三级电子物证实验室建设方案书

1、电子数据取证鉴定实验室建设项目方案书版本：2.02012年03月盘石软件（上海）有限公司2.1公安部对鉴定试验室的能力要求37第1章技术和工作基TOC o 1-5 h z HYPERLINK l bookmark12 1.1公司介绍6 HYPERLINK l bookmark14 1.2盘石公司产品介绍61.2.1盘石现场计算机取证系统(Safeimager)7离线取证7在线取证8产品特性9SafeImager增强型101.2.2盘石手机取证分析系统(SafeMobile)11 HYPERLINK l bookmark18 1.2.3盘石介质取证分析系统(SafeAnalyzer)13 HYP

2、ERLINK l bookmark26 1.2.4盘石易载镜像助手(SafeMount)221.2.5盘石计算机仿真取证系统(SafeVM)241.2.6盘石可视化数据分析平台(IDVP)271.2.7盘石实验室管理系统(LIMS)311.2.8盘石计算机现场取证勘察箱(SafeSuite)34 HYPERLINK l bookmark44 1.2.9盘石计算机取证分析平台(SafeForensicPlatform)35取证专业培训3637第2章实验室技术规格和要求TOC o 1-5 h z HYPERLINK l bookmark52 2.2实验室装备功能要求42 HYPERLINK l b

3、ookmark54 2.3实验室的区域设置42实验室的管理43实验室域管理环境432.4.2流程管理442.4.3安防设备4445第3章实验室设备配置规格说明数据的固定设备453.1.1证据数据完整性的保护45盘石只读接口套件45Solo-III高速多功能复制机套件48盘石1to2光盘复制机50数据完整性校验值计算软件513.1.2证据数据原始性的保护51摄像机51照相机51屏幕录像软件51本地数字化设备非运行状态下的数据提取523.2.1独立存储介质的数据提取528S隔Uoipnis-y乙mi8S（VS）198S血孕図郢糜9TAS池蜩糜翠#返男鋼库爾虫乙佔池醉郢糜図甫瑚卑电男原片库丫結换匸兀

4、池醉郢糜図男原片库丫結换ST9S|jeqsaji/viVE9s池醉図郢糜号BJ取网男原乃*糜丄翠#丄/虫乙匕9S（26eiu冋巧）骇麦卫!池色血2薔ElVE9SqseHWI-Moqu!州乙辽讥9S（IAI八刃巧）骇豹鮒草够習IlVE9S池醉郢糜図丁男原乃*糜丄翠#马虫TVE9S池醉郢糜図丄翠#丄/虫男原乃*糜關伞VESS砌碑僅WH剖酥匸SS池蜩籬嗨Rm供ES篡曲工强乙ZES骇麦OEICW搦1KW粕的巧匸乙ES池蜩籬嗨Rm灘乙乙S隔U骇麦長池出圭引!qoiu刃esITT乙S池醉郢糜図国U翱马回g至诚巨士&乙S乙ZW3.7数据的解密与解码603.7数据的解密与解码60TOC o 1-5 h z3.

5、7.1加密数据的解密:Elcomsoft密码破解套件60结构化数据的解码61数据的分析61程序功能的黑盒分析633.9.1程序功能的静态分析:IDAPRO（专业版+反编译）63有害程序搜索软件63实验室环境条件63基础环境和设备条件63数据发现提取固定基础条件64证据数据存储设备64物证存储柜65本地数字化设备检验专用主机（取证分析工作站SFP-101）.65远程数字化设备检验专用主机66物证封存袋、封存条66程序功能检验基础条件66实验室管理条件67实验室附属设施676868第4章实验室建设项目工程实施4.1项目实施概况4.2项目实施甘特图694.2项目实施甘特图69TOC o 1-5 h

6、z HYPERLINK l bookmark98 第5章技术培训和支持70 HYPERLINK l bookmark100 5.1技术培训70 HYPERLINK l bookmark102 5.2技术支持70保证期内服务计划70保证期后服务计划71修订记录版本时间作者备注2.12009-6-26盘石数码2.0版本上修改了文档风格和格式第1章技术和工作基础1.1公司介绍盘石软件（前身“上海盘石数码信息技术有限公司”）成立于2002年，专业从事网络安全和计算机取证产品的研发和服务。FANSAFE2004年4月，随着专业取证技术的发展，计算机取证产品的研发和服务即成为公司的主要发展方向。盘石公司的

7、取证技术人员曾多次参与针对公安技术人员的全国性的培训讲解，和公安信息网络安全保卫部门建立了良好的沟通关系，提供专业的取证产品和技术服务，在一些新的技术领域和案件上提出自己的见解并参与到实际工作中。在计算机取证研发和实践过程中，盘石公司对国内外电子证据鉴定实验室的建设也十分关注。参照国外实验室的框架我们为公安部、上海、广州、湖北、安徽、浙江等地的实验室提供了建设方案，并参与公安部十一局、湖北省公安厅、安徽省公安厅、上海市公安局等各地电子证据鉴定实验室的建设和装备提供。盘石软件的企业文化:企业愿景：成为具有世界水平的电子取证技术专业公司企业目标：高度专注于电子取证领域的软件开发与技术服务核心价值观

8、会客户、员工创造共同价值企业口号：发展安全、专注取证、坚如磐石质量方针：持续创新、技术领先、品质卓越、专业服务12盘石公司产品介绍1.2.1盘石现盘石计算机现场取证系统（Safeimager）由可以启动的光盘/U盘、夕卜接的数据存储设备构成。使用Safeimager光盘/U盘启动对象计算机或者在对象计算机上直接运行Safeimager应用程序，可以快速有效地获取对象计算机上的数据，呆存到夕卜接的数据存储设备中。Safeimager获取的数据可以在各类数据分析软件（例如SafeAnalyzer、MedAnalyzer、Encase、FTK、Smart等）中使用，并可以在获取数据的过程中计算数据的

