电子数据取证鉴定实验室建设项目方案书

<DOCPROPERTY"密级"公司机密>DOCPROPERTY"Company"上海盘石数码,SAVEDATE\@"yyyy"2015页码：电子数据取证鉴定实验室建设项目中，我们将协助设计和提供各个环节的报告模板，协助建设实验室管理流程。安防设备配备门禁和视频监控安防管理。根据市局对电子取证鉴定实验室的建设标准要求，我们建立相应的装备要求，盘石公司提供了装备配置与报价的详细信息（参见附件一），但是在配置报价表中未考虑如下因素：室内装修（含门窗、工位、空调、电力、灯光等）网络基础设施（通信、机柜、交换机、网络布线等）门禁、监控等安保系统海量存储实验室认可认证如果需要上述配置，必须增加相应的预算。下面是各个装备的详细说明：数据的固定设备证据数据完整性的保护盘石只读接口套件盘石只读接口套件为分析过程提供了额外的写保护功能，使得在分析的过程中，证据媒介不会有任何的更改，从而有效的保护证据媒介。Tableau公司的UltraBlock系列是最好的写保护接口，提供了SCSI、IDE、SATA、USB、存储卡等各类写保护设备。本方案以UltraBlock设备为主提供写保护硬件设备。UltraBlock-IDE/SATAFireWire/USB接口的IDE/SATA取证写保护设备。UltraBlock-IDE/SATARO可以通过FireWire-A(400Mb/s),FireWire-B(800Mb/s),或者USB1.X/2.0接口将IDE硬盘连接到取证计算机硬盘，为IDE/SATA硬盘提供只读的证据获取和分析功能。由于该设备已经提供了SATA接口硬盘设备的写保护功能，本方案中使用此增强设备来代替SATA只读接口，不再提供单独的SATA只读接口设备。UltraBlockUSBWriteBlockUSB接口只读锁，通过UltraBlockUSB接口只读锁设备可以将任何USB存储设备变为只读。UltraBlockUSB支持USB2.0/1.1和低速设备接口。可以用于U盘，USB存储卡，USB外部硬盘等。和其它UltraBlock取证设备一样，USB接口只读锁可以通过1394/USB2.0连接到分析用计算机，支持各种操作系统平台和软件，在获取和分析过程中不用担心数据会写入到USB存储设备。UltraBlock-SCSIFireWire/USB到SCSI桥设备的取证写保护器。UltraBlock-SCSI可以通过FireWire-A(400Mb/s),FireWire-B(800Mb/s),或者USB1.X/2.0接口将SATAIDE硬盘连接到取证计算机，进行只读的证据获取和分析。UltraBlockForensicCardReaders存储卡只读接口设备，包括一个只读和一个可读写的存储卡接口设备，可以处理的存储卡包括：CompactFlashCard(CFC)MicroDrive(MD)MemoryStickCard(MSC)MemoryStickPro(MSPro)SmartMediaCard(SMC)xDCard(xD)SecureDigitalCard(SDC)MultiMediaCard(MMC)转接口设备通过存储媒介接口转换器，可以有效的对只读接口和硬盘复制机功能进行扩展，使得只读接口和硬盘复制机支持更多的存储媒介。本方案中提供的转接设备如下：IDE3.5-2.5，标准IDE转接到2.5笔记本硬盘IDE3.5-1.8，标准IDE转接到1.8寸笔记本硬盘IDE3.5-ZIF，标准IDE转接到ZIF硬盘SCSI68-80，68针SCSI转接到80针接口SCSI68-50，66针SCSI转接到50针接口MINISATA，迷你SATA转标准SATASolo-III高速多功能复制机套件本方案在现场复制机的选型方面，采用了ImageMASSterSolo-III硬盘复制机。