克拉玛依实验室建设技术方案

克拉玛依取证实验室

建设项目方案书

目录

第1章公司介绍5

第2章实验室介绍6

2.1建设需求6

2.2方案设计原则7

2.2.1全面性原则7

2.2.2符合性原则7

2.2.3先进性原则7

2.2.4完备性原则7

2.2.5实用、好用原则7

2.2.6可扩展性原则8

2.3实验室架构8

2.4区域规划9

2.5装修要求10

第3章本项目设计图12

3.1平面设计图12

3.2设计效果图12

3.3弱电配置图13

3.4门禁及监控配置图13

第4章实验室区域规划14

4.1受理区14

4.1.1案件初检/数据采集14

4.1.2盘石计算机取证分析平台14

4.1.3盘石取证一体机(PansafeForensicsBox)15

4.1.4独立光盘复制机17

4.1.5高性能主机18

4.1.6条形码扫描器20

4.2提取分析区20

4.2.1盘石可视化数据分析平台20

4.2.2盘石介质取证分析系统(SafeAnalyzer)24

4.2.3盘石计算机仿真取证系统(SafeVM)33

4.2.4盘石易载镜像助手(SafeMount)34

4.2.5高性能显卡36

4.2.6KVM转换器37

4.2.7数据恢复工具38

4.3手机取证区39

4.3.1手机取证平台40

4.3.2CelleBrite便携式手机取证设备43

2

4.4远程勘验区46

4.4.1远程取证平台46

4.5密码破解区48

4.5.2分布式密码破解系统50

4.6仿真还原区56

4.6.1盘石计算机仿真取证系统(SafeVM)56

4.6.2盘石易载镜像助手(SafeMount)56

4.7检材存储系统56

4.7.1案件管理系统60

4.8存档区(检材及档案)62

4.8.1密码物证存储柜62

4.8.2物证封存袋、封存条63

4.8.3实验办公辅助设备63

4.8.4五金工具63

4.9数据销毁区63

4.9.1碎纸机63

4.10办公打印区64

4.10.1多功能一体机64

4.10.2扫描仪64

4.11实验室基础设施建设64

4.11.1实验室弱电装修清单64

第5章实验室管理66

5.1实验室管理制度66

5.2实验室CNAS管理67

第6章工程项目管理70

6.1项目组织结构70

6.2工程实施流程73

6.2.1环境调研73

6.2.2实施计划73

6.2.3安装与调试73

6.2.4操作培训74

6.2.5试运行74

6.2.6实施报告74

6.2.7验收75

6.2.8工程文档75

6.3工程施工说明76

6.3.1系统安装规范76

6.3.2系统安装的工艺要求76

6.3.3施工说明77

6.4工程实施进度安排82

3

6.5质量保证措施83

6.6实验室规章制度制定和宣贯83

6.7工程项目验收84

第7章服务条款85

7.1技术培训85

7.2技术支持85

7.3应急响应和质量保证86

4

第1章公司介绍

盘石软件（前身”上海盘石数码信息技术有限公司”）成立于2002年，专业从事网络安全

和计算机取证产品的研发和服务。2004年4月，随着专业取证技术的发展，计算机取证产品

的研发和服务即成为公司的主要发展方向。盘石公司的取证技术人员曾多次参与针对公安技术

人员的全国性的培训讲解，和公安信息网络安全保卫部门建立了良好的沟通关系，提供专业的

取证产品和技术服务，在一些新的技术领域和案件上提出自己的见解并参与到实际工作中。

在计算机取证研发和实践过程中，盘石公司对国内外电子证据鉴定实验室的建设也十分关

注。参照国外实验室的框架我们为公安部、上海、广州、湖北、安徽、浙江等地的实验室提供

了建设方案，并参与公安部十一局、湖北省公安厅、安徽省公安厅、上海市公安局等各地电子

证据鉴定实验室的建设和装备提供。

目前公司已经在电子取证系列产品和装备供应、电子证据鉴定实验室建设、取证技术服务、

