信息犯罪与计算机取证课件

信息犯罪与计算机取证第九章计算机取证工具信息犯罪与计算机取证第九章计算机取证工具本章重点内容：计算机取证软件EnCase、FTK的基本使用。计算机取证过程中电子证据只读锁、硬盘复制机、取证计算机系统。本章重点内容：计算机取证软件EnCase、FTK的基本使用。本章学习要求：通过本章学习，初步掌握EnCase、FTK的使用方法。本章学习要求：通过本章学习，初步掌握EnCase、FTK的使9.1软件工具

9.1.1EnCaseEnCase是用C++编写的容量大约为1M的程序，它能调查Windows、Macintosh、Unix或Dos计算机的硬盘。EnCase釆用与计算机CRC校验码和MD5哈希值进行比较。确定镜像数据与原先数据完全相同。9.1软件工具

9.1.1EnCase1.基本操作——添加设备

EnCase法证版在一个关联的案例中组织电子证据。电子证据可以被预览和获取．一旦电子证据被获取或被添加到案例中，就可以进行分析。通过入口（Entry）添加到案例中的证据文件或者包含电子证据的的文件。1.基本操作——添加设备

EnCase法证版在一个关联的案例①启动EnCase程序，进入电子数据取证平台，如图9-1所示。②选择【新建】选项，填入案件名称、调查人员、导出文件夹、临时文件夹和索引文件夹，建案例并添加设备。③选择【文件】|【添加设备】|【本地驱动器】（或【Palm掌上设备】或【网络交叉线】）|【N逻辑硬盘】选项，添加证据文件到案件中。①启动EnCase程序，进入电子数据取证平台，如图9-1所图9-1主窗囗图9-1主窗囗2.基本操作——获取

将设备添加到案例中后，就可以获取它的内容。①右单击鼠标选中左窗囗【N逻辑硬盘】选项，在弹出的对话框中选择【获取之后】的多个磁盘的连续获取，使得查找、哈希值计算、数字签名分析在获取操作完成时也同时完成。单击【下一步】按钮。2.基本操作——获取

将设备添加到案例中后，就可以获取它的②在【搜索】选项框中分别选择【关键字搜索选项】和【电子邮件搜索选项】的相应项如图9-2所示，单击【下一步】按钮。③在【选项】选项框中分别设置硬盘的起始和结束扇区(注意，不要把整个硬盘的内容都加进来，这样会导致证据文件过大)、证据文件（.E01）的输出路径等,单击【完成】按钮。④对证据文件验证完毕后保存。②在【搜索】选项框中分别选择【关键字搜索选项】和【电子邮件图9-2搜索图9-2搜索3．基本操作——逻辑证据文件

逻辑证据文件（LEF）的内容包含了通常在预览嫌疑计算机时，从该计算机中复制出来的一系列文件。①右单击鼠标选中右窗囗，选择与逻辑证据文件相关的文件和文件夹，在弹出的对话框中选择【创建逻辑证据】选项，选择创建逻辑证据文件的来源页面。单击【下一步】按钮。②在创建逻辑证据文件的输出页面中，输入或浏览逻辑证据文件的存储路径，并输入文件名。单击【下一步】按钮。再单击【完成】按钮，如图9-3所示。3．基本操作——逻辑证据文件

逻辑证据文件（LEF）的内容包图9-3逻辑证据文件图9-3逻辑证据文件4．数据恢复——恢复文件夹

在删除FAT卷、NTFS卷、UFS和EXT2/3分区文件夹可以分别进行恢复。①右单击鼠标选中右窗囗【入囗】选项，选择【文件】|【打开】|【case1.case】|【本地驱动器】选项，单击【下一步】按钮。②选择【选择设备】选项中的【N】逻辑驱动器，单击【完成】按钮。③右单击鼠标选中【N】选项，在弹出的对话框中选择【恢复文件夹】选项，如图9-4所示。4．数据恢复——恢复文件夹

在删除FAT卷、NTFS卷、UF图9-4恢复文件夹图9-4恢复文件夹5．数据恢复——格式化恢复

对FAT卷、NTFS卷、UFS和EXT2/3分区的逻辑盘格式化以后可以分别进行恢复。①右单击鼠标选中右窗囗【入囗】，选择【文件】|【新建】|【case2.case】|【本地驱动器】选项，单击【下一步】按钮。②选择【选择设备】选项中的【N】逻辑驱动器，单击【完成】按钮。③右单击鼠标选中【N】选项，在弹出的对话框中选择【恢复文件夹】按钮如图9-5所示。5．数据恢复——格式化恢复

对FAT卷、NTFS卷、UFS和图9-5格式化中恢复文件夹图9-5格式化中恢复文件夹6.证据还原

EnCase允许调查者将证据还原到预先准备的存储介质中。还原证据文件到存储介质理论上允许调查人员启动还原后的介质，并查看嫌疑人计算机的工作环境，且不会改变原始数据。但是要注意取证分析时不要在接有嫌疑人硬盘是情况下，启动要取证的硬盘。6.证据还原

EnCase允许调查者将证据还原到预先准备的7.查看文件

对设备进行预览或获取时，可以以各种格式来查看从设备中解析出来的文件。①选择【视图】|【文件查看器】选项。②右单击鼠标选中【文件查看器】|【新建】选项，在弹出的对话框中选择【应用程序路径】中的程序文件，如图9-6所示。7.查看文件

对设备进行预览或获取时，可以以各种格式来查看图9-6文件类型的查看器图9-6文件类型的查看器设置文件类型与查看器的关联。①选择【视图】|【文件类型】选项。②在左窗口中单击树形面板中某一文件夹(例如【Picture】)，在右窗口中单击需要关联的某一文件扩展名，右单击鼠标选中【编辑】选项，如图9-7所示。设置文件类型与查看器的关联。图9-7文件类型与查看器的关联图9-7文件类型与查看器的关联査看文件结构EnCase提供了对证据文件中的复合文件的各个独立组成部分的信息直接查看功能。具体操作步骤如下：

①选择要查看或加载的相应文件。②在右窗口中单击某一类型文件，右单击鼠标选中【査看文件结构】选项，如图9-8所示。査看文件结构图9-8査看文件结构图9-8査看文件结构8．文件分析——签名分析

当文件类型被标准化之后，程序可以通过签名或头部信息来识别数据。文件头部是与特定的文件扩展名相关联的。增加新签名①选择【视图】|【文件签名】选项。

②右单击鼠标选中【文件签名】|【新建】选项，表中【搜索表达式】填入文件的头部或签名；【名称】填入任意说明性的标题。8．文件分析——签名分析

当文件类型被标准化之后，程序可以通执行签名分析①在右窗口中单击某一类型文件(例如【mdb】)。②单击工具栏中【捜索】选项，然后单击【开始】按钮。执行签名分析9．哈希分析——对案例哈希分析

