电子数据取证鉴定实验室建设项目方案说明书

版电子数据取证鉴定试验室建设工程方案书目 录第1章技术和工作根底 6公司介绍 6某公司产品介绍 6某现场计算机取证系统〔SafeImager〕 6离线取证 7在线取证 8产品特性 9SafeImager增加型 10学习参考好帮手版\l“_TOC_250024“某手机取证分析系统〔SafeMobile〕 11\l“_TOC_250023“某介质取证分析系统〔SafeAnalyzer〕 13某易载镜像助手〔SafeMount〕 22\l“_TOC_250022“某计算机仿真取证系统〔SafeVM〕 25\l“_TOC_250021“某可视化数据分析平台〔IDVP〕 27\l“_TOC_250020“某试验室治理系统〔LIMS〕 31\l“_TOC_250019“某计算机现场取证勘察箱〔SafeSuite〕 33某计算机取证分析平台〔SafeForensicPlatform〕 35\l“_TOC_250018“取证专业培训 35\l“_TOC_250017“第2章试验室技术规格和要求 37\l“_TOC_250016“公安部对鉴定试验室的力量要求 37\l“_TOC_250015“试验室装备功能要求 39\l“_TOC_250014“试验室的区域设置 40\l“_TOC_250013“试验室的治理 41\l“_TOC_250012“试验室域治理环境 41\l“_TOC_250011“流程治理 42\l“_TOC_250010“安防设备 42\l“_TOC_250009“第3章试验室设备配置规格说明 43\l“_TOC_250008“数据的固定设备 43\l“_TOC_250007“证据数据完整性的保护 43\l“_TOC_250006“某只读接口套件 43\l“_TOC_250005“Solo-III高速多功能复制机套件 46\l“_TOC_250004“某1to2光盘复制机 48\l“_TOC_250003“数据完整性校验值计算软件 49\l“_TOC_250002“证据数据原始性的保护 49\l“_TOC_250001“摄像机 49\l“_TOC_250000“照相机 49学习参考好帮手版屏幕录像软件 49本地数字化设备非运行状态下的数据提取 50独立存储介质的数据提取 50镜像文件加载软件 50不行独立访问存储介质的数据提取 50Safemobile手机取证系统介绍 50磁存储介质物理数据提取 51SafeDisk硬盘检测、解密和固件恢复系统 51无尘工作环境 51光存储介质物理数据提取 53光盘修复机/清洗机/软件 53本地数字化设备运行状态下的数据提取 54运行状态下数字化设备上的数据提取 54某仿真取证系统〔SafeVM〕 54Rainbow-LmHash. 54某现场取证系统〔SafeImager〕 54运行状态下数字化设备网络通信数据的提取 54wireshark. 54远程数字化设备的数据提取 55远程数字化设备存储处理的数据提取 55远程数字化设备运行状态数据提取 55数据的觉察 56某介质取证分析软件〔SA〕 56R-Studio介绍 56数据的解密与解码 58加密数据的解密:Elcomsoft密码破解套件 58构造化数据的解码 59数据的分析 59学习参考好帮手版本时间作者版本时间作者备注程序功能的黑盒分析 60程序功能的静态分析:IDAPRO〔专业版+反编译〕 60有害程序搜寻软件 61试验室环境条件 61根底环境和设备条件 61数据觉察提取固定根底条件 61证据数据存储设备 61物证存储柜 62工作站SFP-101〕.6远程数字化设备检验专用主机 物证封存袋、封存条 64程序功能检验根底条件 64试验室治理条件 64试验室附属设施 64第4章试验室建设工程工程实施 65工程实施概况 65工程实施甘特图 65第5章技术培训和支持 66技术培训 66技术支持 66保证期效劳打算 66保证期后效劳打算 67修订记录学习参考好帮手2.12023-6-262.12023-6-26某数码2.0版本上修改了文档风格和格式学习参考好帮手版1章技术和工作根底公司介绍某软件(前身“上海某数码信息技术” )成立于2023年，专业从事网络安全和计算机取证产品的研发和效劳。20234发和效劳即成为公司的主要进展方向。某公司的取证技术人员曾屡次参与针对公安技术人员的全国性的培训讲解，和公安信息网络安全保卫部门建立了良好的沟通关系，供给专业的取证中。鉴定试验室的建设和装备供给。