9、摘要，作为数据完整性和有效性的证明。Safeimager由两个功能模块组成：离线取证（Offline）和在线取证（Online）。离线取证使用Safeimager光盘/U盘启动对象计算机，获取对象计算机数据。在不改变对象计算机数据的前提下，Safeimager提供简洁易用的的操作界面，确保硬盘复制位对位的准确率，保证对象计算机的硬盘数据没有任何的改变，提供现场快速获取和介质分析的功能。Safeimager支持Unix/Linux/*BSD/Windows等多种操作系统，具有轻便、适合现场应用的特性。离线取证的主要功能如下:实现对象计算机的硬盘数据镜像，生成复制盘，同时生成数字摘要。复制盘和原始

10、盘具有完全一致的数据。对复制盘的数据分析，具有和对原始盘数据分析同样的效果。通过启动复制盘，模拟对象计算机本地环境。实现对象计算机的硬盘和分区数据镜像，生成DD格式、AFF格式的镜像文件，同时生成数字摘要。DD格式的镜像文件具有和硬盘一样的结构，是对硬盘数据的按位复制，保证数据一致性，是目前法律上认可的数据镜像格式。AFF是高级取证格式，用来保存磁盘镜像信息和相关取证信息的可扩展的开放格式。使用DD格式、AFF格式的镜像文件，可以在各种取证系统中（SafeAnalyzer、Encase、FTK等）直接加载和分析。实现对象计算机中的硬盘和分区进行数字摘要计算，文件的数字摘要类似于人的指纹，只有内

11、容完全相同的文件具有相同的数字摘要，便于验证。实现对象计算机中的特定目录或者文件进行复制。可以选择需要复制的。Safeimager在复制的同时可以生成每个文件的数字摘要。对取证硬盘进行擦除操作。在线取证在目标系统运行的情况下，对目标系统寒旨总址J己用空间1?!汀恸：d:l151*mj凸BLB1厂计迴出，晰）SAFEJ1MABER内部的易失数据如内存信息，临时文件等进行取证。同时由于现场的复杂性，有可能无法对目标系统进行离线取证，可以通过在线取证系统进行取证。由于在线取证软件需要运行在目标系统的操作环境，所以可能会对证据有效性有所影响，须要配合拍照、摄像等手段保持证据力。在线取证目前支持Wind

12、ows2000/XP/2003平台。在线取证的主要功能如下:导出系统信息：导出运行系统内存中的47类易失信息，分为3个大类：操作系统信息、密码信息和上网记录。内存信息复制：对对象计算机物理内存进行数据镜像生成DD格式或者AFF格式的数据镜像文件在线硬盘复制不关机情况下对对象计算机的硬盘进行数据镜像，可以硬盘克隆、生成DD镜像文件和AFF镜像文件。在复制的同时可以生成数字摘要。在线分区复制不关机情况下对对象计算机的分区进行数据镜像，可以生成DD镜像文件和AFF镜像文件。支持各种虚拟分区软件（如PrivateDisk）创建的虚拟分区的获取。在复制的同时可以生成数字摘要。产品特性不拆机箱的数据获取光

13、盘启动/程序直接运行在不拆机箱的情况下对证据计算机的证据硬盘进行数据获取，可以获取包括整个硬盘、分区、目录和文件等各个级别的数据。在线获取支持获取系统运行信息、内存和常见应用程序密码。支持基于IA32架构的笔记本、PC和服务器支持IDE、SATA、SCSI、RAID等各种硬盘和数据架构支持Dos/Windows文件系统，包括：FAT、FAT32、NTFS支持常见的其它文件系统，包括：EXT2/3、UFS、XFS、HFS、JFS、MINIX、HPFS等使用USB2.0/1394A/1394B接口，数据获取速率最高可以达到2.5GB/分钟获取的数据可以使用SafeAnalyzer、Linux、Wi

14、nHEX、Encase、FinalData、FTK等各种取证工具进行分析规范化操作现在的所有操作进行日志记录对证据数据进行完整性保护，不破坏现场数据在数据复制的同时生成MD5哈希，便于事后校验简单易用所有操作采用图形化的向导界面操作过程动态显示，获取过程一目了然提供快速操作，简化现场工作考虑到关机时采用复制机会有效地提高现场数据获取的速度，我们提供了增强型的计算机现场取证系统，内置便携式高速硬盘复制机。复制机支持IDE、SATA、2.5寸硬盘的直接复制，且可以将IDE/SATA硬盘接口做为只读接口使用。复制速度最高达到4.5G/分钟。1.2.2盘石手机取证分析系统(SafeMobile)针对手

15、机的取证和传统的数据取证有很大不同，手机数据一般都保存为私有格式，不同厂商，型号和系统都会有所不同。盘石SafeMobile手机取证分析系统采用统一的界面获取各种品牌手机中用户输入的数据和部分设备的未分配存储区域，并进行取证分析。该产品得到科技部2007年度火炬基金支持，并通过认证。SafeMobile系统特性：支持GSM/CDMA手机，包括：摩托罗拉、诺基亚、西门子、三星、索爱、联想、夏新、飞利浦，天语、多普达、联想、步步高、七喜、UT斯达康、OPPO、海尔、波导、TCL、酷派、OKWAP、港利通、天语、海信、明基、长虹、友利通、GT佳通、CECT、技嘉、天珑、爱肯、ZTC中天、大显、亿通、