案件服务、网络取证、数据恢复、电子证据技术培训等各方面具备有雄厚的基础，进而形成了

提供有效的司法和商业电子安全取证解决方案的综合实力。

盘石软件的企业文化：

企业愿景：成为具有世界水平的电子取证技术专业公司

企业目标：高度专注于电子取证领域的软件开发与技术服务

核心价值观：为社会、客户、员工创造共同价值

企业口号：发展安全、专注取证、坚如磐石

质量方针：持续创新、技术领先、品质卓越、专业服务

5

第2章实验室介绍

2.1建设需求

早期的计算机犯罪犯属于高科技犯罪类型，随着计算机技术的普及，计算机犯罪的门槛越

来越低，并且在很多的常规案件中也越来越多的要求从计算机、网络等电子数据中提取和分析

证据信息。电子数据的实验室鉴定也就越来越重要，电子数据鉴定，一方面对存储在计算机硬

盘、光盘、U盘、软盘等介质中的数据进行恢复、固化、查找、提取、分析并出具鉴定结论；

另一方面对各种网站等网络环境下的数据进行证据的固化、查找、提取、分析并出具鉴定结论,

涉及的数据和工作量都非常巨大，尤其是对计算机病毒、间谍软件、木马程序等破坏性程序进

行查找、提取与功能鉴定分析等功能。显然，在现代犯罪案件处理中，仅仅依赖现场调查已经

远远不能满足工作的需要，还必须配合电子数据的深入分析。因此，计算机鉴定分析实验室的

建设已经势在必行，从实际需求的角度来分析，实验室应当具备如下功能：

1)数据提取固定功能：包括各类介质和设备的证据获取和固定；

2)应用数据分析能力：包括各类应用程序中的用户数据的提取及分析等功能，例如：

聊天记录、邮件、恶意软件等。

3)手机分析：针对手机数据的获取、分析、关联等进行综合处理，包括对手机中的电

话本、通话记录、短信和文件等的提取，对涉案手机镜像分析的功能等；

4)数据恢复：包括存储介质逻辑及物理损坏的恢复处理等功能，比如：涉案的计算机

硬盘数据丢失，需要找回丢失数据的情况；

5)密码破解系统：包括系统密码破解、加密文档破解的功能；

6)系统仿真和网络分析：包括重建涉案的计算机系统或者网络结构，同时具备分析网

络上的各类通讯数据分析的功能；

7)案件数据存储：提供案件数据的存储能力；

8)案件管理：包含案件的创建、管理，以及案件相关镜像及档案的管理

9)配套基础设施：提供实验室、物证存放、网络、安防、监控、管理等基础设施的建

设

本方案以我公司计算机司法鉴定所实验室为蓝本，依据国家相关标准针对取证领域所涉及

到的各类工作，提供了完善的建设方案供参考，在下文各章节中进行了详细的说明。

6

2.2方案设计原则

对实验室的建设需求进行详细分析之后，我们认为实验室的建设是个综合性的系统工程，

因此实验室方案的设计必须综合考虑多方因素。设计本方案，我们贯彻了如下的设计原则：

2.2.1全面性原则

计算机和网络技术的发展使得电子数据在我们的生活中扮演越来越重要的角色，电子数据

以纷繁复杂的形式展现在我们面前，因此不同于一般的检测实验室，电子取证实验室的工作对

象也是各式各样，涵盖了小到手持设备、大到巨型计算机的各种设备，电子证据的分析也包括

了从单纯的文件提取到复杂的数据分析的各种层次、各种方式。

在设计实验室方案时，我们充分考虑各种电子数据的获取和分析，力图通过不同的设备和

软件来达到覆盖尽可能多的电子数据载体。

2.2.2符合性原则

考虑到电子取证实验室工作的特殊性，我们在系统软硬件配备、网络的设计与建设、机房

的装修设计等方面，都严格遵循相关规范，参考有关司法鉴定流程，按照国际电子证据鉴定的

原则和要求进行设计和建设。

2.2.3先进性原则

计算机和网络技术的发展日新月异，特别是近几年互联网和无线通信的发展，不断有新的

设备和软件需要对其进行取证分析，我们的方案通过配备最新的软硬件来对当前的应用的取证

进行支持，同时考虑到取证的时效性，我们也试图用最新的网络和存储技术来帮助实验室解决

突飞猛进的存储和设备访问需求。

2.2.4完备性原则