某软件的企业文化：企业愿景：成为具有世界水平的电子取证技术专业公司企业目标：高度专注于电子取证领域的软件开发与技术效劳核心价值观：为社会、客户、员工制造共同价值企业口号：进展安全、专注取证、坚如磐石质量方针：持续创、技术领先、品质卓越、专业效劳某公司产品介绍某现场计算机取证系统〔SafeImager〕启动的光盘/U盘、外接的数据存储设备构成。使用SafeImager/U学习参考好帮手版快速有效地猎取对象计算机上的数据，保存到外接的数据存储设备中。SafeImager猎取的数据可以在各类数据分析软件〔例如SafeAnalyzer、FTK、Smart〕中使用，并可以在猎取数据的过程中计算数据的摘要，作为数据完整性和有效性的证明。SafeImager〔Offline〕和在线取证〔Online〕。离线取证SafeImager/U计算机，猎取对象计算机数据。在不转变简洁易用的的操作界面，确保硬盘复制位对位的准确率，保证对象计算机的硬盘数据没有任何的转变，供给现场快速猎取和介质分析的功能。SafeImager支持Unix/Linux/*BSD/Windows等多种操作系统，具有轻松、适合现场应用的特性。离线取证的主要功能如下：果。通过启动复制盘，模拟对象计算机本地环境。实现对象计算机的硬盘和分区数据镜像，生成DD格式、AFF格式的镜像文件，同时AFF用来保存磁盘镜像信息和相关取证信息的可扩展的开放格式。使用DDAFF式的镜像文件，可以在各种取证系统中(SafeAnalyzer、Encase、FTK等)直接加载和分析。纹，只有容完全一样的文件具有一样的数字摘要，便于验证。学习参考好帮手版实现对象计算机中的特定名目或者文件进展复制。可以选择需要复制的。个文件的数字摘要。对取证硬盘进展擦除操作。在线取证Windows2023/XP/2023在线取证的主要功能如下：导出系统信息：3上网记录。存信息复制：对对象计算机物理存进展数据镜像，生成DD格式或者AFF格式的数据镜像文件在线硬盘复制DDAFF在线分区复制DDAFF〔PrivateDisk〕创立的虚拟分区的猎取。在复制的同时可以生成数字摘要。产品特性不拆机箱的数据猎取光盘启动/程序直接运行学习参考好帮手版括整个硬盘、分区、名目和文件等各个级别的数据。在线猎取支持猎取系统运行信息、存和常见应用程序密码。IA32PCIDE、SATA、SCSI、RAIDDos/Windows：FAT、FAT32、NTFSEXT2/3、UFS、XFS、HFS、JFS、MINIX、HPFS使用USB2.0/1394A/1394B接口，数据猎取速率最高可以到达2.5GB/分钟FTK规化操作现在的全部操作进展日志记录对证据数据进展完整性保护，不破坏现场数据在数据复制的同时生成MD5哈希，便于事后校验简洁易用全部操作承受图形化的向导界面操作过程动态显示，猎取过程一目了然供给快速操作，简化现场工作SafeImagerIDE、SATA、2.5IDE/SATA口使用。复制速度最高到达4.5G/分钟。某手机取证分析系统〔SafeMobile〕针对手机的取证和传统的数据取证有很大不同，手机数据一般都保存为私有格式，不同厂商，型号和学习参考好帮手版2023SafeMobile支持GSM/CDMA手机，包括：摩托罗拉、诺基亚、西门子、三星、索爱、联想、OPPO、海尔、天时达、万利达、华立、唯科、侨兴、纽曼、桑达、康佳、恒基伟业、华禹、IDO、TSD、埃立特、东信、首信、金立、唯奥、广信、邦华、晨兴、高科、宝捷讯、众一、嘉源、国信、金正、HKC、百迪宝、兆讯达、骏域、深爱、权智、高斯贝尔、赛洛特、亿城、友信达、中恒、联创、中桥、科诺、知己、雅讯达、天元、宝码、乐西、琦基、艾美讯、OQO、爱国者、特灵通、赛昂星、齐乐、盛隆、吉事达、爱UNIS、NEO、奥盛、Beluga2023型号还在不断增加中；势力，如意通，Uni，CDMASIM国产手机的支持MTK平台、展讯平台对智能手机的支持LinuxWindowsCE手机/SIM卡本、通话记录、短信、设备信息和文件的猎取；支持对手机/SIM卡删除短信的恢复；镜像，猎取用户数据信息，包括删除记录；手机连接方式支持：数据线、红外、蓝牙学习参考好帮手版供给敏捷多样的搜寻方法，支持多编码格式同时搜寻；书签功能敏捷强大，能更好的帮助分析数据；强度；文件预览功能可查看十六进制数据，便利高级取证分析人员进一步分析所得数据支持设备校验，防止在文件移动过程中发生意外；工作平台为Win2023及其后续版本。某介质取证分析系统〔SafeAnalyzer〕SafeAnalyzer该产品是ENCASE/FTK/Winhex等分析软件的全中文替代品。更加符合中国用户的使用习惯。在局部功能效率上超越了国外产品。