ImageMASSterSolo-III取证系统是一套手持式、轻便、高速的硬盘数据获取设备，专为司法取证用途而设计。利用该设备的同步数据校验功能，可确保疑犯数据的精确复制，不会造成数据传输过程中疑犯硬盘数据修改和数据重置。系统特性:中文菜单和操作界面。MD5和CRC32哈希校验：在复制的过程中可以同时计算MD5和CRC32哈希校验值。触摸屏用户界面：高级触摸屏用户界面和可编程的键盘，方便用户使用。高速数据复制：数据复制速度超过3GB/分钟。内置写保护：对嫌疑人硬盘提供内置的写保护功能。内置1394B和USB2.0接口：用来获取不能打开的嫌疑人笔记本和PC。通过写保护端口连接后可以预览嫌疑人硬盘。同时获取到两块硬盘：可以将数据高速获取道两块硬盘。支持IDE、SATA和SCSI硬盘设备（SCSI设备通过附加硬件设备支持）。多获取模式：用位到位的方式将嫌疑人硬盘数据复制到，分段的DD文件，这样可以将多个镜像复制到一块证据硬盘。擦除功能：擦除数据的速度超过3GB/分钟。拷贝HPA和DCO区域。HPA是独立于硬盘正常操作系统文件系统之外的保留区域。该设备可检测并获取此区域。DCO允许系统修改硬盘提供的相关参数。该设备可检测并获取此区域。坏扇区处理。增强的坏扇区处理功能，允许操作者跳过整个扇区坏块。审计日志：详细的操作日志可以打印或者保存到CF卡中。多种介质设备支持：支持IDE、SATA、SCSI硬盘之间的数据复制。也可以闪存和笔记本硬盘获取数据（SCSI设备通过附加硬件设备支持）。升级：软件和固件可以通过CF卡进行升级。硬件规格:电压：90-230V/50-60Hz功率：在未接硬盘时10W温度：5-55摄氏度相对湿度：20%-60%净重：2.2磅尺寸：8.3"x5.8"x2.2"同时包括如下硬件选项组成高速复制机取证箱，提供对SCSI硬盘的高速复制和获取能力。快速SCSI选项：完成从一块SCSI硬盘到另外一块SCSI硬盘的复制，速度超过4GB/分钟。通过可选的其它适配器完成SCSI硬盘到SATA和IDE硬盘的复制。SCSI到SATA适配器：允许从SCSI硬盘复制到另外一块SATA硬盘。SCSI到IDE(P-ATA)适配器：允许从SCSI硬盘复制到另外一块IDE硬盘。笔记本适配器：使得Solo-3可以从各种型号的笔记本硬盘获取数据。PCMCIA-ATA适配器：提供从ATA兼容的闪存设备获取数据。盘石1to2光盘复制机盘石1：2光盘复制机专为光盘取证所设计，支持一对二复制，支持盘片格式有：DVD-ROM、DVD-Video、DVD-R、DVD-Audio、DVD-RAM、DVD-RW、DVD+R、DVD+RW、DVD-R、DVD-RW等规格。其主要规格如下：显示方式LED液晶面板显示写入模式自动侦测(DAO,TAO)功能模式直接刻录模式,模拟刻录模式,擦除光盘,母片纠错测试，安全刻录模式,比对刻录碟片,系统功能设定。操作方式脱机拷贝,多键式触控面板控制产品性能：不需接计算机只需插上电源即可使用。操作简单,拷贝完成后碟片自动弹出。采用IDE接口，刻录DVD-R/DVD-RW只需5-10分钟,可同时复制4.7GBDVD-R/DVD-RW光盘1-2张。支持目前所有格式。液晶面板全程显示，声音提示。具有直接刻录，盘片检测，仿真刻录功能。数据完整性校验值计算软件数据完整性效验已涵盖在SafeAnalyzer中证据数据原始性的保护摄像机索尼手持便携式摄像机照相机佳能单反数码相机屏幕录像软件屏幕录像大师：是一款专业的屏幕录像制作工具。使用它可以轻松地将屏幕上的软件操作过程、网络教学课件、网络电视、网络电影、聊天视频等录制成FLASH动画、WMV动画、AVI动画或者自播放的EXE动画。本软件具有长时间录像并保证声音完全同步的能力。本软件使用简单，功能强大，是制作各种屏幕录像和软件教学动画的首选软件。软件基本功能如下：支持长时间录像并且保证声音同步。