在实验室工程建设中坚持满足计算机取证各个环节的整体性和系统性要求，统一规划，遵

循标准，严格规范，统一管理，进而达到系统的完备性。

除了实验室硬件的配备合理完整，还有实验室支持服务体系的齐套，包括完整的工程实施

措施、人员组织结构、质量管理机制、技术服务支持体系等，对于技术跨度大、服务支持体系

要求高的项目，是项目顺利且有质量完成的保证。我们以多年的服务经验，积累出一套完善的

工程服务机制，使得实验室建设系统保证完备性。

2.2.5实用、好用原则

实验室建设以满足科研和实战的需求为根本目标，为一线实战提供好用工具、实用技术、

便捷的服务支持，强调实效，进而把发挥效益作为衡量实验室建设的标准。

7

2.2.6可扩展性原则

电子取证实验室是一项投入巨大的工程，如果对于可能出现的新需求不做考虑，不能提供

灵活的扩展方式，这样会导致重复建设的问题。因此在设计方案的时候我们为将来可能的一些

需求预先做了考虑，整体的建设可以无缝的进行扩展。

2.3实验室架构

实验室的架构可以划分成两部分，一是物理建设，二是逻辑架构搭建。物理建设根据场地

等实际环境的影响，可以有各自各样的布局，下图是本次项目实验室布局平面图：

通常实际的实验室会根据场地面积大小及形状而定，盘石公司会与客户一起实地察看后，

共同设计出最为合适的布局样式。

然而，更为重要的是逻辑架构的搭建，逻辑架构可以反映出最后建成的实验室具备什么功

能，能够处理哪些工作，扩展性和工作效率如何。

实验室非常注重统一性，它与单兵装备或勘查箱的区别，实验室中的所有设备是相互关联

的，而不是独立无关的。因为，实验室处理的是案件，案件中涉及的检材各种各样，但是都与

案件相关联。

实验室需要一个案件系统，它不仅仅用于记录案件，更需要可以跟踪每个案件的处理过程。

通过该系统可以调配实验室的各类资源，其中也包括工作人员。

实验室需要有足够的分析能力，不仅能够做常规分析，更需要对现场无法处理的问题进行

深入处理。在平台上分析人员可以完成各自各样的分析，模拟各自类型的现场环境。如果说案

件系统是人的大脑，那么分析系统就是它的躯干及手脚。

实验室还需要足够的存储来保存案件数据。存储包含了电子数据的存储及物证的存放。

左图是实验室存储逻辑示意图，包含了实验室的最基本功能，实际应用过程中

需要对其功能进行扩展。

在此之前，先了解一下案件在实验室中的处理过程。首先，需要给案件建

立一个档案，然后对案件中涉及到的电子设备进行检查，确定所有需要分析的

设备情况。接着，对检材进行数据固定，其中可能包括硬盘、光盘、手机或者

8

MP3等。随后，案件进入了分析阶段，分析人员领取到检材镜像后对其进行分析、仿真及其它

相关处理。在处理过程中需要对处理情况进行记录。最后出具分析报告，并将相关电子证据刻

录成光盘与检材一起交给委托人。当整个分析过程都完成后将该案件相关的文档及数据封存归

档，到此一个案件处理完毕。

案件处理过程中可能会涉及到以下功能：

1)数据提取固定功能5)密码破解系统

2)应用数据分析能力6)系统仿真和网络分析

3)手机分析7)案件数据存储

4)数据恢复8)案件管理

其中，1-6的功能都是归属于分析系统之中。所以，分析系统并不仅仅是几台分析PC,

它需要形成一个网状结构，其中心包含案件处理服务器服务器以及存储，多种功能节点接入其

中完成各项工作。

盘石电子数据鉴定实验室系统的核心就是基于万兆交换的虚拟化高速存储，它可以通过网

络来将原先分散的功能节点集中在一起。下文将详细介绍该方案。

2.4区域规划

本章将对本实验室的布局规划及分割进行相关的说明。

该实验室建设项目的特点我们根据具体实际情况可分为以下几种：

1.业务受理区（包含预检工作、数据采集、取证一体机分析、1对3光盘复制机、高性

能主机以及条码扫描器）

2.数据分析区（针对不同的案件适用不同的软件进行取证分析如：盘石取证分析系统、

实验室管理系统、介质分析系统等产品）

3.手机分析区（针对不同的手机操作系统，如：安卓、塞班、苹果、WinCE.