MD5导出文件可以同时计算文件的MD5哈希；分析过程有具体的审计日志，便于案件的审查复核工作关键特性包括：学习参考好帮手版DD、AFF、Encase其进展只读访问，不破坏原始数据；MBR、GPT〔Vista〕Vista安装的程序，最终运行时间等，并可以选择性地纳入案件报告；的状况支持图库预览功能；供给文本、十六进制、缩略图、预览等文件查看方式；自动编码识别：支持文档文件的编码自动识别十六进制解析：类似WinHex文件过滤：系统缺省和自定义的过滤功能，并支持多重过滤；定位案件相关文件；删除恢复：文件系统中删除恢复、特征恢复；可恢复高级格式化磁盘的文件，可推断出穿插掩盖文件；前过滤，提高搜寻效率；UTF8、Unicode、Unicodebig-endian、Base64、Big5USB〕；快速定位扫瞄；WebCookie学习参考好帮手版foxmail、outlook、outlookexpress，webwebTom、126、163、QQ、Yahoo、SinaMSN、Skype、淘宝旺旺、雅虎通、飞信、ICQQQ回收站分析：解析放入回收站的数据信息，及从回收站删除的数据信息；大事日志分析：快速提取分析对象计算机大事日志；SPLSHDEMFEMF下载软件：针对FTP下载工具和P2P下载工具进展分析，主要是猎取下载的任务队列以及站点用户的信息。支持FlashFXP，CuteFTP，LeapFTP；电驴，比特彗星，超Vagaa件；校验文件特征：用以校验出目标文件属性是否更改；报告生成：依据用户添加的书签和备注信息，生成案件报告；主要特性详列：大事日志：日志文件中的记录可供给以下用途：监控系统资源、审计用户行为、对可算机犯罪供给证据来源。供给了快速分析大事日志，提高取证分析的效率；学习参考好帮手版foxmail、outlook、outlookExproler；QQMSNSkypeICQQQ学习参考好帮手版下载软件：针对FTP下载和P2P下载工具进展分析，主要是猎取下载的任务队列以及站点用户的信息。支持FlashFXP，CuteFTP，LeapFTP；电驴，比特彗星，超级旋风，快车等。打印缓存：搜寻系统中存在的具体SPL和SHD文件，取出相关信息和EMF文件，还可搜EMF学习参考好帮手版根本信息：能够提取的的信息包括〔操作系统信息、时区信息、网络配置、安装软件、效劳列表、共享信息、用户信息、USB〕回收站分析：对回收站INFO,INFO2学习参考好帮手版图库预览：案件中的图片文件在图库中以图片的形式呈现，直观而富有效率。定义关键词：关键词是全局配置，对关键词作的改动会在退出时自动保存。下次运行时自动加载到系统中来。进展搜寻时将依据预先定义的关键词进展搜寻学习参考好帮手版注册表：注册外表板的树有两个根节点“注册表”和“分析结果”.”注册表”节点下提取出来的感兴趣的数据。文件。学习参考好帮手版关键词。单击关键词会在列表中列出其在历次搜寻中命中的条目。MicrosoftInternetExplorer4.0记录。学习参考好帮手版某易载镜像助手〔SafeMount〕像文件，它将各种数字镜像格式文件〔包括DD、Encase、AFF等〕和VMDK虚拟磁盘文件模拟成WindowsSafeMount虚拟设备驱动，对上层应用透亮；完整性；自动识别磁盘镜像分区格式；自动识别镜像分区；

化工字镜要借只要或者文件学习参考好帮手版硬盘镜像可以单独加载镜像中的一个分区；硬盘镜像可以加载为整个磁盘设备；支持常见的Windows文件系统；支持常见的镜像格式，包括：DD、Encase、AFF；支持VMDK虚拟磁盘格式；VistaGPT加载好的分区、硬盘操作特性和本地分区、硬盘全都；可以使用常规的非针对取证目标设计的工具对取证镜像进展分析；操作过程有具体的日志信息；全中文图形操作界面，简洁易用。司法符合性加载过程中完全只读方式，保持证据的原始性；加载过程中有具体的操作日志信息支持镜像格式DD镜像Encase镜像AFF镜像VMDK文件支持的分区方式MBRGPT支持的分区格式NTFS；NTFScompressedFAT12/16/32某计算机仿真取证系统〔SafeVM〕某计算机仿真取证系统专业版〔SafeVMPro〕是用来SafeVMPro将取证镜像文件或者对象计算机系统的硬盘模拟为虚拟学习参考好帮手版SafeVMPro考虑取证调查的要求，对原始镜像文件或者对象计算机系统的物理硬盘进展保护，调查SafeVMPro并自动调整虚拟机文件参数，削减虚拟机启动故障，降低了取证调查难度。