(V3V3.5V5V5.5V6等以前的旧版本声音同步有问题，请使用最新版)。在硬盘空间足够的情况下,可以进行不限时间录象(只有V7.5版有此功能)。定时录像。录制生成EXE文件，可以在任何电脑(操作系统为windows98/2000/2003/XP等)播放，不需附属文件。高度压缩，生成文件小。录制生成AVI动画，支持各种压缩方式。生成FLASH动画，文件小可以在网络上方便使用，同时可以支持附带声音并且保持声音同步。录制生成微软流媒体格式WMV/ASF动画，可以在网络上在线播放。支持后期配音和声音文件导入，使录制过程可以和配音分离。录制目标自由选取：可以是全屏、选定窗口或者选定范围。录制时可以设置是否同时录制声音，是否同时录制鼠标。可以自动设置最佳帧数。可以设置录音质量。本地数字化设备非运行状态下的数据提取独立存储介质的数据提取SATA、1.8寸IDE、2.5寸IDE、USB、SCSI、SAS、CF、SD（含microSD、miniSD等）、SM、MMC、PCMICATA、MemoryStick、CD、DVD等各类接口存储介质离线转换接口。已包含在盘石只读接口套件中。镜像文件加载软件盘石易载镜像系统（SafeMount），参见本方案1.2.4小节。不可独立访问存储介质的数据提取Safemobile手机取证系统介绍详见1.2.2章节。磁存储介质物理数据提取SafeDisk硬盘检测、解密和固件恢复系统SafeDisk是一段高度集成的硬盘修复系统。它的功能涵盖了数据恢复、硬盘故障诊断、密码解码、内容浏览及扫描，同时支持对硬盘进行镜像。支持所有的ATA/IDE和SATA设备。主要特性：原生的SATA1代和2代，IDE接口内建RS-232接口，用于连接希捷、三星、日立等硬盘的CPU内建写保护开关支持HPA的修改硬盘密码获取及移除实时状态监控固件备份及修复案件管理系统自动诊断硬盘部件无尘工作环境涉及硬盘盘体级数据恢复的情况，需在电子专业级无尘的环境下操作，以确保数据恢复的高成功率，避免造成硬盘的二次损坏。无尘环境构成（工作台洁净度：100级，无尘室洁净度：1000级）：风淋室无尘工作室传递窗空气过滤换风系统光存储介质物理数据提取光盘修复机/清洗机/软件自动光盘修复机主要特性如下：专业修复激光碟片（CD/DVD/CD-R/CD-RW等）操作简单，6分钟自动完成打磨/修补/清洁，使碟片恢复正常播放有效去除划伤/灰尘/污点及指纹修复后可在碟片表面产生保护层环保无毒修补液/清洁液（获得SGS认证）独特的抽屉式设计将所有配件放在产品内本地数字化设备运行状态下的数据提取运行状态下数字化设备上的数据提取盘石仿真取证系统（SafeVM）详见前面产品介绍章节Rainbow-LmHashWindows密码破解工具，同时也是杂乱算法加密（hashalgorithm，比如:lm、md5、sha1、customizable）的破解利器，其它的加密方式破解也可以很容易地添加到该软件中。同时支持Windows和Linux系统，而且在一个系统上上生成的表单可以直接转换到另一种系统上使用。RainbowCrackMD5、LM哈希表可提供高效的字典式攻击，快速破解密码。盘石现场取证系统（SafeImager）详见前面产品介绍章节1.2.1。运行状态下数字化设备网络通信数据的提取wireshark通讯线路中截获通讯数据包括了专用的监控计算机及嗅探软件系统。该计算机于普通计算机的区别在于普通计算机的以太网卡会在监听网络通讯数据是发送数据，而专用计算机在监听过程一直处于纯监听状态，不会发送任何无关数据包。避免了无用的通信数据干扰正常截获工作。同时，该计算机还配置有强大的数据截获软件系统Wireshark。这款网络数据嗅探截获软件系统在目前行业内处于领先位置，其很多特性为用户所喜爱。