取证人员使用EnCase的哈希特性为每个文件生成一个唯一的“数字指纹”—哈希值。通过MD5哈希算法（128位）生成哈希值并将其存储在证据文件中。9．哈希分析——对案例哈希分析

取证人员使用EnCase的哈EnCase还是能够通过计算出文件的哈希值并与哈希库中的哈希值进行比对来识别出目标文件。①在列表面板中，选择要计算哈希值的文件，单击工具栏中【捜索】按钮（或者【工具】|【捜索】）。②然后单击【开始】按钮，如图9-9所示。EnCase还是能够通过计算出文件的哈希值并与哈希库中的哈希图9-9对案例哈希分析图9-9对案例哈希分析10．哈希分析——创建哈希集

哈希集是属于同一个组中的哈希值(代表唯一文件)的集合。当对证据文件进行哈希分析时，EnCase可以识别出与该哈希值相匹配的文件。那些逻辑文件可以在随后的搜索和调查中进行排除，从而提高关键字搜索及其它分析功能的执行效率。10．哈希分析——创建哈希集

哈希集是属于同一个组中的哈希值哈希库的特性使得取证人员可以导入或定制一个包含哈希集的哈希库以便因地制宜地识别证据文件中哪些文件与导入的哈希集匹配。①打开案例，单击工具栏中【捜索】按钮。

②选择【散列选项】中的计算散列值。为整个案例中的文件创建哈希值。哈希库的特性使得取证人员可以导入或定制一个包含哈希集的哈希库③当搜索结束后选中要添加到哈希集中的文件。右单击列表面板，选择菜单中的创建散列集。④对话框中输入哈希集的名称以及类型，然后单击【确定】按钮。随之生成一个哈希集。如图9-10所示。③当搜索结束后选中要添加到哈希集中的文件。右单击列表面板，图9-10创建哈希集名和类型图9-10创建哈希集名和类型11．关键字——创建全局关键字和增加关键字

EnCase的强大搜索引擎使得它能够定位当前打开的案例中的任何物理介质或是逻辑介质中的证据信息。全局关键字可以在任何案例中运用，当然它们也可以被设置为指定案例的关键字并仅运用于已存在的案例之中。11．关键字——创建全局关键字和增加关键字

EnCase的强创建全局关键字操作步骤如下：

①选择【视图】|【关键字】选项。②右单击鼠标选中【关键字】|【新建文件夹】选项，如图9-11所示。创建全局关键字操作步骤如下：③右单击鼠标选中【文件夹2】|【新建】选项，【捜索表达式】框內输入要搜寻的文本；【名称】框內输入搜索表达式在文件夹中显示的名称；【GREP】采用GREP语法进行搜索；【ANSILatin-1】搜索文档过程中将采用ANSILatin-1代码页；【Unicode】在Unicode操作系统中进行调查取证时需要选择这个选项；【UnicodeBig-Endian】在UnicodeBig-Endian操作系统（如基于Motorola的苹果机操作系统）中进行调查时需要选择这个选项。UnicodeBig-Endian使用于非Intel的架构的系统中。③右单击鼠标选中【文件夹2】|【新建】选项，【捜索表达式】图9-11新建关键字图9-11新建关键字12．关键字——导入和导出关键字

关键字及关键字列表可以从其它用户导入或导出。①右单击鼠标选中需要导入或导出的【文件夹】选项。②在【输入文件】框內输入要导入或导出的文本文件。③按【确定】按钮，以TXT文本文件的格式导入或导出关键字和关键字列表，如图9-12所示。12．关键字——导入和导出关键字

关键字及关键字列表可以从其图9-12导出关键字图9-12导出关键字13．搜索电子邮件和互联网搜索

①单击工具栏中【捜索】按钮。②选择相关选项，Web邮件（包括Netscape、Hotmail以及yahooWebmail）都可以被选中进行搜索。然后单击【开始】按钮，如图9-13所示。13．搜索电子邮件和互联网搜索

①单击工具栏中【捜索】按钮图9-13搜索电子邮件图9-13搜索电子邮件③选择【工具】|【Web邮件分析器】选项，选择要搜索的Web邮件类型。可以只对选定的文件进行搜索，如图9-14所示。③选择【工具】|【Web邮件分析器】选项，选择要搜索的We图9-14Web邮件分析器图9-14Web邮件分析器14．书签

EnCase可以为文件、文件夹或是文件中的部分内容进行标记以便日后参考。这些标记称为书签，所有的书签都被存储在与它们相关联的案例文件中。创建加亮数据书签操作步骤如下：①在视图面板之中，选中要进行处理的内容。②右单击高亮选中的内容，选择【书签数据】选项，如图9-15所示。14．书签

EnCase可以为文件、文件夹或是文件中的部分图9-15书签数据图9-15书签数据创建文件夹结构书签：①右单击要进行书签标记的设备或文件夹，选择【书签数据】选项，。②如要改变默认设置，则输入相应的合适的值，然后单击【开始】按钮，如图9-16所示。创建文件夹结构书签：图9-16书签文件夹结构图9-16书签文件夹结构编辑书签：①在列表面板的书签视图中右单击目标书签，选中【书签】|【编辑】选项。②编辑显示在编辑对话框中的内容，然后单击【开始】按钮，如图9-17所示。编辑书签：图9-17编辑书签图9-17编辑书签15．报告

取证调查的最后阶段是提交发现的结果报告，该报告应用一种易理解，易阅读的形式来组织。输出报告操作步骤如下：①鼠标置于报告中，单击右键，出现选择对话框。②选择【导出】选项，要求设置输出的信息(例如【HTML】)。③输入或者通过浏览选择报告要输出的路径。单击【开始】按钮，如图9-18所示。新创建的报告文件即可使用。15．报告

取证调查的最后阶段是提交发现的结果报告，该报告应图9-18报告图9-18报告9.1.2UTK

UTK软件是ACCESSDATA公司开发的一套司法取证软件。其包括FTKImager，ForensicToolkit（简称FTK），RegistryViewer（简称RV），PasswordRecoveryToolkit（简称PRTK），DistributedNetworkAttack（简称DNA），WipeDrive等几款工具软件。9.1.2UTK