WindowsPhone）

4.仿真还原区（针对不同的案件在不损坏文件的条件下，把原始盘符做成镜像文件进

行仿真）

9

5.远程勘验区（运行取证平台需要连接到因特网，进行勘察和取证工作，因此由一台

独立的主机完成包含Samspade（免费），GetlfSnmpMIBBrowser,数据库客户端等软

件进行操作）

6.数据销毁区（把以前处理过的重要文件进行销毁不留下任何痕迹）

7.密码破解区（通过盘石分布式密码破解系统进行破解）

8.存档区（包含送检检材及案件文档）

9.办公打印区（常见的打印机、复印机、传真机及一体机）

2.5装修要求

本节是我方对于贵方实验室装修的一些建议，具体如下：

1.实验室地板建议使用架空方式，方便日后工位扩容时线路的部署

2.受理区建议配置闭路电视，可以查看第2点建议中提及的区域中的工作

3.实验室的网络线路全部采用千兆线（6类线），可以满足目前工作的需要

4.实验室的墙面可以悬挂一些软装潢，例如流程图等

5.每个工位上需要预留充足的电源插座，必须是支持多国标准的，建议每工位6个

（三孔），并且保证工作台面上方及下方都有，下方用于平台等，上方用于移动设

备等

6.每工位需要配置充足的网络接口，与电源插座相同需要注意桌面上下都有网络口，

建议每个工位6个以上

7.办公区域、会议室等需预留2个实验室内部网络口

8.根据目前选用设备的功耗，实验室机房需要独立的三相电，目前配2组42U机柜，

如果全负荷运行需要75平方毫米的电线。

10

11

第3章本项目设计图

3.1平面设计图

实验室总面积为：12600mmx5200mm,具体平面设计如下图所示，其中也包含了门禁和监控。

8600mm

4

-B—

—鉴

定

1

分

析

区/

C

J

U

岳\

0

0

P

受码物证相

珞脚＜1--

装订光盘复制门描打印复印

saIC-DIE^K

fJM

图4.IT：实验室平面图

3.2设计效果图

12

3.3弱电配置图

3.4门禁及监控配置图

参见4.1节平面设计图。

13

第4章实验室区域规划

实验室中除了机房以外包括多个功能区域，共同组成了实验室的整体结构。根据项目要求进行逐一

描述。

4.1受理区

本项目的业务受理区以柜台方式设计,在受理区工作人员会详细了解委托人的委托要求,并且将案件

相关信息通过架设在流程监管网中的案件管理系统进行登记。同时工作人员会将送检的检材送至初检区

进行预检，如果不能立即获得初检结果的，会向委托人出具领取凭证，并在2〜3天内给予答复。

如果委托人提出需要跟踪初检流程的，可以通过业务受理区中的闭路电视实时观看整个过程，其中

包括拆机、开盘、手机检验等。该闭路电视是实验室的视频监控网的一部分。所有监控视频可以进行录

制并提供给客户。

4.1.1案件初检/数据采集

根据国家相关标准，实验室应当具备硬盘复制、镜像制作及检验分析的能力。案件初检区域所承担

的任务包括了：检材登记、镜像制作和案件档案的建立工作。该区域中部署了数据采集终端以及硬盘复

制机等装备。下文章节将详细介绍各类装备的功能及参数。

4.1.2盘石计算机取证分析平台

本方案推荐使用的是我公司自主研发的盘石计算

机取证分析平台201及203型，这两种型号的平台的

优点在于集成多种硬件高速只读接口，例如支持

SASISATA硬件只读的硬盘仓，可以支持8块3.5硬盘

或者8块2.5寸硬盘。203还可以同时支持6组

SCSI80接口的硬盘仓，对于数据采集及恢复而言是必