同时作为一款跨平台的软件系统，它可以运行在Unix、Linux和Windows下，满足了各类用户对数据截获的需要。其主要特性包括了以下几点：深入检测上百种网络协议，并且不断添加更新；实时抓取并且支持离线的分析支持多平台操作系统：Windows,Linux,OSX,Solaris,FreeBSD,NetBSD等强大的过滤系统丰富的VoIP分析支持读取写入多种抓取包文件格式远程数字化设备的数据提取远程数字化设备存储处理的数据提取使用wget、SamSpade、GetIFSNMPMIBBrowser和各种数据库客户端等类似免费软件可以完成远程获取HTTP、FTP、SNMP、数据库等各网络服务应用数据。远程数字化设备运行状态数据提取使用XScan、Nmap、Xenu等免费工具可以获得远程网络服务设备和主机的状态、端口及服务信息。数据的发现盘石介质取证分析软件（SA）可以完成文件的通用查找、操作系统应用分析和数据提取、文件的恢复、数据记录提取、碎片级的数据发现、结构化的数据解码等各项数据鉴定和分析工作。详见本方案1.2.2小节。R-Studio介绍R-Studio是一个功能强大、节省成本的反删除和数据恢复软件系列。它采用独特的数据恢复新技术，为恢复FAT12/16/32、NTFS、NTFS5（由Windows2000/XP/2003/Vista创建或更新）、Ext2FS/Ext3FS（LINUX文件系统）以及UFS1/UFS2（FreeBSD/OpenBSD/NetBSD文件系统）分区的文件提供了最为广泛的数据恢复解决方案。R-Studio运行于本地磁盘和网络磁盘，即使这些分区已被格式化、损坏或删除。对参数进行灵活的设置，可以让您对数据恢复实施绝对控制。R-Studio工具恢复功能：没有进回收站而被直接删除的文件，或者当回收站被清空时的文件；因病毒攻击或电源故障被删除的文件；文件分区被重新格式化后的文件（甚至是不同的文件系统）；硬盘上的分区结构被改变或损害时的文件。在这种情况下，R-Studio工具可以扫描硬盘，尝试去找到以前存在的分区并从找到的分区恢复文件。有坏扇区的硬盘的文件R-Studio数据恢复软件首先拷贝整个磁盘或者部分磁盘内容到一个镜像文件中，然后再处理该镜像文件。当新的坏扇区不断出现在硬盘上时，这一处理方式尤为实用，其余信息必须立即保存。标准的“WindowsExplorer”风格界面。主机操作系统：Windows9x、ME、NT、2000、XP、2003Server、Vista。通过网络进行数据恢复。可以从运行Win95/98/ME/NT/2000/XP/2003/Vista、Linux以及UNIX的网络计算机上恢复文件。支持的文件系统：FAT12、FAT16、FAT32、NTFS、NTFS5（由Windows2000/XP/2003/Vista创建或更新）、Ext2FS/Ext3FS(Linux)、UFS1/UFS2(FreeBSD/OpenBSD/NetBSD)。识别和分析动态(Windows2000/XP/2003/Vista)、基本和BSD(UNIX)分区布局方案。损坏的RAID恢复。如果操作系统不能识别出您的RAID，您可以从其组件创建一个虚拟的RAID。这样的虚拟RAID可以当作真实的RAID处理。创建镜像文件用于整个硬盘、分区或它的一部分。这类镜像文件可以作为常规的磁盘处理。对被损坏或删除的分区、加密文件(NTFS5)、额外的数据流(NTFS,NTFS5)进行数据恢复。数据的解密与解码加密数据的解密:Elcomsoft密码破解套件EPRB系列套装提供了用户访问各种加密文档的能力。套装包含的工具使用了最新、最先进的密码分析算法，适用于较大范围的领域例如：应用软件、文字处理软件、表格和数据库管理软件等的密码。