产品特性支持完整磁盘镜像文件；支持可启动的分区镜像文件；〔USB、1394〕；DD〔DDSplitDD〕；SafeMountEncase、AFF自动识别操作系统类型；NT,Me,98；支持Linux操作系统；支持原AMD架构操作系统正确仿真；WindowsHash解决蓝屏修复自动解决虚拟机无法启动的故障WindowsWindows学习参考好帮手版虚拟机进展的任何操作不会改动原始设备或者镜像文件；全中文图形操作界面，简洁易用。增加功能案件治理可以处理多案件及单案件多虚拟机状况加载虚拟机磁盘分区盘符虚拟机生成后配置工具WindowsWindows蓝屏修复离线状态下修复。Windows效劳和驱动〔离线状态〕虚拟机启动之前的配置。Windows自动启动〔离线状态〕虚拟机启动之前的配置。WindowsWindowsSAMHashVMWare和WinDBG模拟串口的windows核调试。某可视化数据分析平台〔IDVP〕学习参考好帮手版某可视化数据分析平台供给全的可视化分析调查功能，使情报分析人员能快速把握IDVP,可将各类数据导入系统进展关联分析，做出完整的分析图表，也整展现案件分析过程和证据链。主要功能：到数据中心学习参考好帮手版通过根底分析功能和脚本,对导入的数据进展整合、分析通过数据呈现和脚本,将数据对象化并生成易于理解的信息图，查找、剔除或展现关键点通过导出插件和脚本，将数据导出为各种可能的格式通过脚本生成特定的解决方案可扩大的插件和脚本库技术特点更好的稳定性IDVP更好的数据库支持统一的数据中心解决方案，同时支持SQL数据库和NoSql数据库。学习参考好帮手版绚丽的可视化效果〔中心分布、树形分布、层次分布、〕、统计图〔饼图、柱形图、面积图、趋势图、散点图等〕。数据之间关系直接对象化，便利直观显示数据的关系。高扩展性API，Python型系统置插件和脚本支持。丰富的数据来源支持件和脚本不断增加数据来源支持。多种数据导出方式供给脚本和插件支持导出结果到常见的文件格式，如：Word、Excel、Html、PDF等等，并且支持的格式不断增加中。某试验室治理系统〔LIMS〕学习参考好帮手版随着电子取证的简单度增加，案件的参与人员、涉及的检材、使用的仪器设备以及室的治理带来了相应的压力。某试验室治理系统〔PS.LIMS〕依据电子数据鉴定试验室的实际业务需求，参照ISO/IEC17025构造图：主要功能：案件治理：作流程以及相关操作等进展跟踪分析并生成鉴定报告等文件。检材治理：进展跟踪。学习参考好帮手版设备治理：类型、使用频率等进展统计分析。卷宗治理：也可以通过特别权限对案件进展材料补充，同时供给丰富多样的图表统计功能。人员治理：和查看，可敏捷的按案件或案件组进展治理。系统特点：规化更规、更清楚。可视化：处理结果，从而可以很好的从宏观上把握整个案件。图形化：能够更直观的了解试验室运行状况。安全性：安全牢靠的运行。先进性学习参考好帮手版相关操作人员只需发送一个指令，系统即自动完成对应操作。有用性：息系统准时通过电子发送到相关人员的。扩展性：能模块，同时为用户和第三方供给具体的开放式接口和技术文档。某计算机现场取证勘察箱〔SafeSuite〕开发。可以对各类现场系统和不同接口的介质进展猎取，并可完成现场需要的分析功能。某计算机现场取证勘察箱根本组成局部如下：某计算机现场取证系统〔SafeImager增加型〕。包括高速硬盘复制机，可以完成直接复制。光盘/U等功能。满足各种现场的证据猎取需求。只读接口。包括ATA、SATA、SCSI、USB的只读接口功能。用于单独硬盘的猎取以及随后的分析过程。使得现场处理的介质类型更加广泛。某介质取证分析系统〔SafeAnalyzer〕。供给现场和随后的介质分析力量。拆机工具。包括各种接口的螺丝刀，有效处理现场状况。防静电手套、标签纸、记号笔。依据需要，可以选配如下设备，对勘察箱功能进展扩展：数码相机/数码摄像机。现场摄像和固定工具。学习参考好帮手版笔记本。高性能的取证分析平台和通信工具。某手机取证分析系统〔SafeMobile〕。对手机证据进展猎取和分析。某仿真取证分析系统〔SafeVM〕。供给现场和随后的仿真分析的力量。便利。Windows开机密码破解工具〔RainbowCrackLmhash数据表，可选〕。破解Windows14LmHash硬盘解密系统〔可选，DE-PDL〕。对加密的硬盘进展解密。Shadow2硬件仿真取证设备某计算机取证分析平台〔SafeForensicPlatform〕某计算机取证分析平台〔SafeForensicPlatform〕是专为计算机鉴定试验室设计的，也可作为日常取证分析和鉴定使用，能SFP前可以供选择的型号有： SFP-101SFP-200，该型号平台建多个硬盘抽屉支持IDE、SATA、SCSI2TB200外接更多的取证模块。