16、创维、普莱达、奥丁、天时达、万利达、华立、唯科、侨兴、纽曼、桑达、康佳、恒基伟业、华禹、倚天、金鹏、德赛、万事通、新邮通、宏康、盛泰、明腾、IDO、TSD、埃立特、普天、振华欧比、互通、高新奇、魅族、南极星、汉泰、福日汇讯、三巨网、东信、首信、金立、唯奥、广信、邦华、晨兴、高科、宝捷讯、众一、嘉源、国信、金正、HKC、百迪宝、兆讯达、骏域、深爱、权智、高斯贝尔、赛洛特、亿城、友信达、中恒、联创、新中桥、科诺、知己、雅讯达、天元、宝码、乐华、中讯天创、奥克斯、VOSIA奥翔、都宝、FIC大众、绿力、中宝、屹东、摩西、琦基、艾美讯、OQO、爱国者、特灵通、赛昂星、齐乐、盛隆、吉事达、爱我、奥乐、科

17、健、厦华、熊猫、南方高科、大唐、托普、迪比特、浪潮、中桥、数源、紫光UNIS、NEO、奥盛、Beluga、科盛通信等多个品牌2000多款手机，型号还在不断增加中；支持中国市场使用的所有SIM卡，如全球通，M-ZONE，神州行，世界风，Up新势力，如意通，Uni，宝视通，各种CDMASIM卡；国产手机的支持MTK平台、展讯平台对智能手机的支持Linux平台、WindowsCE手机/SIM卡电话本、通话记录、短信、设备信息和文件的获取;支持对手机/SIM卡删除短信的恢复；MTK平台物理获取，主要针对手机里的存储器，通过硬件工具对手机字库进行备份，根据特征搜索镜像，获取用户数据信息，包括删除记录；手

18、机连接方式支持：数据线、红外、蓝牙提供灵活多样的搜索方法，支持多编码格式同时搜索；书签功能灵活强大，能更好的帮助分析数据;即时提供的报表预览功能，一次性生成可打印报表，降低取证分析人员的劳动强度；文件预览功能可查看十六进制数据，方便高级取证分析人员进一步分析所得数据支持设备校验，防止在文件移动过程中发生意外;工作平台为Win2000及其后续版本。1.2.3盘石介质取证分析系统(SafeAnalyzer)SafeAnalyzer为执法部门提供全面、彻底的计算机数据分析、检查能力。具有强大的数据恢复、过滤、分析、查找和报告功能，并提供简单易用的操作界面，是当前电子数据取证分析的首选工具。目前产品的

19、已经达到国际先进水平，符合司法取证的需求。该产品是ENCASE/FTK/Winhex等分析软件的全中文替代品。更加符合中国用户的使用习惯。在部分功能效率上超越了国外产品。获取镜像生成MD5哈希校验值，并可随时校验；导出文件可以同时计算文件的MD5哈希；分析过程有详细的审计日志，便于案件的审查复核工作mnjcaitH-cr：JIM(TJIA：|-HLDO：B：ni.i员广対5_-|XI宦冷s?hlmh吋g|JS*AIU.-AS9DH口吕口口口口吕Dc-curF-mts：.：tTjcmWEOdCUlJ.isqTWAiJj-C-ia-bSVC-l-UHi-feTWKMtrtJDJJmrDONE去乐R

20、：呼ft.i.HTTE?：ErWb-apE.dnJb-c-raci.tSdas*52a-npiEsV:0k3.5T2月冃月flflm月円月月月flfl冃:口|1111II口口rlMu口rlcl蒔坪一-年爭.SIS片ittt埠坪耳环讦HBH-?u-a.H?sa.wH-a-賈科mDa急爲急Tin亦EsvEIEEfLAEJe爲空LIE曰曰曰目口曰曰HflB月冃月QJi月fl月fl月冃BBHEEBB-H-BBB-H-BBlitIEJ?.JJ-r1z21-3233333曰曰曰曰曰曰曰n曰曰曰HmmK-g.uhELhIT.uhTTdj3:l皿Jalmfll皿加JHEJ31fii.i加Ald年早毎迂年坪切氏

21、年切坏氏迂丘TTapTCISJQE斗Qeap舟LLsr-s-uIDimjL：aoooocooo&osc-00ZQ003|0OCWZCTOOCKiECijiKKXimijiXiCiiXn：iCiiW7tgn=*oogi=LQOOOOODSK-OOO0OT口口OO*Oijiji；n：ii：iEx3?3a03Daz32fliTZBO曰E3C狛3D3l!30：6I7320i3F20TiT盅誥33331雷SQSG:中DDn口PA1,QG_:*!5D.nDDT4FD253fiaJo35TT3=:irl:lL;.ll-libB:3:3I5O30313T_HA-cn_H-aAFDOr33332n-a-H32E

22、H-EBRQDU口E:曰e口4FP#33DillHlti:E.aaAH-Dn-CEDn-2E31Ksc-sarl-TsFl匚曰:3rrdcllrlJhs口nooII.333cnF3TCd日22T金器益器盂二7-2LZOTS-D*-ieDBILBiBS百百嘴StaLagZzce-o-i-iBca=is:JGpciatisn.0TfiEi.,giXi-Ci-4-10aazija：asHi.CZXEiX口冒十VlXiELQUrj：xrrx-rHTxiDn.B.1ri-7EiE-i1S-rr-*D位百脚毛：BLHfissw-g-:H1liLreef号IL已炮无护I3C麼河春导：5C低尼琦V:&*僮百；