UTK软件是ACCESSDATA公司开发1.FTKImager

FTKImager是一个数据预览和映像工具，它可使调查人员快速访问电子证据以确定是否有必要使用FTK或其他分析工具作进一步分析。1.FTKImager

FTKImager是一个数据使用FTKImager可以完成以下几个功能：①预览功能。FTKImager可以预览本地硬盘驱动器、软盘、Zip磁盘、CD和DVD中的文件和文件夹；可以预览在本地计算机或网络驱动器上存储的镜像文件内容。并且可以从镜像文件中导出文件和文件夹。②精确复制功能。FTKImager为本地硬盘驱动器、软盘、Zip磁盘、CD和DVD创建精确副本。③报告生成功能。FTKImager能生成常规文件和磁盘映像（包括磁盘映像中的文件）的散列报告。使用FTKImager可以完成以下几个功能：(1)使用准备

①连接介质②打开软件。如图9-19所示：(1)使用准备

①连接介质图9-19FTKImager界面图9-19FTKImager界面(2)添加（或删除）证据项

添加（或删除）证据项。从菜单中选择文件>添加证据项或单击工具栏中的相应按钮，如图9-20所示，添加后如图9-21所示。(2)添加（或删除）证据项

添加（或删除）证据项。从菜单中图9-20添加证据项1图9-20添加证据项1图9-21添加证据项2图9-21添加证据项2(3)创建文件镜像

创建镜像文件时，FTKImager允许将单个映像文件写入单个目标位置，或将多个映像文件同时写入多个目标位置，可以将现有镜像文件转换为其他的格式的镜像文件，可以从证据项中导出或复制文件，以便按需打印、采用电子邮件发送或组织文件，而无需更改原始证据，如图9-22所示。(3)创建文件镜像

创建镜像文件时，FTKImager图9-22创建文件镜像图9-22创建文件镜像(3)导出散列报告

FTKImager可以导出散列报告。选定要导出散列值的文件，右键选择导出散列值，如图9-23所示。导出后打开效果如图9-24所示。(3)导出散列报告

FTKImager可以导出散列报告。图9-23导出散列报告图9-23导出散列报告图9-24散列报告导出效果图9-24散列报告导出效果2.FTK

FTK软件使用方便，可以通过多种方式分析证据，创建案例报告。它支持的磁盘分区格式包括NTFS，NTFScompressed,，FAT12/16/32,，Linuxext2&ext3等。支持镜像文件格式包括Encase，SMART，Snapback，Safeback(3.0版本以上)，LinuxDD等。软件支持不同格式文件的查看，允许对获取的镜像文件快速浏览。其界面如图9-25所示。2.FTK

FTK软件使用方便，可以通过多种方式分析证据，图9-25FTK界面图9-25FTK界面FTK软件使用步骤如下：①新建案例。打开FTK软件，选择新建一个案例，如图9-26所示。FTK软件使用步骤如下：图9-26新建一个案例图9-26新建一个案例②填写案例信息。填写调查人员的信息和案例的信息，案例信息包括案例名称、案例编号，案例证据所存放位置，案例描述等信息。如图9-27所示。②填写案例信息。填写调查人员的信息和案例的信息，案例信息包括图9-27案例描述信息图9-27案例描述信息③填写调查人员信息。调查人员信息包括调查人员所处的机构、通信地址、电话、传真、备注信息等，这些信息。如图9-28所示。③填写调查人员信息。调查人员信息包括调查人员所处的机构、通信图9-28调查人员信息图9-28调查人员信息④选择案例日志。案例日志包括案例和证据事件日志、错误消息日志、书签事件日志、检索事件日志、数据挖掘与互联网关键词检索日志、其它日志。如图9-29所示。④选择案例日志。案例日志包括案例和证据事件日志、错误消息日志图9-29案例日志图9-29案例日志⑤案例处理选项。处理选项包括MD5哈希值、SHA1哈希值、已知文件过滤器（KFF）查找、全文索引、缩略图存储、EFS文件解密、文件列表数据库、数据挖掘等多种选项、如图9-30所示。⑤案例处理选项。处理选项包括MD5哈希值、SHA1哈希值、已图9-30案例处理选项图9-30案例处理选项单击【下一步】，选择案例证据精简选项。根据文件的状态和文件的类型等相关信息进行排除，文件的状态包括加密状态、删除状态、电子邮件状态等信息。如图9-31所示。单击【下一步】，选择案例证据精简选项。根据文件的状态和文件的图9-31文件的状态图9-31文件的状态单击【下一步】，选择索引参数精简选项。索引参数精简选项设置的主要目的是节省时间和资源，并且使得证据检索更加有效，可以通过设置排除一些相关数据的索引建立。具体设置类似案例证据精简选项。如图9-32所示。单击【下一步】，选择索引参数精简选项。索引参数精简选项设置的图9-32案例证据精简选项图9-32案例证据精简选项单击“NEXT（下一步）”，选择案例中的证据信息，通过添加“独立文件”添加证据。如图9-33所示。单击“NEXT（下一步）”，选择案例中的证据信息，通过添加“图9-33添加证据图9-33添加证据在添加证据时，FTK要求每一个FAT分区均设置时区，设置以后，FTK会将所有时间转换成统一的GMT标准时间。如图9-34所示。在添加证据时，FTK要求每一个FAT分区均设置时区，设置以后图9-34标准时间图9-34标准时间单击“NEXT（下一步）”，案例创建即已完成。FTK将自动处理案例有关的数据。如图9-35所示。单击“NEXT（下一步）”，案例创建即已完成。FTK将自动处图9-35案例创建完成图9-35案例创建完成单击“FINISH（完成）”，FTK将自动处理的结果显示在如图9-36所示的界面中。单击“FINISH（完成）”，FTK将自动处理的结果显示在如图9-36处理的结果图9-36处理的结果FTK可以生成案件报告。若要生成案件报告，可以使用菜单“FILE（文件）”，选择“ReportWizard（报告向导）”。如图9-37所示。FTK可以生成案件报告。若要生成案件报告，可以使用菜单“FI图9-37报告向导图9-37报告向导①在报告向导中的第一步，需要填写案例的信息。②处理好案例信息后，单击“NEXT（下一步）”，处理书签导出与显示信息。③处理好书签导出与显示信息后，单击“NEXT（下一步）”，处理书签文件属性信息。

④处理书签信息后，单击“NEXT（下一步）”，处理已标记的缩略图形有关信息。①在报告向导中的第一步，需要填写案例的信息。⑤处理已标记的缩略图形后，单击“NEXT（下一步）”，处理文件管理方面的路径信息。单击“NEXT（下一步）”，处理文件管理方面的文件属性信息。⑤处理已标记的缩略图形后，单击“NEXT（下一步）”，处理文单击“NEXT（下一步）”，处理补充文件有关信息。单击“NEXT（下一步）”，处理报告位置有关信息。如下图所示。报告生成后,会显示如图9-38所示对话框。单击“NEXT（下一步）”，处理补充文件有关信息。图9-38报告生成对话框图9-38报告生成对话框单击“确定”，最终的报告将以HTML形式显示出来,如图9-39所示。单击“确定”，最终的报告将以HTML形式显示出来,如图9-3图9-39最终的报告图9-39最终的报告3．RV