不可缺的，同时我们在平台上加入了万兆网络支持，可以结合实验室

内部的存储网，利用万兆网络将检材镜像快速上传至中心存储中供鉴定人员分析。

两种平台的配置如下:

14

单排塔式机箱，通过eSATA接口访问SATA/IDE/SCSI/USB只读

接口，4XSATA/SAS热拔插只读仓，4XSATA/SAS热拔插读写

仓，4X2.5SAS/SATA热拔插只读仓,4X2.5SAS/SATA热拔

插读写仓，USB/PS2/多功能读卡器；IntelXeon5620X2,

盘石计算机取证分16GECC内存,500G+4T硬盘,Intel®82573LV双千兆网卡，

析平台，201型万兆网卡1,HD68501GDDR5显存，DVDRW,双显示器

内置取证系统及相关软件包括：

取证分析套件(SafeAnalyzer>SafeVM>SafeMount,2年服

务)、VmwareWorkstation。

表5.1.2-1：201型平台配置表

4.1.3盘石取证一体机(PansafeForensicsBox)

“盘石取证一体机”是盘石软件在多年取证实践的基础上，结合来自一线的取证需求，参考国际上

流行的取证硬件，设计的一款高度集成的一体化的便携勘察取证专业设备。该产品瞄准当今计算机发展

的最新潮流，面向司法取证领域面临的取证难题，采用了全球最快的硬盘复制技术、最全面的计算机取

证分析技术和最易用的仿真取证技术。该设备采用了物理只读技术，相比驱动只读技术，可以更好的提

供符合司法要求的数据保护功能。同时该设备在单一设备内尽可能集成了多种只读接口，可以提供包括

硬盘、U盘、存储卡等数据保护功能。可以简化现场取证勘察工作，帮助勘察取证人员更快更好的进行

取证勘察工作，有助于规范勘察取证流程，实现取证分析工作的标准化。

主要技术特点：

•一体化硬件设计

•高性能CPU和主板架构，充分考虑分析性能设计

15

•真正物理只读设计，杜绝由于驱动导致非只读问题

•内置多种设备只读接口，涵盖SATA、SAS、USB,多功能读卡器

•机身内置两个硬盘只读接口和2个读写接口，可以完成2对2、2对1、1对2等多种方式的复

制。复制过程中原始硬盘始终只读

•可以通过扩展增加四个硬盘只读接口

•内置双千兆网卡，可以进行高速网络固定和分析

•多种复制格式，支持100%复制（位对位）、或者“证据”硬盘或者U盘上的LinuxDD镜像

（工业标准）和E01镜像文件（EnCase取证文件格式）。可以自定义LinuxDD的分片文件大

小

•硬盘复制速度最高14GB/分钟

•内置国内最好的取证分析软件SafeAnalyzer,包括中文搜索、聊天分析、上网分析、邮件分

析、日志分析、注册表分析、哈希分析、时间线分析以及各种数据恢复功能

•内置国内最好的计算机仿真软件SafeVM,可以将取证镜像文件或者外接的硬盘模拟为虚拟机,

在虚拟机环境下进行启动，取证调查人员可以以交互的方式和系统用户的角度直观的检查和操

作目标系统，收集相关证据。

性能参数

•CPU：Intel®酷睿15系列处理器QPI最大可达6.4GT/s

•主板：Intel®QM67

16

内存：2G1066MHzDDR2X2

•硬盘：64GSSD

•网卡：双Intel82579\82583VGbE

•显示屏：10.1寸触摸屏，最高分辨率可达1024*768

•8088高密SAS外置接口X1

•USB3.0X2

•USB2.0X2

•HDMIX2

•E-SATAX1(可选)