23、笹p；KTGEE号岂EZQ斗STQE&Dgrrnij1CC*4W：lLfl36|=|QA：1ArtiHisirwirTrfliOlJtlf-li-n；IIEfl30ElOa：DD33infiK/cPTinJ:I秦円0-fftJg.a.t.l-gig关键特性包括：支持计算机存储介质直接分析，及支持DD、AFF、Encase格式镜像文件的分析，对其进行只读访问，不破坏原始数据；支持MBR、GPT(Vista)分区方式，可以直接运行在Vista中；自动进行系统分析，包括系统安装时间，操作系统版本，用户信息，网络配置信息，安装的程序，最后运行时间等，并可以选择性地纳入案件报告；灵活的时区支持及管理，允

24、许勘查人员为每一个证据文件、每一个卷或每一个案件指定时区设置，解决了所分析的介质使用的时区设置与调查人员所用时区设置不同的情况支持图库预览功能；提供文本、十六进制、缩略图、预览等文件查看方式；自动编码识别：支持文档文件的编码自动识别十六进制解析：类似WinHex文件过滤：系统缺省和自定义的过滤功能，并支持多重过滤；时间线分析：通过设置时间区域，建立该区段修改、访问、创建的文件时间线，方便定位案件相关文件；删除恢复：文件系统中删除恢复、特征恢复；可恢复高级格式化磁盘内的文件，可判断出交叉覆盖文件；具有高性能的关键字搜索功能、支持多关键字同时搜索而不明显降低效率，支持搜索前过滤，提高搜索效率；关键

25、词查找：各种编码格式的关键词查找，支持正则表达式可忽略大小写，关键字支持GB2312、UTF7、UTF8、Unicode、Unicodebig-endian、Base64、Big5编码；基本信息：方便取证人员对操作系统环境有个整体上的认识，能够提取的的信息包括（操作系统信息、时区信息、网络配置、安装软件、服务列表、共享信息、用户信息、USB设备使用记录、硬件信息等）；注册表分析：察看Windows的注册表文件，可根据系统缺省和自定义的注册表项目，快速定位浏览；Web分析：查看目标机器的浏览器历史、缓存记录、Cookie信息和收藏夹等，支持被清除历史缓存记录的页览和获取功能，支持IE、Firef

26、ox、Opera、Chrome浏览器；邮件分析：查看对象计算机客户端邮件，包括收件箱、发件箱、已发送邮件、草稿箱、废件箱等，支持的邮件客户端有foxmail、outlook、outlookexpress，还支持对web邮箱的分析获取目前支持的web邮箱有:Tom、126、163、QQ、Yahoo、Sina等；即时通讯分析：提供快速提取QQ、MSN、Skype、淘宝旺旺、雅虎通、飞信、ICQ聊天记录、好友列表以及语音记录，并包括删除QQ好友号；回收站分析：解析放入回收站的数据信息，及从回收站删除的数据信息；事件日志分析：快速提取分析对象计算机事件日志；打印缓存：搜寻系统中存在的具体SPL和SHD

27、文件，取出相关信息和EMF文件，还可搜寻未分配簇取出未被覆盖的EMF文件；下载软件：针对FTP下载工具和P2P下载工具进行分析，主要是获取下载的任务队列以及站点用户的信息。支持FlashFXP，CuteFTP，LeapFTP;电驴，比特彗星，超级旋风，快车，Vagaa等；复合文件分析：可以查看内含有其它文件的多层组成的文件。能够在层级查看那些文件；校验文件特征：用以校验出目标文件属性是否更改；报告生成：根据用户添加的书签和备注信息，生成案件报告；全中文界面，系统简单易用。主要特性详列：事件日志：日志文件中的记录可提供以下用途：监控系统资源、审计用户行为、对可疑行为进行告警、确定入侵行为的范围、

28、为恢复系统提供帮助、生成调查报告、为打击计算机犯罪提供证据来源。提供了快速分析事件日志，提高取证分析的效率;邮件分析：类似客户端方式进行查看邮箱中的内容，包括收件箱、发件箱、已发送、垃圾邮件、以及联系人等；目前支持的客户端有foxmail、outlook、outlookExproler;TkrtlMklrKf-ttMcTkrtlMklrKf-ttMc-iL-nQFiSttil+eq2Idk.hi.h.n4ij5g+I?匚口IC-naWlCBtai-+匸口亦阖“皿心hl-I1*OntKLxkEsfQ和閘血2曰i-口rAsrt*Bftaffdq-rh-s匸.匸咗晦种C0LjSbBlaEEaiHE匚

29、H5:*LHEir匚口二1仔炖弓AW匸ar匸.口口ILMrrdsgSfaHTdih_riu解1科片晞XiT胳甘苦王直I.i彌LSKflPSLiffli2Fft!：iiQlidirddixd!EtEEidH!tsriJBa口IiiaraxdrL1盯山.曙臥扫时由區輕达*!44*1*-l.iwaKflPSLiffli2Fft!：i區娅达ssra因E?IiJdafli+mFbWi口硯StiM于ftFhs團睑屯干菱辟FNJ硯目缶！竭mad耳區皐応拥4ffl1ili硯妙的存叶I-tEVfucvFfa-tEVfucv3.n-.-IT丄TT-n-JifucvFfacv1ST丄！T2?!Td?.1fjmiAp

30、umfcR*irpvriMJEi:mr9BACBi!aCr04i即“iri.iepjQ*1l4rU34tqi.EfjmiApumfcR*ir氏r9.ui!.皆idBdEt.4Uflcjf,;l-ihfm|yFru3k4.frrtTiC-ahfaaAEadaPKtraitt.flcjf,;4】挥心上1l-ihjhrftVSiti.fIcf“t日IICjF.iF丈工址sBspji.Hwa旧忍绳吐辽是正出試刚掘20*04耳山曰I5:u44BWE.UHifiEEBjlTh：.4T4!氐於WCjFTrsrBRiaiRTf：.窗mm卫nqL曰is：eeoe-B#iHEfldismp*.344.时月哲h.H