RegistryViewer可以查看注册表信息、读取独立的注册表文件、破解注册表中被保护的数据；并且可以与FTK集成。图9-40为RV界面。3．RV

RegistryViewer可以查看注册表信息、图9-40RV界面图9-40RV界面9.2硬件工具

9.2.1电子证据只读锁和硬盘复制机1.电子证据只读锁为了避免在计算机取证过程中，由于对硬盘操作而引发更改硬盘的数据现象。釆用电子证据只读锁已经成为计算机取证的标准配置工具，其获取的证据的有效性已经被法庭采信。9.2硬件工具

9.2.1电子证据只读锁和硬盘复制机只读锁通过屏蔽写信号，确保不会修改犯罪嫌疑人的硬盘，这样就具有司法有效性。如图9-41所示，具体操作步骤如下：只读锁通过屏蔽写信号，确保不会修改犯罪嫌疑人的硬盘，这样就具图9-41电子证据只读锁图9-41电子证据只读锁①将嫌疑硬盘连接到只读锁。②只读锁必须确保置于只读模式。通过1394接口、USB接口或IDE接口与取证机连接。③打开PC计算机和只读锁电源，开始工作。①将嫌疑硬盘连接到只读锁。2.硬盘复制机

目前对硬盘的数据获取主要有软件方式和硬件方式两种实现方法。软件方式主要利用如EnCase、FTK或其它专用拷贝软件，通过相应接口，实现对嫌疑硬盘的数据分析或直接硬盘复制，能够一定程度上满足硬盘数据获取的需要。2.硬盘复制机

目前对硬盘的数据获取主要有软件方式和硬件方硬件方式主要利用硬盘拷贝机，通过对嫌疑硬盘的快速物理拷贝，实现对硬盘数据的完整获取。硬件方式主要利用硬盘拷贝机，通过对嫌疑硬盘的快速物理拷贝，实其中Talon是实测拷贝速度较高（达4GB/分钟）的司法取证复制机如图9-42所示，它具有自动生成实时取证工作报告写入CF卡的功能。其中Talon是实测拷贝速度较高（达4GB/分钟）的司法取图9-42Talon硬盘复制机图9-42Talon硬盘复制机①通过USB接连接目标计算机。连接好源盘（嫌疑盘）、目标盘。②打开Talon机电源。先对目标盘格式化。按下【Select】键，选择【Mode】菜单，按下【Select】键，移动到【WipecleanDest】选项，按下【Select】键，再按【START/STOP】开始格式化，输入日志文件名称（八个字符以内，建议用当日的日期或者案子名称等）。①通过USB接连接目标计算机。连接好源盘（嫌疑盘）、目标盘③计算源盘（嫌疑盘）的Hash256/MD5值。按下【Select】键，选择【Mode】菜单，按下【Select】键，移动到【CalcHASH】选项，按下【Select】键，选择SHA-256模式，再按【START/STOP】，同第2步输入日志文件名称。③计算源盘（嫌疑盘）的Hash256/MD5值。按下【Se④镜像文件的获取（硬盘复制）。按下【Select】键，选择【Mode】菜单，按下【Select】键，选择镜像模式：Capture(完全镜像)、DDCapture模式，按【START/STOP】开始复制。⑤计算目标盘的Hash256（同步骤3）验证目标盘数据与源盘数据的一致性。④镜像文件的获取（硬盘复制）。按下【Select】键，选择9.2.2DC-8000PRO取证专用机

电子数据证据分析专用计算机DC-8000PRO，如图9-43所示。针对政府执法部门、计算机安全行业需求的新一代电子数据证据分析专用一体化设备。9.2.2DC-8000PRO取证专用机

电子数据证据分图9-43DC-8000PRO取证专用机图9-43DC-8000PRO取证专用机1.连接硬盘①将硬盘设置为主盘（若为IDE硬盘）。②连接硬盘到专用机右侧的源盘接口上。③确认对应接口处于只读状态（默认即为只读状态）。④打开接口开关。1.连接硬盘2.更换硬盘①在操作系统中“安全弹出”相关硬盘。②将相应的设备对应的开关拨到“关”状态。③断开硬盘的数据和电源线。④连接数据线和电源线到准备换上的硬盘。打开只读开关电源。2.更换硬盘3.连接笔记本证据硬盘

①打开“取证专用IDE包”取出笔记本硬盘数据连接线。

②拆除笔记本硬盘外壳，取出其硬盘。③取出三合一硬盘转节卡，连接电源线和数据线。3.连接笔记本证据硬盘4．硬盘复制①连接目标硬盘到专用机左侧的目标盘接口。②连接源硬盘到专用机右侧的源盘接口。③确认对应接口处于只读状态（默认即为只读状态），确认对应接口开关处于“开”状态。④启动DC-8000PRO专用机进入专用复制程序进行复制。4．硬盘复制9.2.3DC-8600在线调查取证系统

在线调查取证是指在不关闭目标计算机的情况下，获取目标计算机的电子证据并进行分析的技术。DC-8600最适合计算机案件现场取证调查，能够自动提取易丢失数据、针对不能拆卸笔记本硬盘、磁盘阵列提取目标主机上特定数据，并对取证过程进行监管，保证在线调查取证分析的有效性，自动生成取证报告完成在线取证。9.2.3DC-8600在线调查取证系统

在线调查取证是指1.运行中的目标计算机电子数据获取

①将目标计算机通过USB接囗连接到DC-8600。②启动EdataAcquire程序，进入电子数据获取平台如图9-44所示。③选择【案件信息】选项，填入案件名称、调查人员、调查时间等相关信息。1.运行中的目标计算机电子数据获取