超过了100中不同的文件格式和密码加密算法提供三种版本的套装供用户挑选产品标准版司法版商业版AdvancedACTPasswordRecovery1110AdvancedArchivePasswordRecovery1110AdvancedEFSDataRecovery1110AdvancedIEPasswordRecovery1110AdvancedIMPasswordRecovery1110AdvancedIntuitPasswordRecovery1110AdvancedLotusPasswordRecovery1110AdvancedMailboxPasswordRecovery1110AdvancedOfficePasswordBreaker1(Pro)1(Ent)1(Ent)AdvancedOfficePasswordRecovery(Pro)1110AdvancedOEPasswordRecovery1110AdvancedPDFPasswordRecovery1(Pro)1(Ent)1(Ent)AdvancedWPOfficePasswordRecovery1110ProactiveSystemPasswordRecovery1110ProactivePasswordAuditorupto100

accountsupto500

accountsElcomsoftDistributedPasswordRecoveryupto100

clientsupto500

clientsElcomsoftSystemRecovery1(Std)1(Pro)1(Pro)结构化数据的解码数据的分析i2全新的可视化分析调查功能，使情报分析人员能快速掌握相关信息，也为预防和打击犯罪提供及时支持，让情报分析更兼具时效性与准确性。主要应用于刑案分析，由于所涉及到的信息比较分散，而且通常以人工分析为主，加上分析过程的非结构性和不确定性，所以不易形成固定的分析流程或模式，调查取证中的信息也很难进入警调现有的系统中。借助功能强大的Analyst’sNotebook可辅助人工操作将数据进行关联分析，并做出完整的分析图表。图表中包含所有案件的相关信息，也完整展示案件分析的过程和证据链，同时，这些分析图表也可透过免费的ChartReader作为办案人员交流信息的媒介。i2的强大功能包括：自动展现：无论档案数据是text、xml、excel或来自业务数据库等，用户均可运用建立模型的方式，将数据进行完全自动的可视化呈现。表格分析：运用数据表格的方式对图表中的对象（实体、连结、卡片等）进行视觉搜寻、分类排序等。关联分析：透过视觉搜寻（VisualSearch）、寻找连结项目（FindLink）、寻找路径（FindPath）等方法，发现不同实体彼此的关联和隐藏的联系，以建立完整的分析证据。网络分析：透过各种图表呈现网络中的群组（例如电话记录中的通信群组），可用的分析方式包括网络图、分组图表、环状图、阶级图、时间序列图等。时序分析：在调查分析中导入时间纬度，按照时间序列呈现事件发展的完整过程，进而发现规律性，并预测未来趋势。空间分析：在调查分析中导入空间向度，结合事件图表中涉及的实体、关联和位置等信息，可说明地理空间的关联性。群集分析：在图表中发现隐含的群集（例如在某时段内多次乘坐相同航班的群组），而用户可以自行定义群组的条件和连结强度等。程序功能的黑盒分析程序功能的静态分析:IDAPRO（专业版+反编译）IDAPro是目前最棒的一个静态反编译软件，是破解者不可缺少的利器!巨酷的反编译软件，破解高手们几乎都喜欢用这个软件。IDAPro并不自动的解决程序中的问题，IDAPro会按时您指令的可疑之处，并不去解决这些问题。您的工作是通知IDA怎样去做。IDAProDisassemblerandDebugger是一款交互式的，可编程的，可扩展的，多处理器的，Windows或Linux平台主机分析程序。