31、嗣日闻囱WEjFz見正出范电皈.口盘”:SOiPEflisaI4：J&Warseikm沁anaSForkL曰i:i：dq油B#EU*BECBgiTh：.SOB3KriPFfl2Lal：i：5PCjFTrsrBRiaiRTf：.S：也MM环#1.曰IT:15HB#HifiEEBjlTh：.MH-釧海iO.H圜日16KiTiiJ.H3Lai:i:ESif：EjFTS匪SSHTiOflaLaI6：U：ESCjF田1片坏|_闻下观紳&aiBiFLO月竈曰iT：m：i3B#耳战m加：4SBffi釧海ii冲肪日曲西嵋EjFli.Hffi-UKam许LL月OB曰I3：D：4.ilfltfHrliSiTliF

32、jHBUTSSJSiFi1fli.oaWESXEjF费因.dadnMriiHithkaJLnsniEE3p3rrllxj:K“*E=nFEFEelIn?.LJul0国tJiei：3Bh4盘件上亀干i中事背恋岀凰sup世厘何踵-.pvuKfi-l?.pms-at-i.V3-=fii-l/乩9DnpS,rarry.ThtMX3*a|-iX3THaMMidTaydababYtxLirit35.3.4)主骨耀*富:ill整輿时mnx重冉人pnqEqnr*piH*fwcpLnafc冉.kgpwwflvfrpMaJB.wicp.MiHM244fi7n2ig1fe己HJ来IT己ITXtYour*5s-iq*

33、IWI即时通讯：对不同的信息存储格式进行解析，提供快速提取QQ、MSN、Skype、淘宝旺旺、雅虎通、飞信、ICQ聊天记录、好友列表以及语音记录，并包括删除QQ好友号的恢复;下载软件：针对FTP下载和P2P下载工具进行分析，主要是获取下载的任务队列以及站点用户的信息。支持FlashFXP，CuteFTP，LeapFTP；电驴，比特彗星，超级旋风，快车等。54feAnklTX-E-iCJFIE=JnJH如时TG:珈l*SJ灿-科肋咀，宅.喊口LX)-j奇:下童蕈抄a|工碇j|:th序|尺讦=61大十ifl.引用页araiJiEJliftfiL.rdr1.130QC!-IV=M+riEvilSfc

34、i./CkHl-!r-fev-iaix.1.I.KLI1MIIJJII:na4i.cratogrLEi方rmtr.aC,iD?3MM,iLGITiiSal./TiMi.JiZSOJfI.RSuJHrS!IRtwTITa牛nMirdSrtrirLBEUSA13.11EtiB-BI-UELLaP1-KH*.7*(i-(.i.师閒aC：!-k；3kiASwL.jTOIi&E:.i.3.iiSMJfl-da+HtFstvshi證黑亍沁TaC：!ik-=in；3md.iSwL.L監L$.LS.jj罰牡lafwL.cdjiTsaQD.Ek-cns-iinLaKhl&iiL.ZlMud丄TripI.N：.I

35、.i.1.0ZWifInkircE34ar1*13215SaC*iD-=M+ri!：EiTii卫!1.IrioSSMi.3TU-I.KkIS&1-3.J:KM?I.FlnhUaJh5l*rrdXLa.!5wrai.TaCiDxm-HiEEWit墨hi./FirikLDhitndajl.K.liW1-3.：l：l:na4i.MMrt-ttrKBjrl.DO-faw.5MM：aCitC-ZM-KiEEWilSit.f口.D-fc1KLIMlia.li:ma4i.crius-i0迟zFi；aC.rL-aajjsLBmJMTi3hs-LEi姿mi：丨矽IiU:Id.11SiiSI:司|z|屉*jix|

36、琪行jLS345$79ULLP一-=1-uU=-1-I号U旬闯gf4AdMnlj：iDriarJcarMD:um*nwilRLtitm-/crnll-wnh*Jnifi.fr/vqlnskarvnln-ck-irl.fl&.kh个卸弄：Mrprcee-rr/unM-Eter/|-4o-Mo4lJife叭：巒。网年4M耳汗吁11：45：38h汶畳親Rfi例：上;PtfitJR闫：20(年0斗尺Tfl1l：fl5：SJAWSi十:心粒用肃|刘目牛監忻1电匚Evul+i*己下盘*i51uk*rl.E.零IVAa打印缓存：搜寻系统中存在的具体SPL和SHD文件，取出相关信息和EMF文件，还可搜寻未分配

37、簇取出未被覆盖的EMF文件。+匸:當1hr歹GFnl匚$F牡hwiiEClEECKLA匚口目RkTuJ-psc-hei；C&m口LuiV-iIxhs.IrJnLjmlTWOWLCWi.I5匚_l7stLaaHkchLMi.riJDCflS斛诃Ljly匚迈髡立伸匚n-i酔药厂方p打f阪存曲折塔臬：OQ打卬任参峠伽仙SFL.匚心卓分弧苗涮S.6L二口匚JfTEntfS附:泉傅卜FKCWWSTOiSafeTmaBcr现场计弭SaMrraH-?田qL盐启期九宜山6.外冉&1飯庭存睛ift番购成楼用SaFdiragerTtffijlJ盘启功对象计直tl或者在对累计埠机上直怜运齐沁imar西齢可冊朋迪地託