①将目标计算机通过U图9-44DC-8600电子数据获取平台图9-44DC-8600电子数据获取平台④选择【易丢失信息】选项如图9-45所示，获取当前进程信息（进程号、优先级、进程名称、父进程号、已运行时间、占用CPU时间、命令行路径、进程使用内存信息）；登陆用户信息（用户名称、登陆时间、用户登陆历史信息）；网络连接信息（TCP协议连接信息、进程号、本地地址及端口、目标地址及端口）；网络配置信息；内存内容信息；系统硬件信息（系统内存信息、物理内存、虚拟内存、页面文件、系统硬盘SN信息）；ARP表信息；剪贴板内容。④选择【易丢失信息】选项如图9-45所示，获取当前进程信息图9-45易丢失信息图9-45易丢失信息⑤选择【特定数据】选项如图9-46所示，单击任务栏的【搜索】按钮，自动搜索整个硬盘中符合条件的Office文档、图形文件、视频文件、邮件文件、上网记录、QQ聊天记录。选中搜索到的文件，单击任务栏的【获取】按钮，搜索到的相关文件自动保存在硬盘中。⑤选择【特定数据】选项如图9-46所示，单击任务栏的【搜索图9-46特定数据图9-46特定数据⑥选择【硬盘复制】选项，将取证计算机的硬盘可以在不修改任何数据的情况下完成硬盘复制功能。⑦选择【加密文件】选项，如图9-47所示，自动搜索整个硬盘中符合条件的加密的Word、Excel文档、PDF文档、RAR、ZIP文档、ARJ文档，【获取】方法同上。⑥选择【硬盘复制】选项，将取证计算机的硬盘可以在不修改任何图9-47加密文件图9-47加密文件⑧选择【关键数据】选项，如图9-48所示，获取自动表单內容、邮件帐号、即时通讯帐号和网络帐号。⑧选择【关键数据】选项，如图9-48所示，获取自动表单內容图9-48关键数据图9-48关键数据分别对键盘操作记录、屏幕操作记录、鼠标操作记录、进程记录、流程监管报告MD5值校验，监控如图9-49所示分别对键盘操作记录、屏幕操作记录、鼠标操作记录、进程记录、流图9-49监控目录图9-49监控目录2.关机中的目标计算机电子数据获取

如果目标计算机已关机，那么使用DC-8600光盘启动目标计算机（设置目标计算机的BIOS），改变启动模式为光盘启动。①将目标计算机通过USB接囗连接到DC-8600。②用DC-8600启动光盘启动目标计算机。③选择【特定数据获取】选项，具体方法同上述第⑤点。2.关机中的目标计算机电子数据获取

如果目标计算机已关机，④由于取证计算机的硬盘处在关机状态下，启动目标计算机后选择【硬盘复制】选项，如图9-50DC-8600所示。④由于取证计算机的硬盘处在关机状态下，启动目标计算机后选择图9-50硬盘复制机图9-50硬盘复制机⑤单击硬盘【复制】按钮，选择【硬盘到硬盘】或【指定扇区块到指定扇区块】选项进入硬盘复制程序，如图9-51所示。⑥单击硬盘【擦除】按钮，选择【硬盘擦除】和【擦除设置】选项，进入硬盘擦除程序，如图9-52所示。⑤单击硬盘【复制】按钮，选择【硬盘到硬盘】或【指定扇区块到图9-51硬盘复制

图9-51硬盘复制图9-52擦除设置图9-52擦除设置思考与练习

1.简述计算机取证过程的司法有效性。2简述计算机取证软件EnCase的基本功能和使用方法。3.简述计算机取证软件FTK基本功能和使用方法。4.如何对计算机取证过程中嫌疑的硬盘进行复制？5．简述易丢失信息和关键数据获取方法。6．简述关机中的目标计算机电子数据获取方法。

思考与练习

1.简述计算机取证过程的司法有效性。信息犯罪与计算机取证第九章计算机取证工具信息犯罪与计算机取证第九章计算机取证工具本章重点内容：计算机取证软件EnCase、FTK的基本使用。计算机取证过程中电子证据只读锁、硬盘复制机、取证计算机系统。本章重点内容：计算机取证软件EnCase、FTK的基本使用。本章学习要求：通过本章学习，初步掌握EnCase、FTK的使用方法。本章学习要求：通过本章学习，初步掌握EnCase、FTK的使9.1软件工具

9.1.1EnCaseEnCase是用C++编写的容量大约为1M的程序，它能调查Windows、Macintosh、Unix或Dos计算机的硬盘。EnCase釆用与计算机CRC校验码和MD5哈希值进行比较。确定镜像数据与原先数据完全相同。9.1软件工具

9.1.1EnCase1.基本操作——添加设备

EnCase法证版在一个关联的案例中组织电子证据。电子证据可以被预览和获取．一旦电子证据被获取或被添加到案例中，就可以进行分析。通过入口（Entry）添加到案例中的证据文件或者包含电子证据的的文件。1.基本操作——添加设备

EnCase法证版在一个关联的案例①启动EnCase程序，进入电子数据取证平台，如图9-1所示。②选择【新建】选项，填入案件名称、调查人员、导出文件夹、临时文件夹和索引文件夹，建案例并添加设备。③选择【文件】|【添加设备】|【本地驱动器】（或【Palm掌上设备】或【网络交叉线】）|【N逻辑硬盘】选项，添加证据文件到案件中。①启动EnCase程序，进入电子数据取证平台，如图9-1所图9-1主窗囗图9-1主窗囗2.基本操作——获取

将设备添加到案例中后，就可以获取它的内容。①右单击鼠标选中左窗囗【N逻辑硬盘】选项，在弹出的对话框中选择【获取之后】的多个磁盘的连续获取，使得查找、哈希值计算、数字签名分析在获取操作完成时也同时完成。单击【下一步】按钮。2.基本操作——获取

将设备添加到案例中后，就可以获取它的②在【搜索】选项框中分别选择【关键字搜索选项】和【电子邮件搜索选项】的相应项如图9-2所示，单击【下一步】按钮。③在【选项】选项框中分别设置硬盘的起始和结束扇区(注意，不要把整个硬盘的内容都加进来，这样会导致证据文件过大)、证据文件（.E01）的输出路径等,单击【完成】按钮。④对证据文件验证完毕后保存。②在【搜索】选项框中分别选择【关键字搜索选项】和【电子邮件图9-2搜索图9-2搜索3．基本操作——逻辑证据文件

逻辑证据文件（LEF）的内容包含了通常在预览嫌疑计算机时，从该计算机中复制出来的一系列文件。①右单击鼠标选中右窗囗，选择与逻辑证据文件相关的文件和文件夹，在弹出的对话框中选择【创建逻辑证据】选项，选择创建逻辑证据文件的来源页面。单击【下一步】按钮。②在创建逻辑证据文件的输出页面中，输入或浏览逻辑证据文件的存储路径，并输入文件名。单击【下一步】按钮。再单击【完成】按钮，如图9-3所示。3．基本操作——逻辑证据文件

逻辑证据文件（LEF）的内容包图9-3逻辑证据文件图9-3逻辑证据文件4．数据恢复——恢复文件夹

在删除FAT卷、NTFS卷、UFS和EXT2/3分区文件夹可以分别进行恢复。①右单击鼠标选中右窗囗【入囗】选项，选择【文件】|【打开】|【case1.case】|【本地驱动器】选项，单击【下一步】按钮。②选择【选择设备】选项中的【N】逻辑驱动器，单击【完成】按钮。③右单击鼠标选中【N】选项，在弹出的对话框中选择【恢复文件夹】选项，如图9-4所示。4．数据恢复——恢复文件夹

