雅虎通、飞信、ICQ聊天记录、好友列表以及语音记录，并包括删除QQ子友号的恢复;下载软件：针又tFTP下载和P2P下载工具进行分析，主要是获取下载的任务队列以及站点用户的信息。支持FlashFXP,CuteFTP,LeapFTP电驴，比特彗星，超级旋风，快车打印缓存：搜寻系统中存在的具体SPL和SHDt件，取出相关信息和EMFt件，还可搜寻未分配簇取出未被覆盖的EMFt件LiA.fiUkdiJXECdt调;I-a#it）TMsxiy帐出现酎吧超的5.Q

34、立国H旧L啮建2以工匚.*IKEtCEU-r口/L；WWW|Qjp-ilriitaGv.laHeJilA，匚口4rDFEEi一口，W干口口*_口口”口-,口口I：口鼻L口口14，门KECIZLO.HklEfiiMValmLlhl旧，Vix1aag杷mrJ-khl映口舌出文六LLIU青典”_仃石童3而淅fin.,打晴任琴TEimmSPL,因二#城.口口打淮。工网+虐HKei刘飞*Ejpn又切计皙白用；心外二）|旗屈匚执亘_ffTF丁囊W创曼注1科WIT闭【量6证目内印*/JE&L2Fuiew里.号最做.勺WE野本”广.*=到1口看“而注仆了DJT7T米afcSLhgjWE卜事芯畔切I1郭胃皿店叫

35、寸：圈可以后利m.无过门厘.讣博mk展导炉近青构城.网印也用青曲U匿日莉望珏!讣耳礼死者在对共市理机上直捌卮伸,S忙；d上一印I为”可3I速月膜母FSWn+StU踊HB麻悯外片花靶？序曲设街中就件2年先彝无珀1.!I-i.印K基本信息：能够提取的的信息包括（操作系统信息、时区信息、网络配置、安装软件、服务列表、共享信息、用户信息、US殴备使用记录、硬件信息等）ntJ了滞母Tftill忡广修.UBlipBlip:.mE1一hwarirIIIitaIIhpiIlMMm-F1点4,看-u-sj-LfUruTLHiICTTtT，If!InE电.*i-HI-+3.1I:鳍&*：rirririB：jji.

36、-Twjii/ifcirsfriErlH&*百,ilFi|GaliafLFU1ifaT1Val-I4.IM&M*EJ:导石蚱OnaiarLAkiLm3lxIsJil2.(1v审.妙彦|WF*1Nnarir力Futa-E,Ifl痴F.iftAhV114werl-r(Mj-vuli!ikTI里”|2|冉J卡.】2E.W-Tdwi.-.加一%*VUFR!-1出隔在1.凌Er*：,iVj*TlTLlfe4Kf期”16I货i.二3,-:三riH1LSldiSxIKHkp,uimrf4B事73-iMKU11mr.1.1KTr-i“-*IF工BtaM!.&L.+“iui.HD.Mas：uir“Mete(*所

37、in.jl21vhiBwv|nIEfcU卒HhWe“MOuEB*Iid14i*，悼Qi:lucEli.qESidia修*U?r1WLL*目laje-il*u1口：ilH5ll:，产Ui停恃ll：OT?+lLflE-Einiri*X行E旭酗，IP用二诉144i+*a口皿皿“t!r*r10EIPJS*+n.：*|t：ir4Qlawi3tJTav:-Hl*TiLPEMBId1Al*打“JFuHr4Hinqdiv片.111rm+iiniz呼|Q.MMIBMBullMil!-事|l-d：WKJftrWIC-dR-HAVan.CHrwnc4JTrtHril.AaH-nMi-Da1*1IHJKIMII：I巾

38、aftl“：，&l*ta.liFHWfli。眄，。界H1“I，TTt卢N的Wfc甘景白UgLKIPJIWulfrr.r-rrli-rinF.ti-.回收站分析：对回U外咕INFO,INFO2文件直接分析，并解析回收站中曾经删除过的文件信息。宴件Qx3*士工口中:!三coi1tzB匚匚INlEECYTJl*：IJ七口11州*LdZlBmII-口tSafl.喉匚口逑DmheI，m!- 匚口口VEUGHie- L(ntJiRcjKinfzltz,rQLaBfi伊必CQjrr- I一5EeY*1h；r.Tr.DclOIdkInkDellInkInkE.4klAkD11j；Bc35lac1此而InkIn

39、i趾工InkClc5.LukInkDcBHl1世De?LhkInkBeBInhIniIhJE.1-I.5国厘岫H依方时讨*后曲冏酎做*0卜度忸号长篁嚏就牍2岷卸.,山揖J.州明年ceWui4096主冲U1tnna前此物.西EB则加D坪面0551ra塞等DIl.司04.眦烟2535q渤姿忸D.00!fO.er瓠.IDDOTKljKF旧第XDt.却祝IH他E卸到泊年1建咱豆n7国家回旧种,即归回：nn=i瓯日年1厂灯吊了月江sre503*忤n,国田目2ODE1.印1日和口阳年teqn百旧矫及一川标一旧wn泥的讨证时.iJDStHCe.4*篁悻品.200=tOEfl：SiW.SDDSffiHn.里冲