被公认为最好的花钱可以买到的反汇编利器，IDAPro已经成为事实上的分析敌意代码的标准并让其自身迅速成为攻击研究领域的重要工具。它的优点是可以更好的反汇编和更有深层分析。可以快速到达指定的代码位置；可以看到跳到指定的位置的jmp的命令位置；可以看参考字符串；可以保存静态汇编等。有害程序搜索软件SafeAnalyzer实现对有害程序的搜索,详细见SafeAnalyzer的功能介绍。实验室环境条件基础环境和设备条件静电检查设备办公基础装备光盘打印机碎纸机擦除软件数据发现提取固定基础条件证据数据存储设备对于二级和三级实验室可以配备2个1T的移动存储硬盘，实现对证据的存储。对国家级和一级实验室可以采用戴尔AX4-5实现证据存储：AX4-5，双控制器1G缓存，4个FC4主机接口，每扩展单元12块硬盘，支持60块硬盘，9TB，单盘容量300GB15KSAS，30块硬盘，支持快照。戴尔AX4-5其它特性包括：1.卓越的数据有效性及可靠性：在发生重大故障时，戴尔AX4-5的控制器通过连续的后台磁盘一致性检查、镜像缓存以及缓存降级，提供端到端的数据完整性。数据在控制器、硬盘以及数据传输路径中均能够得到妥善的保护。2.简便的部署及先进的管理：戴尔AX4-5装有EMC的Navisphere®Express，一种可以简化安装及操作的直观用户界面。AX4-5承袭了过去仅在更高端的Dell/EMCCX3存储阵列上提供的许多优秀的软件功能。客户可以通过一个控制台对多种EMC阵列及可选的数据复制和迁移工具进行管理。3.弹性架构：戴尔AX4-5通过5组机架能够最多容纳60块硬盘，支持多达64个主机，能够满足未来数据增长的需求。利用简化的向导式管理，客户能够在数秒内分配更多的存储空间。4.灵活性及硬盘选择：戴尔AX4-5iSCSI阵列可以支持高性价比的IP网络，并且可以通过高性能的4Gb/s接口支持光纤阵列。AX4-5同样可以轻松整合高性能的SAS硬盘与大容量的SATA硬盘。物证存储柜物证室放置2排2联手动密集柜。密集柜采用优质冷轧钢板模压成型，表面经去油--除锈--表调--磷化--清洗--钝化等十道工序加工而成。国际最新流行色亚光静电喷粉，高温塑化而成，防锈蚀性能卓越，架体之间的接触面配有缓冲，磁性密封条，顶部有防尘板，底部有防鼠装置。每列架体设有安全限位制动装置及防倾倒装置。边架装有锁具，用于整体锁闭。传动机构通过精加工处理，使用精密轴承，传动灵活平稳。层板间距根据需要可自由调节。物证室的效果图如下：本地数字化设备检验专用主机（取证分析工作站SFP-101） SFP-101专为小型实验室设计，能够完成常规的鉴定任务。平台内集成了高速的存储介质只读接口，比常见的外接式只读接口速度提升一倍，解决了外接接口使用时接线烦乱的困扰。 平台预装的操作系统已经为鉴定工作调整到最佳状态，无需担心因为操作系统的问题干扰鉴定工作。能够高效的完成各种存储介质的获取工作，并可以对象系统进行勘察取证。为取证分析定制的盘石SFP-101取证分析平台可以完全满足需求，SFP-101平台的主要硬件配置如下：Intel架构主板Intel酷睿2双核CPU8600GT独立显卡160GBSATAII系统硬盘1TBSATAII数据存储支持SATAII高速硬盘千兆网络接口内建高速USB2.0接口、1394A接口、eSATA接口内建多合一读卡器内建司法鉴定专用存储介质只读接口，支持IDE、SATA、SCSI和USB设备20寸宽屏液晶显示器，1680×1050预装WindowsXP及取证相关工具（可选）、2009版内置SAS硬件只读接口为符合取证的需要，要求可以获取各类平台和系统的存储介质和架构。远程数字化设备检验专用主机高性能专用电脑物证封存袋、封存条程序功能检验基础条件高性能专用电脑实验室管理条件由公安部十一局统一开发后配发。实验室附属设施将按照实验室的布局和实际要求进行装修和配置。项目实施概况鉴定实验室的项目建设