在删除FAT卷、NTFS卷、UF图9-4恢复文件夹图9-4恢复文件夹5．数据恢复——格式化恢复

对FAT卷、NTFS卷、UFS和EXT2/3分区的逻辑盘格式化以后可以分别进行恢复。①右单击鼠标选中右窗囗【入囗】，选择【文件】|【新建】|【case2.case】|【本地驱动器】选项，单击【下一步】按钮。②选择【选择设备】选项中的【N】逻辑驱动器，单击【完成】按钮。③右单击鼠标选中【N】选项，在弹出的对话框中选择【恢复文件夹】按钮如图9-5所示。5．数据恢复——格式化恢复

对FAT卷、NTFS卷、UFS和图9-5格式化中恢复文件夹图9-5格式化中恢复文件夹6.证据还原

EnCase允许调查者将证据还原到预先准备的存储介质中。还原证据文件到存储介质理论上允许调查人员启动还原后的介质，并查看嫌疑人计算机的工作环境，且不会改变原始数据。但是要注意取证分析时不要在接有嫌疑人硬盘是情况下，启动要取证的硬盘。6.证据还原

EnCase允许调查者将证据还原到预先准备的7.查看文件

对设备进行预览或获取时，可以以各种格式来查看从设备中解析出来的文件。①选择【视图】|【文件查看器】选项。②右单击鼠标选中【文件查看器】|【新建】选项，在弹出的对话框中选择【应用程序路径】中的程序文件，如图9-6所示。7.查看文件

对设备进行预览或获取时，可以以各种格式来查看图9-6文件类型的查看器图9-6文件类型的查看器设置文件类型与查看器的关联。①选择【视图】|【文件类型】选项。②在左窗口中单击树形面板中某一文件夹(例如【Picture】)，在右窗口中单击需要关联的某一文件扩展名，右单击鼠标选中【编辑】选项，如图9-7所示。设置文件类型与查看器的关联。图9-7文件类型与查看器的关联图9-7文件类型与查看器的关联査看文件结构EnCase提供了对证据文件中的复合文件的各个独立组成部分的信息直接查看功能。具体操作步骤如下：

①选择要查看或加载的相应文件。②在右窗口中单击某一类型文件，右单击鼠标选中【査看文件结构】选项，如图9-8所示。査看文件结构图9-8査看文件结构图9-8査看文件结构8．文件分析——签名分析

当文件类型被标准化之后，程序可以通过签名或头部信息来识别数据。文件头部是与特定的文件扩展名相关联的。增加新签名①选择【视图】|【文件签名】选项。

②右单击鼠标选中【文件签名】|【新建】选项，表中【搜索表达式】填入文件的头部或签名；【名称】填入任意说明性的标题。8．文件分析——签名分析

当文件类型被标准化之后，程序可以通执行签名分析①在右窗口中单击某一类型文件(例如【mdb】)。②单击工具栏中【捜索】选项，然后单击【开始】按钮。执行签名分析9．哈希分析——对案例哈希分析

取证人员使用EnCase的哈希特性为每个文件生成一个唯一的“数字指纹”—哈希值。通过MD5哈希算法（128位）生成哈希值并将其存储在证据文件中。9．哈希分析——对案例哈希分析

取证人员使用EnCase的哈EnCase还是能够通过计算出文件的哈希值并与哈希库中的哈希值进行比对来识别出目标文件。①在列表面板中，选择要计算哈希值的文件，单击工具栏中【捜索】按钮（或者【工具】|【捜索】）。②然后单击【开始】按钮，如图9-9所示。EnCase还是能够通过计算出文件的哈希值并与哈希库中的哈希图9-9对案例哈希分析图9-9对案例哈希分析10．哈希分析——创建哈希集

哈希集是属于同一个组中的哈希值(代表唯一文件)的集合。当对证据文件进行哈希分析时，EnCase可以识别出与该哈希值相匹配的文件。那些逻辑文件可以在随后的搜索和调查中进行排除，从而提高关键字搜索及其它分析功能的执行效率。10．哈希分析——创建哈希集

哈希集是属于同一个组中的哈希值哈希库的特性使得取证人员可以导入或定制一个包含哈希集的哈希库以便因地制宜地识别证据文件中哪些文件与导入的哈希集匹配。①打开案例，单击工具栏中【捜索】按钮。

②选择【散列选项】中的计算散列值。为整个案例中的文件创建哈希值。哈希库的特性使得取证人员可以导入或定制一个包含哈希集的哈希库③当搜索结束后选中要添加到哈希集中的文件。右单击列表面板，选择菜单中的创建散列集。④对话框中输入哈希集的名称以及类型，然后单击【确定】按钮。随之生成一个哈希集。如图9-10所示。③当搜索结束后选中要添加到哈希集中的文件。右单击列表面板，图9-10创建哈希集名和类型图9-10创建哈希集名和类型11．关键字——创建全局关键字和增加关键字

EnCase的强大搜索引擎使得它能够定位当前打开的案例中的任何物理介质或是逻辑介质中的证据信息。全局关键字可以在任何案例中运用，当然它们也可以被设置为指定案例的关键字并仅运用于已存在的案例之中。11．关键字——创建全局关键字和增加关键字

EnCase的强创建全局关键字操作步骤如下：

①选择【视图】|【关键字】选项。②右单击鼠标选中【关键字】|【新建文件夹】选项，如图9-11所示。创建全局关键字操作步骤如下：③右单击鼠标选中【文件夹2】|【新建】选项，【捜索表达式】框內输入要搜寻的文本；【名称】框內输入搜索表达式在文件夹中显示的名称；【GREP】采用GREP语法进行搜索；【ANSILatin-1】搜索文档过程中将采用ANSILatin-1代码页；【Unicode】在Unicode操作系统中进行调查取证时需要选择这个选项；【UnicodeBig-Endian】在UnicodeBig-Endian操作系统（如基于Motorola的苹果机操作系统）中进行调查时需要选择这个选项。UnicodeBig-Endian使用于非Intel的架构的系统中。③右单击鼠标选中【文件夹2】|【新建】选项，【捜索表达式】图9-11新建关键字图9-11新建关键字12．关键字——导入和导出关键字

关键字及关键字列表可以从其它用户导入或导出。①右单击鼠标选中需要导入或导出的【文件夹】选项。②在【输入文件】框內输入要导入或导出的文本文件。③按【确定】按钮，以TXT文本文件的格式导入或导出关键字和关键字列表，如图9-12所示。12．关键字——导入和导出关键字