10X1SATA、1IDE1TBIntelCPU主机。平台供给了丰富的数据接口，是一款性价比极高的取证平台。SFP证平台及其他取证设备，来满足各类鉴定工作的需要。学习参考好帮手版取证专业培训目前供给的培训工程包括培训课程培训课程培训容时间计算机取证根底培训计算机取证概念、流程、一般方法、工具介绍1SafeImagerSafeImager取证原理、根底、功能和使用培训1SafeMobileSIM卡/手机取证原理、功能和使用培训1SafeAnalyzerSafeAnalyzer原理、功能和使用培训1取证分析平台培训某取证分析平台的使用培训1文件系统分析高级培训FAT/NTFS文件系统分析2学习参考好帮手版2章试验室技术规格和要求公安部对鉴定试验室的力量要求电子物证检验鉴定试验室力量分级标准√－应当具备的力量。○－应当局部具备的力量。×－可以不具备的力量。能

国家国家一级二级三级级√√√√√√√√√√○○√○○○√××√××√××√○○○力 力量子项项 目目

力量细目 说明数据的固证数据的完整性和原始性〕数字化设备 本地数字证 化设备非据 运行状态数 下的数据据 发 读取数字现 化设备中提 存储的数取 固定

保护保护据提取据提取取取据提取

能够实行技术措施保证数据在被提取后未被修改。如对数据进展完整性保护、对数据进展复制并在备份上实施操作。能够实行技术措施保证数据是依据所述步施保证能够再现或证明数据提取过程。镜像文件、复合文档等可加载的文件系统。能够读取手机、PDA、路由器等专用数字化储介质通常需要依附于数字化设备才能访问。质中的数据可读。能够在光盘等光存储介质物理损伤的状况据可读或局部可读。能够在存储介质或专用数字化设备局部硬〔并非全部存储芯片都可以通过移植到其他同型号设备进展提取，本力量仅要求对于可以替换芯片情形下的数据提取〕。能够启动数字化设备并在数字化设备运行状态下提取存容、网络状态、文件访问状态等不行再现数据以及特定文件、特定数据〔如注册表容〕等可再现数据。学习参考好帮手版电子物证检验鉴定试验室力量分级标准√－应当具备的力量。○－应当局部具备的力量。×－可以不具备的力量。获系统运行过程中产生的数据〕数据的发〔从可提取的数据复出所需〔将觉察的数据转换为可理解的数据〕数据的分〔对数据的规律关系进展分论的过程〕

的提取据提取据的觉察据的觉察据的觉察的解密分析

能够启动数字化设备并在数字化设备运行状态下，截获其通过网络传输的数据，包括截获。提取远程计算机〔如、路由器〕上存储的数〔如视频表演过程中视频信息〕。能够通过探测猎取远程数字化设备拓扑构造、网络状态、网络安全状态等状态信息，此类信息并非数字化设备自身存储或处理的，而是通过关心工具探测分析产生的。能够依据文件的特征查找所需要的文件以及文件的附属信息〔MetaData，如文件的时间信息、存储位置等。〕。如恢复被删除的〔病毒特征、修改日期等附属特征〕识别出所需的文件。记录是指在数据库文件中存储的数据项的复等。能够依据所要查找的数据的特征查找所需的数据碎片。如基于关键字查找、基于构造匹配查找、基于统计查找，查找IE片、DOC密和加密数据〔如口令〕的解密等。能够对各类编码的数据解码形成可理解是数据。如编码、网址编码、复合文档编码、文件附属数据等。能够对数据之间的一般性关系进展规律分系分析、统计分析等。

√√○○√√√√√○○×√√√√√√○○√√√○○○○×√○○○√√√√学习参考好帮手电子物证检验鉴定试验室力量分级标准√－应当具备的力量。○－应当局部具备的力量。×－可以不具备的力量。特定数据电子物证检验鉴定试验室力量分级标准√－应当具备的力量。○－应当局部具备的力量。×－可以不具备的力量。特定数据系分析能够对特定应用效劳的特定数据进展分析，操作日志的分析、特别网络行为分析等。√××程序功能检验程序功能程序功能的静态分能够通过逆向工程等方式分析程序的代码，识别程序的功能。√√××实验室治理试验室管理试验室质量掌握试验室对检验鉴定流程、检材、仪器设备、文件等治理的相关规定要符合ISO/IEC17025√√√√鉴定机构试验室鉴定机构在登记主管部门登记并取鉴定资格鉴定人试验室鉴定人在登记主管部门登记并取得鉴定资格，同时通过司法部门向社会公告的黑盒分析的黑盒分析析程序功能动态分析功能。程序功能程序功能白盒分析白盒分析功能。√√○○√√×√至少√至少√至少√至少5433名名名名鉴鉴鉴鉴定定定定人人人人试验室装备功能要求室建设工程从技术需求上来看可以分为如下几个功能局部：现场取证：供给快速现场取证和分析支持所需要的设备。密码破解系统：提高对文档密码破解方面的支持和力量。数据恢复、手机取证和分析、数据销毁等力量。