40、Vl.1班:1|日率|J刘|，却jiriWB喝口l州晒毛案件M.SBwJIQ出口汨1足用国至昂01E5q陋+1那tB而一.2口哈初目G!q而案件Dt.孤阚打晾较月霞膜55案件0V.比门中1.门的聿t目江3tfD3area案除M.:叩2甲工，E叫吗2口口三隼口.Ugr13DBTO1SM0i打grlF-nnffinf-2DDB%(J123JESO1230004L.UUAdlrTII间，图库预览：案件中的图片文件在图库中以图片的形式呈现，直观而富有效率。定义关键词：关键词是全局配置，对关键词作的改动会在退出时自动保存。下次运行时自动加载到系统中来。进行搜索时将根据预先定义的关键词进行搜索量料工MCL

41、理1幅鼬澳网日/.口1一用时。夫叼注莫芹，工制舟小节TSRl卡H期口！Q、一!：*i,xL-i*j国，wr-kMW15$，1A*TtiQrLKJ&AaltZxeULJ二s:二UtaBJV-9e-T4444A4A-44*4H*KETTfli；+r?0?s.n1削L_IL匚匕匚口匚匚匚匚口己匚L，口!ilLtinU&nr1UTF-TUyl，(jdoonodoW工闻加岫之用(KiiioiliinjiW51011也41/2回iHW*.04100111E11Hcijauuiii口口口rlEonWJLnBnnogEnHnLpirnnnnnUUJJL-rrrr.-Iran司EL=-=TT!匚匚口口口口匚口口

42、口口匚口口匚口匚口匚omanopgLJI_II_JLJLJI.ILJLJLJLJLJLJL-LJLJJJI匚QIZLJtZ匚口口U口口匚口口口黑目中Xh.4a9注册表：注册表面板的树有两个根节点“注册表”和“分析结果”.“注册表”节点下是这次分析的所有注册表文件，而“分析结果”是根据一个配置文件从“注册表”节点下提取出来的感兴趣的数据。句km|口I也一叠和H干卦工i菱=-塞穗箝I3产在里NriftnHL口二独*1时笄J通口-q-jvrra.iuKPfflj-由产出产+匚:一打F4期.不军事qBriri7匚ittiii行3111.1口*什*r.4s.-u.i匚ah亨iXQtffUE二-所方密IU

43、KM4lrn_jJcruEt3-1重片TEBLia事MfQ*1J-atuwI.1*.口，Ftiraiw,制T*ll*E.L;1/1.，4.串J,j武工中才上d-;.*.1步戌小身心mm葡5jn1;Ptrwr-BrirfTUui-.BLImLI第-.riwWFU3BfETUj-.bClBLTUiHU5尔和1团l3_Hri*fTifs_arTii.jiLi由Rf由l.-J|ftKTU3BCWTUv_3ImLTirimIL00OItW&r40Ml0441g埒O)y帕用i.chmH理g.幺QV.E场EEWE*EX/卬.3B4gHMBMHtf&-TanCO、*!叫4幺ODT*mUDG五TH货TfI8。M

44、Q0*5mMl辆的TS&DOBDtii404100i修4CM2gMM专亚MM时gmmr|困ee修铺”-41COE4D：E-：*DOZEDEIBE皿TS0至IX口MUtDIE!M：flbU0fiT2BGCH匚M1E0T修而EAWWHM巧门161OJTlQQIii6?iDO16001|iMWDO2Emfheathieem0，0DOE*CEl酩ET41MM也CHNgEQDTit域打At。9T8岫1时0Ttg34*g9EiM48丝施行通N杏g州可E:心4EMEHOflFB?皿M$1帕W电tomefmtjthocctcflBoaumcc-aUCHrIE!4E3D3EX44ED2EnBSnDDEBBmgo

45、oEBHwcn荷BMceER“LIuMHWNustlwr.I1-1注闵13UMEB1MB皿gfHIBligBM“RaftaMHiwHnnM吨油uluUlKHtDllLudiri交率tr.angWTLi，一弱党福*的|fKR?m国X41BE5Hd“前MJi7lL3L.J*由Xjn.7LJBa.jtk的IX邛SilX1皿N日.P电X：mM4Nj亩iXfnTLia,r-电X旧，妒如1，(回X5W1E.1黔的X曰X口千班士氏T-hflxilteSTE.If由IXFlI翻iRq坤必XJILM1口口.”料*WWT好4hflX=TL力4g的Xr-FE，H.所XRg.营画IxFi-rrnn|.*-才-L-yr

46、M_0，*nrM1仁22建二二二E7二二蟾r.dHIHSMBlBsaii(二。51葡51指回国9!9中，*一EE磔制Em;北13-:?*工,STa-t7lllllllT2f注HHH工曰看舌各再番MW看HX搜索：搜索的结果存放在“命中结果”面板中。面板的树节点为本案件所有参与搜索的关键词。单击关键词会在列表中列出其在历次搜索中命中的条目。UE上年工，CA1IUK.：tLtLtlfc百苜一件小址kUPM中Eiijmn*fjblwu一工途咱用眄1址业ItiG叫手机吗内用.：.望杵鼻川田科小、IF.加I就命牛U/中至本*R3E口nHfji.tPOUCf却*?wil-alMXtMtpJR*ZTAALp/vw,IS3to口与ataffdilkt-*dra-mir-sBunr-DLmimALp/