关键字及关键字列表可以从其图9-12导出关键字图9-12导出关键字13．搜索电子邮件和互联网搜索

①单击工具栏中【捜索】按钮。②选择相关选项，Web邮件（包括Netscape、Hotmail以及yahooWebmail）都可以被选中进行搜索。然后单击【开始】按钮，如图9-13所示。13．搜索电子邮件和互联网搜索

①单击工具栏中【捜索】按钮图9-13搜索电子邮件图9-13搜索电子邮件③选择【工具】|【Web邮件分析器】选项，选择要搜索的Web邮件类型。可以只对选定的文件进行搜索，如图9-14所示。③选择【工具】|【Web邮件分析器】选项，选择要搜索的We图9-14Web邮件分析器图9-14Web邮件分析器14．书签

EnCase可以为文件、文件夹或是文件中的部分内容进行标记以便日后参考。这些标记称为书签，所有的书签都被存储在与它们相关联的案例文件中。创建加亮数据书签操作步骤如下：①在视图面板之中，选中要进行处理的内容。②右单击高亮选中的内容，选择【书签数据】选项，如图9-15所示。14．书签

EnCase可以为文件、文件夹或是文件中的部分图9-15书签数据图9-15书签数据创建文件夹结构书签：①右单击要进行书签标记的设备或文件夹，选择【书签数据】选项，。②如要改变默认设置，则输入相应的合适的值，然后单击【开始】按钮，如图9-16所示。创建文件夹结构书签：图9-16书签文件夹结构图9-16书签文件夹结构编辑书签：①在列表面板的书签视图中右单击目标书签，选中【书签】|【编辑】选项。②编辑显示在编辑对话框中的内容，然后单击【开始】按钮，如图9-17所示。编辑书签：图9-17编辑书签图9-17编辑书签15．报告

取证调查的最后阶段是提交发现的结果报告，该报告应用一种易理解，易阅读的形式来组织。输出报告操作步骤如下：①鼠标置于报告中，单击右键，出现选择对话框。②选择【导出】选项，要求设置输出的信息(例如【HTML】)。③输入或者通过浏览选择报告要输出的路径。单击【开始】按钮，如图9-18所示。新创建的报告文件即可使用。15．报告

取证调查的最后阶段是提交发现的结果报告，该报告应图9-18报告图9-18报告9.1.2UTK

UTK软件是ACCESSDATA公司开发的一套司法取证软件。其包括FTKImager，ForensicToolkit（简称FTK），RegistryViewer（简称RV），PasswordRecoveryToolkit（简称PRTK），DistributedNetworkAttack（简称DNA），WipeDrive等几款工具软件。9.1.2UTK

UTK软件是ACCESSDATA公司开发1.FTKImager

FTKImager是一个数据预览和映像工具，它可使调查人员快速访问电子证据以确定是否有必要使用FTK或其他分析工具作进一步分析。1.FTKImager

FTKImager是一个数据使用FTKImager可以完成以下几个功能：①预览功能。FTKImager可以预览本地硬盘驱动器、软盘、Zip磁盘、CD和DVD中的文件和文件夹；可以预览在本地计算机或网络驱动器上存储的镜像文件内容。并且可以从镜像文件中导出文件和文件夹。②精确复制功能。FTKImager为本地硬盘驱动器、软盘、Zip磁盘、CD和DVD创建精确副本。③报告生成功能。FTKImager能生成常规文件和磁盘映像（包括磁盘映像中的文件）的散列报告。使用FTKImager可以完成以下几个功能：(1)使用准备

①连接介质②打开软件。如图9-19所示：(1)使用准备

①连接介质图9-19FTKImager界面图9-19FTKImager界面(2)添加（或删除）证据项

添加（或删除）证据项。从菜单中选择文件>添加证据项或单击工具栏中的相应按钮，如图9-20所示，添加后如图9-21所示。(2)添加（或删除）证据项

添加（或删除）证据项。从菜单中图9-20添加证据项1图9-20添加证据项1图9-21添加证据项2图9-21添加证据项2(3)创建文件镜像

创建镜像文件时，FTKImager允许将单个映像文件写入单个目标位置，或将多个映像文件同时写入多个目标位置，可以将现有镜像文件转换为其他的格式的镜像文件，可以从证据项中导出或复制文件，以便按需打印、采用电子邮件发送或组织文件，而无需更改原始证据，如图9-22所示。(3)创建文件镜像

创建镜像文件时，FTKImager图9-22创建文件镜像图9-22创建文件镜像(3)导出散列报告

FTKImager可以导出散列报告。选定要导出散列值的文件，右键选择导出散列值，如图9-23所示。导出后打开效果如图9-24所示。(3)导出散列报告

FTKImager可以导出散列报告。图9-23导出散列报告图9-23导出散列报告图9-24散列报告导出效果图9-24散列报告导出效果2.FTK

FTK软件使用方便，可以通过多种方式分析证据，创建案例报告。它支持的磁盘分区格式包括NTFS，NTFScompressed,，FAT12/16/32,，Linuxext2&ext3等。支持镜像文件格式包括Encase，SMART，Snapback，Safeback(3.0版本以上)，LinuxDD等。软件支持不同格式文件的查看，允许对获取的镜像文件快速浏览。其界面如图9-25所示。2.FTK