38、用对聚计鋼1上的敌据，保存封外持的战据臣洁谀苗中软杵1年免焉补石M*吃蛛nil侶亡i:-遗用-a；241）工尺比忻flSiyi-Ji阳炖.#-i因$基本信息：能够提取的的信息包括（操作系统信息、时区信息、网络配置、安装软件、服务列表、共享信息、用户信息、USB设备使用记录、硬件信息等）-门出=t：(ei工JL毋圻umiEiFip廉.冋邛出玄臥二vIto.IIfciill刃遥II圖ILifleI量不JeI不耳rEMftIOB*-i.口灵JE霍IS.厨匚旧卞T!匸:口【-匸id鲫gitjg.口.FWEE.口Ci転整北!件口山虽輕HSi：山尹*個!：匚用戸加思EO&阵E诣音粳硝囱I口*jYbp.ig

39、!:i:i北狛l*15MJ1序!nuEaffftEsaEfl-I啧暑f苟lli呂啊s|i*t*TIaI城舌各警I鼻i识百呂4tllQI咲暑吕尊Ia*i识羽窃tiGI绘*15尊lni吉込呂*igaI饮呂聲：lqllF&tt：lGI说齐*flaI謂赳聲IokTl.Mil-Ziyii.aai-xiTlC血ktLcAwl:-rAuMii-Mrric畑斫srLcA*jl:-rrir柑呵Tl刃iUji:-rTLC炖kTPL：kIEl?Fi.-i-!fiH.IlikIOIrFi:*1石誓11序Ih4U1IlL3kIEJ比ElriaESkMhgaSl;曲干ii冃x日ioiem慕片dULJl-liKrE|aii

40、ejtiUEiiidlA|I.EEt-：W.HMNffLLflE4口W.l*IPxrrm比ElriaGSiLiMiWCHl.n；oreiiFiBia.i*m至“au&CUwiWiKxu再ii冃沁曰mnim畫w.rBSlWr1.1.zwhTii月：t日101(-10*rtwriabBSuihdB.Mi网WiiR;-iBiii.icidemjavUikUHk.iri.difcl-S-HitIliLK1IRLakIEl9PitlLik比1i.LK1*|円击丘址IPl3ki.OIhikKJk.r.T|:;:&IHIAiti3|CHauy朗Efii月丫日io.if.iqJKhtal；”Ift-l-.Cf

41、lFLCiaiMiric.MvianBiDfiiikLIKBE3BricailU-1411dHMKjAW匚EmwhVn_匸nMWlan3il-uiwnjn-I7il-tt-G-Nl电涉(曲E卫石鼻心|盘liM阿;SOOSSplOHJaHI7:12；:*SiaG-SEfUHMIg40-64tOn2D17.12*9如+1S忆晔噩耳m辛jtGE.止Li(H口立奇fiMflFH1丄”f.merciijvi.-jiJIB|理回收站分析：对回收站INFO,INF02文件直接分析，并解析回收站中曾经删除过的文件信息。3CQi耕DtoEQ斗KlBflt(C：iBDQiJEwtanaiCOQ1：旺CXCLE.B

42、lfl-口口。H9EDO3Baaltanfig-.rJsl匸:匚JnciicntssriCEHfirKLEEUSDC-schc軒口口。Ftfagjr曲IFlLes白COaBECVCLERc-DS5CCQrr軒口口。5吋31VdLlFiETTITDDQAHlLIi英sfi扩風审fiismiwsj&iiiaInkInkDellInkInkDc2.Lak诚Du前InkInkDcA.LiInkDc5.liliInkInkInk|.2TiLnuEDDBO.甸朋年0.snned.200H.创囲罰.200H0.创肝申1.別抽年a.辺曲車1.EDDBtJ.EQDB.SOOBtl.3W日年1.2DDB0.创D日

43、年0.2DDBa.却DH年.的叩年a.辺朗車1.而罚.別朋年1.ZOOHO.3W甲).ZOOHO.创丽甲1.EOOB年0.辺曲車1.ft.&isswra全貉锂20備E：月佃q碣*1EDDBW凸03年te月035TOl91細闫】：咖商mate年ce月m.25354DK乍4).啪卄l：TjisntffT月.39=).IdUCIdl2：月别L2Oi黛=|BWj】：EDDB年ffl即阳年C6月迦M；5(0车r刚间】：EDDSX凹嗨年ie月黑WWt：-A.Hl.T.ni.：-j:20165月W.LM-1qDK沁).i-fr*-idiI：:：3:即阳年C6月词m72T电=】晔m朗嗨K月诵L3L940%BU

44、舸间】：EDDB年旦即03年C6月场旳9035牛r2Dt6月厲TOqo).HI.f|i=l12：!3-J2D月SO.65G5雲亠）.即08年C6月113L2Dm&a峯=图库预览：案件中的图片文件在图库中以图片的形式呈现，直观而富有效率。oislssi-s=眠匕壮、羽nwa也5.=眯堀0启=s=:sffl4flts单u3,JtBI-,l3aHH;耳峠!耳啤!耳啤!*啤!屮啤!斗亂曲亂皿亂和皿和皿和丨ft91n匸._luLLLL匚匚LULL匚厂LU匚匚LULU4mdes-iA-UK-*SZL.曲FnaeloQmsswnBcloQoTBassQESN3SSI71Q已41OC曰sss=時QsaoQmT

45、NOSeoeoDDCllaInllpEifqJ:-i-.lnuKqE乂lr-izx-戈r*H-4F-H-,Fpxz-SaXI,旬乂一Cqq.x-1.-,ln*x-l-lqH-,VExz3*x-l【H/-dcx-lqH”F-cs:yuaxl,3*dpnqqx-I三上昌戋盅卫专Hi=fifi-llr監ffK!-U*-pg-1-8fTW3rtDfin-PHhib-dvfcl岸fHdwMKaa:&一匸bsJ二爭&耳：吊：匸J*M.-r-;e-書蓟-UJDXEJDJTk-x-anLi7HS乂匚雯WVJJ二！：上曾！带匸gl-Fvi-c-llffzuIfe划帳啦割科ti-DU呵舉tt:ys*怜tipriz