硬盘恢复：供给对硬盘硬件损伤的恢复力量。案件数据存储：供给试验室中案件数据的存储力量。学习参考好帮手版支持设施试验室的区域设置〔数据的固定、分析〕、鉴定、存储、归档、计算、密码破解、介质修复和数据恢复等，试验室可以依据功能的不同划分为几个功能区域：送检物品建档、合同签订、分析报告提交和送检物品清退等各项工作。分析。物理恢复区：对物理损坏的证据介质进展修复工作。环境重建等各项工作。证据信息的介质进展销毁备件库：备件和电子证据介质的保管和发放。以依据业务流程的需求设置在各个功能区域。试验室的大致构造参见以下图所示：业务受理业务受理勘查取证物理恢复鉴定分析介质销毁根底设施机房备件库试验室的治理试验室域治理环境设置严格的授权访问掌握机制，这点可以通过设置试验室的域治理环境来实现。学习参考好帮手版有授权的用户才能使用鉴定工作站、访问相关案件的数据。流程治理报告、审核、报告提交、数据归档等各环节的治理。在电子数据取证鉴定试验室建设工程中，我们将帮助设计和供给各个环节的报告模板，帮助建设试验室治理流程。安防设备配备门禁和视频监控安防治理。学习参考好帮手版3章试验室设备配置规格说明〔参见附件一〕，但是在配置报价表中未考虑如下因素：室装修〔含门窗、工位、空调、电力、灯光等〕网络根底设施〔通信、机柜、交换机、网络布线等〕门禁、监控等安保系统海量存储试验室认可认证假设需要上述配置，必需增加相应的预算。下面是各个装备的具体说明：数据的固定设备证据数据完整性的保护某只读接口套件TableauUltraBlockSCSI、IDE、SATA、USB、存储卡等各类写保护设备。本方案UltraBlockUltraBlock-IDE/SATAUltraBlock-IDE/SATAROFireWire-A(400Mb/s),FireWire-B(800Mb/s),USB1.X/2.0IDEIDE/SATASATASATASATA学习参考好帮手版UltraBlockUSBWriteBlockUSB接口只读锁设UltraBlockUSBU，USBUSB，USBUSB存储设备。UltraBlock-SCSIFireWire/USB到SCSI桥设备的取证写保护器。UltraBlock-SCSI可以通过FireWire-B(800Mb/s),USB1.X/2.0SATAIDE硬盘连接到取证计算机，进展只读的证据猎取和分析。UltraBlockForensicCardReaders存储卡包括：CompactFlashCard(CFC)MicroDrive(MD)MemoryStickCard(MSC)MemoryStickPro(MSPro)SmartMediaCard(SMC)xDCard(xD)SecureDigitalCard(SDC)MultiMediaCard(MMC)学习参考好帮手版转接口设备得只读接口和硬盘复制机支持更多的存储媒介。本方案中供给的转接设备如下：IDE3.5-2.5，IDE2.5IDE3.5-1.8，IDE1.8IDE3.5-ZIF，IDEZIFSCSI68-80，68SCSI80SCSI68-50，66SCSI50MINISATA，SATASATASolo-III本方案在现场复制机的选型方面，承受了ImageMASSterSolo-III硬盘复制机。ImageMASSterSolo-III取证系统是一套手持式、轻松、高速的硬盘数据猎取设备，专为司法取证用途而设计。利用该设备的同步数据校验功能，可确保疑犯数据的改和数据重置。系统特性:中文菜单和操作界面。MD5CRC32触摸屏用户界面：高级触摸屏用户界面和可编程的键盘，便利用户使用。高速数据复制：数据复制速度超过3GB/分钟。置写保护：对嫌疑人硬盘供给置的写保护功能。PC。通过写保护端口连接后可以预览嫌疑人硬盘。学习参考好帮手版IDESATASCSI硬盘设备〔SCSI〕。DD可以将多个镜像复制到一块证据硬盘。擦除功能：擦除数据的速度超过3GB/分钟。域。该设备可检测并猎取此区域。DCO允许系统修改硬盘供给的相关参数。该设备可检测并猎取此区域。坏扇区处理。增加的坏扇区处理功能，允许操作者跳过整个扇区坏块。审计日志：具体的操作日志可以打印或者保存到CF卡中。、SCSI和笔记本硬盘猎取数据〔SCSI〕。升级：软件和固件可以通过CF卡进展升级。硬件规格:电压：90-230V/50-60Hz功率：在未接硬盘时10W温度：5-55摄氏度相对湿度：20%-60%净重：2.2尺寸：8.3“x5.8“x2.2“SCSI力量。SCSI4GB/分钟。通过可选的其它适配器完成SCSI硬盘到SATA和IDE硬盘的复制。