FTK软件使用方便，可以通过多种方式分析证据，图9-25FTK界面图9-25FTK界面FTK软件使用步骤如下：①新建案例。打开FTK软件，选择新建一个案例，如图9-26所示。FTK软件使用步骤如下：图9-26新建一个案例图9-26新建一个案例②填写案例信息。填写调查人员的信息和案例的信息，案例信息包括案例名称、案例编号，案例证据所存放位置，案例描述等信息。如图9-27所示。②填写案例信息。填写调查人员的信息和案例的信息，案例信息包括图9-27案例描述信息图9-27案例描述信息③填写调查人员信息。调查人员信息包括调查人员所处的机构、通信地址、电话、传真、备注信息等，这些信息。如图9-28所示。③填写调查人员信息。调查人员信息包括调查人员所处的机构、通信图9-28调查人员信息图9-28调查人员信息④选择案例日志。案例日志包括案例和证据事件日志、错误消息日志、书签事件日志、检索事件日志、数据挖掘与互联网关键词检索日志、其它日志。如图9-29所示。④选择案例日志。案例日志包括案例和证据事件日志、错误消息日志图9-29案例日志图9-29案例日志⑤案例处理选项。处理选项包括MD5哈希值、SHA1哈希值、已知文件过滤器（KFF）查找、全文索引、缩略图存储、EFS文件解密、文件列表数据库、数据挖掘等多种选项、如图9-30所示。⑤案例处理选项。处理选项包括MD5哈希值、SHA1哈希值、已图9-30案例处理选项图9-30案例处理选项单击【下一步】，选择案例证据精简选项。根据文件的状态和文件的类型等相关信息进行排除，文件的状态包括加密状态、删除状态、电子邮件状态等信息。如图9-31所示。单击【下一步】，选择案例证据精简选项。根据文件的状态和文件的图9-31文件的状态图9-31文件的状态单击【下一步】，选择索引参数精简选项。索引参数精简选项设置的主要目的是节省时间和资源，并且使得证据检索更加有效，可以通过设置排除一些相关数据的索引建立。具体设置类似案例证据精简选项。如图9-32所示。单击【下一步】，选择索引参数精简选项。索引参数精简选项设置的图9-32案例证据精简选项图9-32案例证据精简选项单击“NEXT（下一步）”，选择案例中的证据信息，通过添加“独立文件”添加证据。如图9-33所示。单击“NEXT（下一步）”，选择案例中的证据信息，通过添加“图9-33添加证据图9-33添加证据在添加证据时，FTK要求每一个FAT分区均设置时区，设置以后，FTK会将所有时间转换成统一的GMT标准时间。如图9-34所示。在添加证据时，FTK要求每一个FAT分区均设置时区，设置以后图9-34标准时间图9-34标准时间单击“NEXT（下一步）”，案例创建即已完成。FTK将自动处理案例有关的数据。如图9-35所示。单击“NEXT（下一步）”，案例创建即已完成。FTK将自动处图9-35案例创建完成图9-35案例创建完成单击“FINISH（完成）”，FTK将自动处理的结果显示在如图9-36所示的界面中。单击“FINISH（完成）”，FTK将自动处理的结果显示在如图9-36处理的结果图9-36处理的结果FTK可以生成案件报告。若要生成案件报告，可以使用菜单“FILE（文件）”，选择“ReportWizard（报告向导）”。如图9-37所示。FTK可以生成案件报告。若要生成案件报告，可以使用菜单“FI图9-37报告向导图9-37报告向导①在报告向导中的第一步，需要填写案例的信息。②处理好案例信息后，单击“NEXT（下一步）”，处理书签导出与显示信息。③处理好书签导出与显示信息后，单击“NEXT（下一步）”，处理书签文件属性信息。

④处理书签信息后，单击“NEXT（下一步）”，处理已标记的缩略图形有关信息。①在报告向导中的第一步，需要填写案例的信息。⑤处理已标记的缩略图形后，单击“NEXT（下一步）”，处理文件管理方面的路径信息。单击“NEXT（下一步）”，处理文件管理方面的文件属性信息。⑤处理已标记的缩略图形后，单击“NEXT（下一步）”，处理文单击“NEXT（下一步）”，处理补充文件有关信息。单击“NEXT（下一步）”，处理报告位置有关信息。如下图所示。报告生成后,会显示如图9-38所示对话框。单击“NEXT（下一步）”，处理补充文件有关信息。图9-38报告生成对话框图9-38报告生成对话框单击“确定”，最终的报告将以HTML形式显示出来,如图9-39所示。单击“确定”，最终的报告将以HTML形式显示出来,如图9-3图9-39最终的报告图9-39最终的报告3．RV

RegistryViewer可以查看注册表信息、读取独立的注册表文件、破解注册表中被保护的数据；并且可以与FTK集成。图9-40为RV界面。3．RV

RegistryViewer可以查看注册表信息、图9-40RV界面图9-40RV界面9.2硬件工具

9.2.1电子证据只读锁和硬盘复制机1.电子证据只读锁为了避免在计算机取证过程中，由于对硬盘操作而引发更改硬盘的数据现象。釆用电子证据只读锁已经成为计算机取证的标准配置工具，其获取的证据的有效性已经被法庭采信。9.2硬件工具

9.2.1电子证据只读锁和硬盘复制机只读锁通过屏蔽写信号，确保不会修改犯罪嫌疑人的硬盘，这样就具有司法有效性。如图9-41所示，具体操作步骤如下：只读锁通过屏蔽写信号，确保不会修改犯罪嫌疑人的硬盘，这样就具图9-41电子证据只读锁图9-41电子证据只读锁①将嫌疑硬盘连接到只读锁。②只读锁必须确保置于只读模式。通过1394接口、USB接口或IDE接口与取证机连接。③打开PC计算机和只读锁电源，开始工作。①将嫌疑硬盘连接到只读锁。2.硬盘复制机

目前对硬盘的数据获取主要有软件方式和硬件方式两种实现方法。软件方式主要利用如EnCase、FTK或其它专用拷贝软件，通过相应接口，实现对嫌疑硬盘的数据分析或直接硬盘复制，能够一定程度上满足硬盘数据获取的需要。2.硬盘复制机

目前对硬盘的数据获取主要有软件方式和硬件方硬件方式主要利用硬盘拷贝机，通过对嫌疑硬盘的快速物理拷贝，实现对硬盘数据的完整获取。硬件方式主要利用硬盘拷贝机，通过对嫌疑硬盘的快速物理拷贝，实其中Talon是实测拷贝速度较高（达4GB/分钟）的司法取证复制机如图9-42所示，它具有自动生成实时取证工作报告写入CF卡的功能。其中Talon是实测拷贝速度较高（达4GB/分钟）的司法取图9-42Talon硬盘复制机图9-42Talon硬盘复制机①通过USB接连接目标计算机。连接好源盘（嫌疑盘）、目标盘。②打开Talon机电源。先对目标盘格式化。按下【Select】键，选择【Mode】菜单，按下【Select】键，移动到【WipecleanDest】选项，按下【Select】键，再按【START/STOP】开始格式化，输入日志文件名称（八个字符以内，建议用当日的日期或者案子名称等）。①通过USB接连接目标计算机。连接好源盘（嫌疑盘）、目标盘③计算源盘（嫌疑盘）的Hash256/MD5值。按下【Select】键，选择【Mode】菜单，按下【Select】键，移动到【CalcHASH】选项，按下【Select】键，选择SHA-256模式，再按【START/STOP】，同第2步输入日志文件名称。③计算源盘（嫌疑盘）的Hash256/MD5值。按下【Se④镜像文件的获取（硬盘复制）。按下【Select】键，选择【Mode】菜单，按下【Select】键，选择镜像模式：Capture(完全镜像)、DDCapture模式，按【START/STOP】开始复制。⑤计算目标盘的Hash256（同步骤3）验证目标盘数据与源盘数据的一致性。④镜像文