46、lz瓦总相口圧一tNKdn*戏U+Btnhldn*son*sdn*Jk_dn*-n-fb*-m_d-D|doqqnln.dqlriln.udlcqqzim.udoqqllln.UCICCIqnlnDfdlsqziLHLNciEIHJB-M-M-dsy5u:gilt孕贞百111F8ftA1aJx1df0tBdf|丰:!理5E1!J-11.1j-13二gI51IiUz回n_4cJ1VjUWs4cJHHIL1IjTl-ThjTa呼詢:A!_fflbM-i-z11I11Khn月iittiit!0B刃*#-w-EEHn-_-KCTKfiw*JDisr*_ORO*J_uisQtK口口勺ID兰,*Sa*JD

47、i世0tNF!。皿ofofri-s=drZHSH-C_/wft7WWLftffinzuyuHie.吩归怎摘-5K4弋膩i蚤1AAA-EMIT-Ep-HE-*!:_3-邸aEsJS8RKefJQS0XR/blI矗PHHPHfeiSa*用曲电MMM阳如用和MJ诚B九JKMJksssgsf-KJhJGArAZJDOE曰bniMr-l-lfEJLZ-I-IH0M診卜ZJws?a-Tr善t-踊卑*爲+iarsEU口目卜XXXMXXXXXXXXXXXXXXXX31QSEElEIEiaEQBQSEElDElSEQBEMllig-g-SflBflot3acia(!oaraaj!s?：|-i1iBKtBQEIS

48、SEJSEJIEQEJHE)BhiIBSDQB石團莎TOSislsii,n-ssarHftR1uctsuUEf-.-0rw=SUJ-KB.w-b址苗m卍+-HNizvssss8vsv8SSSSQ*s9n-8V-SBSMSSCSDE盂EELERLLg土E芒包也EEEX-n8sHJ-slnDa呂00DS呂2丄1-I-&-C-wtfsVspssBUHss-sFCOOLulB-lpDOr-00&8U.UQEHEEDO器呂呂8wis雷ss8$8J!8_!=!s呂ss58s8=Js383sI8_aI-百gu:stsEGOO$CD3UJEir-DOIrr-ao岂呂卅HsQsusMsRssA*B-Us-ras

49、s8A呼EEE总EEBE益Ek.1-E盟包EE-0E盅斤gOS_w-衣s.VIFgs-8s_w-海Ls祟s?5swHHI3epef1ei1vsT8E8s-V838hsu*s*8?8值&r.普二,自H.-3UDInsJ.msEIlllal星二！alF-n善晶.rilH.-MUDInAHxmuEIlllall-.ml-lBr-nElsJW*=H.rta-ua3H.-3UDInsJ.msEIlllal星二！alF-n善晶.rilB-HH.-3UDInsanQ0SQ0S33T-cAnalx-icxCJH.SEF*Ste5工具BST4mm:钮审鏈嬖x黑昨弄词rD亡密WLtfc5ir匚:|溶IP1=11址

50、WWarrtflut11LP所百rubbi址加g珀也址阿富冃町址堪恬*凹手机导阳1*垃再立怦5fep天人屯棕n廉口口口口口口口口口口IITTAVE-DL畑T晓中致站中丈耳IKW*iLtp:/w37ht-tpwv-rai7ETiLtpSI3ThVlp/wvTSIT3-iLL.ln.s=urnE-chvna.:-niicTaEoft-c：ifwi,iiB.,.riliatlnX.i匚1一Chfrcfcx0tills1DAlyvalid班工已0拠-1|(|1t?sBa.sxTj.Mj(_JrrP，0.QaO.Qir./de-ie-otr.i.urule-5曲血“當1：4野即te.OtljBat5et

51、i.:ptTmityp*-卩工3.*=哪肌兀疔1.1541|5|510导耳1址为哑1：、!*：出祇怙1田扎,，HKLri5ofTwatEeSriloiocoftVNiiidoMtuiVCixcrtii.tVeEfiiZni.GroijpF&1icyAc-pn(rt+C*+/patterii.typsRissictiyHKLM,.Scd：Tyax，iJViGrssisortinkCijiTe&tVerclCnIi-ifnofTicsEprisntdebu；Jot5i5t:-./incluL:.咗沧口】.eu1xunntBKtPUxar?.:口bjuttpKt-am,typaRanixtry-HK

52、USSDftvu-alm-c-xot:!ViniaTxliCurxBnt7axxiDEi.CxaupFollEyAppLntk/pi.ttxn?.-.+丸进Iv-bFlffi|ffic5Edh-x4dni.iJ9xTHRtitiawurrduet-cn-srrrmjiistalji.tintf-ni-riu1爭口Rhis上网日志：分析MicrosoftInternetExplorer浏览器4.0以上版本的上网行为。包括历史、缓存、cookie、收藏夹，并能从磁盘的未分配空间中找出被清除的历史和缓存记录。.-jpB:丄阿口古_;/上円日訖rtQJiSjEiffi卜二1腹劳心QUI為ZG=*卯占d

53、LjffDflOitS|丘支.11用稱iiif1JMi1|笛选11Tifit-lfS-1許UHL*fi1iW#映GM诗映GM诗匚p巧gIn.m.c-j*如购smiBSjS3(M0i2QD.D口孚hri；LE14iam.AidjiintrwtEr&如L|疯创紳斓an.&J*DIUMam.AidjiintrwtEr&芟in如h*vLK创顾畑am.0母rrn-klslam.AidjiintrwtEr&岂Mr4ktLsllArd&HWI53FWISODA-iMUrbi.-ri_jhwa.rwjOup.r.bcj,aiiers0世1amwj爾n3JWI!EiMHCi|EWam.5UfliTD|_jili