SCSISATASCSISATASCSIIDE(P-ATA)适配器：允许从SCSIIDE笔记本适配器：使得Solo-3可以从各种型号的笔记本硬盘猎取数据。PCMCIA-ATAATA学习参考好帮手版1to2制，支持盘片格式有：DVD-ROMDVD-VideoDVD-RDVD-RAMDVD-RWDVD+RDVD+RWDVD-RDVD-RW等规格。其主要规格如下：显示方式LED写入模式自动侦测(DAO,TAO)式,比对刻录碟片,系统功能设定。操作方式脱机拷贝,多键式触控面板掌握产品性能：不需接计算机只需插上电源即可使用。操作简洁,拷贝完成后碟片自动弹出。承受IDE接口，刻录DVD-R/DVD-RW只需5-104.7GBDVD-R/DVD-RW1-2。支持目前全部格式。液晶面板全程显示，声音提示。具有直接刻录，盘片检测，仿真刻录功能。数据完整性校验值计算软件数据完整性效验已涵盖在SafeAnalyzer中证据数据原始性的保护摄像机索尼手持便携式摄像机照相机佳能单反数码相机学习参考好帮手版屏幕录像软件FLASHWMVAVIEXE软件根本功能如下：支持长时间录像并且保证声音同步。(V3V3.5V5V5.5V6等以前的旧版本声音同步有问题，请使用最版)。在硬盘空间足够的状况下,可以进展不限时间V7.5定时录像。windows98/2023/2023/XP播放，不需附属文件。高度压缩，生成文件小。AVI保持声音同步。录制生成微软流媒体格式WMV/ASF动画，可以在网络上在线播放。支持后期配音和声音文件导入，使录制过程可以和配音分别。录制目标自由选取：可以是全屏、选定窗口或者选定围。录制时可以设置是否同时录制声音，是否同时录制鼠标。可以自动设置最正确帧数。可以设置录音质量。本地数字化设备非运行状态下的数据提取独立存储介质的数据提取SM、MMC、PCMICATA、MemoryStick、CD、DVD包含在某只读接口套件中。学习参考好帮手版镜像文件加载软件某易载镜像系统〔SafeMount〕，1.2.4不行独立访问存储介质的数据提取Safemobile手机取证系统介绍1.2.2磁存储介质物理数据提取SafeDisk硬盘检测、解密和固件恢复系统SafeDisk码解码、容扫瞄及扫描，同时支持对硬盘进展镜像。支持全部的ATA/IDESATA主要特性：SATA12，IDERS-232CPU建写保护开关HPA硬盘密码猎取及移除实时状态监控固件备份及修复案件治理系统自动诊断硬盘部件无尘工作环境恢复的高成功率，避开造成硬盘的二次损坏。学习参考好帮手版无尘环境构成〔工作台干净度：100：1000〕：风淋室 无尘工作室学习参考好帮手版传递窗 空气过滤换风系统光存储介质物理数据提取光盘修复机/清洗机/软件专业修复激光碟片〔CD/DVD/CD-R/CD-RW〕操作简洁，6/修补/清洁，使碟片恢复正常播放有效去除划伤/灰尘/污点及指纹修复后可在碟片外表产生保护层环保无毒修补液/清洁液〔获得SGS认证〕独特的抽屉式设计将全部配件放在产品本地数字化设备运行状态下的数据提取运行状态下数字化设备上的数据提取某仿真取证系统〔SafeVM〕详见前面产品介绍章节Rainbow-LmHash〔hashalgorithm:lmmd5、sha1、customizable〕的破解利器，其它的加密方式破解也可以很简洁地添加到该软件学习参考好帮手版中。同时支持WindowsLinux密码。某现场取证系统〔SafeImager〕1.2.1。运行状态下数字化设备网络通信数据的提取wireshark通讯线路中截获通讯数据包括了专用的监机的区分在于一般计算机的以太网卡会在监听何无关数据包。避开了无用的通信数据干扰正常截获工作。同时，该计算机还配置有强大的数据截获软件系统Wireshark。这款网络数据嗅探台的软件系统，它可以运行在Unix、LinuxWindows的需要。其主要特性包括了以下几点：深入检测上百种网络协议，并且不断添加更；实时抓取并且支持离线的分析支持多平台操作系统：Windows,Linux,OSX,Solaris,FreeBSD,NetBSD等强大的过滤系统VoIP支持读取写入多种抓取包文件格式学习参考好帮手版远程数字化设备的数据提取远程数字化设备存储处理的数据提取wget、SamSpade、GetIFSNMPMIBBrowser和各种数据库客户端等类似免费、FTP、SNMP、数据库等各网络效劳应用数据。远程数字化设备运行状态数据提取口及效劳信息。数据的觉察某介质取证分析软件〔SA〕1.2.2R-StudioR-Studio和数据恢复软件系列。