54、fe*：Isw.fLiobu.*0?DJMWJEiEi.DWW.I5MIHCIEWmo.AdfelJlmUr荻itD厂I夕*1KHJSbawZOOKC-lUXJBWl.SXlsm.1hlEiJTiiiERT跻43SQ44ll甲址展|七|城屉|殆驻1、；垃.JERKizaobaoxom爱枣报STB大朶焙手)B-11O.主肉由fit!：SwTliixiAhhdarlm.tEvVLargl&ttirspMsrf-M-tryflFS曲巧JkL:2aO44BllS2(Mkaftl:A*ninaatrt-ar*htaP：/NIJRl：:ZMBM15Zfl412SahZflfllEQDB何月汨MFZ5Al*

55、：I鼻羔ItAZiinistrfltir*144C:JDocunw*KndSemo测肢:Ft扣卜竝典电Tl+:富14們玉岀QG：)D4-UMnamiS4fd冋活尬直冉中般:16272fill：汨棘甘-凹棘3剤卅琳口菇瑜、凹FffisCompactF-ashCard(CFC)MicroDrive(MD)MemoryStickCard(Msc)MemoryStickPro(Mspro)SmartMediaCard(SMC)xDCard(XD)secureDigita-Card(SDC)MU-tiMediaCard(MMC)IDE3.525、sIDE薔聖2.5wfij當酣IDE3.51.8、sIDE

56、薔聖1.84WC1J當酣IDE3.5ZIF、劈曲IDE琳琳聖ZIFSCSI68000、68尊SCSI琳琳聖80尊琳口SCSI6850、66尊SCSI琳琳聖50尊琳口ISATA、專SATA話ATA式、而设据的改和Solo-m高速多功能复制机套件本方案在现场复制机的选型方面，采用了ImageMASSterSolo-III硬盘复制机。ImageMASSterSolo-III取证系统是一套手持轻便、高速的硬盘数据获取设备，专为司法取证用途计。利用该设备的同步数据校验功能，可确保疑犯数精确复制，不会造成数据传输过程中疑犯硬盘数据修数据重置。系统特性:中文菜单和操作界面。MD5和CRC32哈希校验:在复制

57、的过程中可以同时计算MD5和CRC32哈希校验值。触摸屏用户界面：高级触摸屏用户界面和可编程的键盘，方便用户使用。高速数据复制：数据复制速度超过3GB/分钟。内置写保护：对嫌疑人硬盘提供内置的写保护功能。内置1394B和USB2.0接口：用来获取不能打开的嫌疑人笔记本和PC。通过写保护端口连接后可以预览嫌疑人硬盘。同时获取到两块硬盘：可以将数据高速获取道两块硬盘。支持IDE、SATA和SCSI硬盘设备（SCSI设备通过附加硬件设备支持）。多获取模式：用位到位的方式将嫌疑人硬盘数据复制到，分段的DD文件，这样可以将多个镜像复制到一块证据硬盘。擦除功能：擦除数据的速度超过3GB/分钟。拷贝HPA和

58、DCO区域。HPA是独立于硬盘正常操作系统文件系统之外的保留区域。该设备可检测并获取此区域。DCO允许系统修改硬盘提供的相关参数。该设备可检测并获取此区域。坏扇区处理。增强的坏扇区处理功能，允许操作者跳过整个扇区坏块。审计日志：详细的操作日志可以打印或者保存到CF卡中。多种介质设备支持：支持IDE、SATA、SCSI硬盘之间的数据复制。也可以闪存和笔记本硬盘获取数据（SCSI设备通过附加硬件设备支持）。升级：软件和固件可以通过CF卡进行升级。硬件规格:电压：90-230V/50-60Hz功率：在未接硬盘时10W温度：5-55摄氏度相对湿度：20%-60%净重：2.2磅尺寸：8.3x5.8x2.

59、2同时包括如下硬件选项组成高速复制机取证箱，提供对SCSI硬盘的高速复制和获取能力。快速SCSI选项：完成从一块SCSI硬盘到另外一块SCSI硬盘的复制，速度超过4GB/分钟。通过可选的其它适配器完成SCSI硬盘到SATA和IDE硬盘的复制。SCSI到SATA适配器：允许从SCSI硬盘复制到另外一块SATA硬盘。SCSI到IDE(P-ATA)适配器：允许从SCSI硬盘复制到另外一块IDE硬盘。笔记本适配器：使得Solo-3可以从各种型号的笔记本硬盘获取数据。PCMCIA-ATA适配器：提供从ATA兼容的闪存设备获取数据。盘石1to2光盘复制机rdnuitc1:2DVDLhjpHcateir盘石

60、1:2光盘复制机专为光盘取证所设计，支持一对二复制，支持盘片格式有：DVD-ROM、DVD-Video、DVD-R、DVD-Audio、DVD-RAM、DVD-RW、DVD+R、DVD+RW、DVD-R、DVD-RW等规格。其主要规格如下：翥显示方式LED液晶面板显示写入模式自动侦测(DAO,TAO)功能模式直接刻录模式，模拟刻录模式，擦除光盘,母片纠错测试，安全刻录模式,比对刻录碟片，系统功能设定。操作方式脱机拷贝,多键式触控面板控制产品性能:不需接计算机只需插上电源即可使用。操作简单,拷贝完成后碟片自动弹出。采用IDE接口，刻录DVD-R/DVD-RW只需5-10分钟，可同时复制4.7GB