它承受独特的数据恢复技FAT12/16/32NTFSNTFS5〔Windows2023/XP/2023/Vista创立或更Ext2FS/Ext3FS〔LINUX文件系统〕以及 UFS1/UFS2〔FreeBSD/OpenBSD/NetBSD〕分区的文件供给了最为广泛的数据恢复解决方案。R-Studio设置，可以让您对数据恢复实施确定掌握。R-Studio工具恢复功能：没有进回收站而被直接删除的文件，或者当回收站被清空时的文件；因病毒攻击或电源故障被删除的文件；学习参考好帮手版文件分区被重格式化后的文件〔甚至是不同的文件系统〕；扫描硬盘，尝试去找到以前存在的分区并从找到的分区恢复文件。有坏扇区的硬盘的文件R-Studio数据恢复软件首先拷贝整个磁盘或者局部磁盘上时，这一处理方式尤为有用，其余信息必需马上保存。标准的“WindowsExplorer”风格界面。主机操作系统：Windows9x、ME、NT、2023、XP、2023Server、Vista。通过网络进展数据恢复。可以从运行Win95/98/ME/NT/2023/XP/2023/Vista、Linux以及UNIX的网络计算机上恢复文件。支持的文件系统：FAT12FAT16FAT32NTFSNTFS5〔由Windows2023/XP/2023/Vista创立或更〕Ext2FS/Ext3FS(Linux)UFS1/UFS2(FreeBSD/OpenBSD/NetBSD)。识别和分析动态(Windows2023/XP/2023/Vista)、根本和BSD(UNIX)分区布局方案。RAIDRAID，您可以从其组件创立一个虚拟的RAID。这样的虚拟RAIDRAID处理。的磁盘处理。5)(NTFS,NTFS5)进展数据恢复。数据的解密与解码加密数据的解密:Elcomsoft最先进的密码分析算法，适用于较大围的领域例如：应用软件、文字处理软件、表格和100供给三种版本的套装供用户选择产品产品标准版司法版商业版AdvancedACTPasswordRecovery1110学习参考好帮手版AdvancedArchivePasswordRecovery1110AdvancedEFSDataRecovery1110AdvancedIEPasswordRecovery1110AdvancedIMPasswordRecovery1110AdvancedIntuitPasswordRecovery1110AdvancedLotusPasswordRecovery1110AdvancedMailboxPasswordRecovery1110AdvancedOfficePasswordBreaker1(Pro)1(Ent)1(Ent)AdvancedOfficePasswordRecovery(Pro)1110AdvancedOEPasswordRecovery1110AdvancedPDFPasswordRecovery1(Pro)1(Ent)1(Ent)AdvancedWPOfficePasswordRecovery1110ProactiveSystemPasswordRecovery1110ProactivePasswordAuditorupto100accountsupto500accountsElcomsoftDistributedPasswordRecoveryupto100clientsupto500clientsElcomsoftSystemRecovery1(Std)1(Pro)1(Pro)构造化数据的解码数据的分析i2全的可视化分析调查功性与准确性。学习参考好帮手版Analyst’sNotebook案件分析的过程和证据链，同时，这些分析图表也可透过免费的ChartReader人员沟通信息的媒介。i2运用建立模型的方式，将数据进展完全自动的可视化呈现。表格分析：运用数据表格的方式对图表中的对象〔实体、连结、卡片等〕进展视觉搜寻、分类排序等。关联分析：透过视觉搜寻〔VisualSearch〕、查找连结工程〔FindLink〕、立完整的分析证据。网络分析：透过各种图表呈现网络中的群组〔例如记录中的通信群组〕，可用的分析方式包括网络图、分组图表、环状图、阶级图、时间序列图等。程，进而觉察规律性，并推测将来趋势。空间分析：在调查分析中导入空间向度，结合大事图表中涉及的实体、关联和位置等信息，可说明地理空间的关联性。〔例如在某时段屡次乘坐一样航班的群组而用户可以自行定义群组的条件和连结强度等。程序功能的黑盒分析IDAPRO〔专业版+反编译〕IDAPro是目前最棒的一个静态反编译软件，是破解者不行缺少的利器!巨酷的反编译软件，破解高手们几乎都宠爱