•热拔插硬盘仓X2

•外置扩展硬盘接口X2

•尺寸：292mm*312mm*110mm(64mm)

工作环境：WC~35℃运输/储存环境：-40℃〜70℃迷你耳麦

4.1.4独立光盘复制机

C1001对3光盘复制机

推荐的产品为盘石1：3光盘复制机，该产品专为光盘取证所设计，支持一对三复制，支持盘片格

式有:DVD-ROM>DVD-Video、DVD-R、DVD-Audio,DVD-RAM、DVD-RW、DVD+R、DVD+RW.DVD-R、DVD-RW

等规格。其主要规格如下：

■显示方式LED液晶面板显示

17

■写入模式自动侦测(DAO,TAO)

■功能模式直接刻录模式,模拟刻录模式,擦除光盘,母片纠错测试，安全刻录模式，比对刻录碟

片，系统功能设定。

■操作方式脱机拷贝，多键式触控面板控制

产品性能：

■不需接计算机只需插上电源即可使用。操作简单,拷贝完成后碟片自动弹出。

■采用IDE接口，刻录DVD-R/DVD-RW只需5-10分钟，可同时复制4.7GBDVD-R/DVD-RW光盘1-2

张。

■支持目前所有格式。

■液晶面板全程显示，声音提示。

■具有直接刻录，盘片检测，仿真刻录功能。

4.1.5高性能主机

采用戴尔(Dell)V260R-388,主要配置如下:

主体

品牌戴尔DELL

型号V260R-388

平台Intel平台

操作系统win7HB

机箱类型ATXTower（微塔式）

主板

芯片组IntelH61

显卡类型独立显卡

声卡集成声卡

网卡集成10/100/1000以太网卡

CPU

类型英特尔酷睿i5处理器

CPU型号i5-2400

18

核心数四核

三级缓存6MB

显卡

显示芯片nVIDIAGeforceGT530

显存容量独立1GB

内存

容量4GB

速度DDR3

插槽数量2个

最大支持容量8G

硬盘

容量500G

类型SATA串行

转速7200转/分钟

光驱

类型DVD刻录

输入设备

鼠标DellMSI11USB光电鼠标

键盘DellKB212-BUSB入门级商务键盘（简体中文）

前（侧）面接口

USB2

音频接口麦克风/耳机

读卡器TrendsMicro19合1读卡器

后面接口

COM无

PS/2无

视频接口1个VGA；1个HDMI

音频接口1个麦克风/I个耳机/I个Line-in接口

USB6

RJ451

扩展性

19

PCI-E3个PCIexl;PCIexl6一个

规格

电源功率250W

尺寸360*175*436.3毫米（高*宽*深）

4.1.6条形码扫描器

DatalogicFireScan1）131手持式激光条码扫描阅读器，是一个操作简单、外表美观，依照人体工

程学的设计、卓越的解码表现和优越的技术。基于全新的结构，FireScan1）131拥有多项先进的功能，

在解码能力方面，PuzzleSolver的实施，能大大提升对劣质条码或受伤条码的解读能力，强劲的数据

编辑和数据格式能力，保证软件的兼容性，以避免软件更新费用。DatalogicFireScanD131提供多种

接口，Wedge键盘仿真（PS2）,RS232串口，USB等。

4.2提取分析区

取证实验室优势集中体现在对常规案件的处理能力，因此常规分析区的配置基本涵盖了常规案件分

析所需要的所有设备。

4.2.1盘石可视化数据分析平台

20

盘石可视化数据分析平台提供全新的可视化分析调查功能，使情报分析人员能快速掌握相关信息,

也为预防和打击犯罪提供及时支持，让情报分析更兼具时效性与准确性。

案件数据处理过程中所涉及到的信息多种多样，很难有专们的工具进行分析，通常以人工分析为主。

分析过程的非结构性和不确定性，不易形成固定的分析流程或模式，使得调查取证中的信息很难进入现

有的系统中。借助功能强大的IDVP,可将各类数据导入系统进行关联分析，做出完整的分析图表，也整

展示案件分析过程和证据链。

QCJnfniteDatasetVisualiutiooPtarfonn•jZev._

：■MME)g㈤S3KQ)SQW.(D现BM窗口业)

w・N*w_DaUtet「［

date-time目体敕^K

母杼雄件：|文本笫析（切W）,溢件达顼>>

；

1―2010^06W|NtwDaabMef：WicS0KeV*wD»ub«se.|：»:；pace\Nev,

2i2010-4-0610：待第析文件：F:\WortSpace\nSAQ

▼

3Tzoioioisiol

文件喝码：系理认，文件类型：JIS日恋▼芸的联条目

2010-44)610.字段设m

52oio-4.oeio:定义姻?…

date-times-sitenamesdp_cs-methodcs-un-slemcs-us*

62010-4-0610；

72010-4-0610JE

2010-04-06102931W3SVC1323706687192»M23MGETAncbde/asp

8：2010-4-0610.

220f0-04-061O»31W3SVCt323706M71s.18823.80GETAnck«de>)ava

920KM-0610：

32010-04-06105931W3SVC*323708687hncktaoffSbc

10201M-0610；

11；2010-4-0610；42310-04-06132931'.'/3SVC1323706687Ancbde/tse

52010-04-0610.2931'W3SVC1323706687---L-'r!”80

122010-4-0610：

620t0-04.0e102d31W3SVC1323706687AncbtWzioHM80

132010-4-0610；

72010-04-061O.»31W3SVCt32370668780

14；213,8：：

82010-04-0610:2»31W3SVC1323706687McMMMMc80

152010-4-0610；

16!2010-4-0810^92O>0-04-0610»31VCSVC1323706687

102010-04-06102*31W3SVC1323706687Ancbd«/nc*

17：：W.4.5£:：

18,20104001"112010-04-06102»«

12MIO-04-0610»44W3SVCI323706M7Ancbde/oracle

192010-4-0610：

2010-04-0«10:»44W3SVC1323706687192.>6823.80SETAnctoderodbc

20‘20104.0610：

2010-04-0610:2944W3SVC132370668?192.IM23.80OCTAncbdeHnal_»

21;2010-4-0610；

2010-04-0€10.2944W3SVC1323706887192.IM23.80GETAncMeAVebTr80

222C10-4-061。；

2010-04-0610.»45V/3SVC1323706687l92.16823iOGET80

2320KM-0610；

242010-4-06Wi

252010-4^06

26:1I。-抄：：；

272X0-4-M：：；

**'*•»••(

图3.7.1-1：IDVP界面图

主要功能:

•通过导入插件和脚本，将各种格式的日志数据、结构化数据和非结构化数据导入到数据中心

21

•通过基础分析功能和脚本，对导入的数据进行整合、分析

•通过数据展现和脚本，将数据对象化并生成易于理解的信息图，寻找、剔除或展示关键点

•通过导出插件和脚本，将数据导出为各种可能的格式

•通过脚本生成特定的解决方案

•可扩充的插件和脚本库

图3.7.1-2：IDVP结构图

技术特点

•更好的稳定性

在大部分数据分析软件中，最容易崩溃的地方往往发生在数据结构化的过程中，IDVP采用多进程的

方式有效地处理各种异常情况，保证了工作的连续和我拟定性。

22

•更好的数据库支持

统一的数据中心解决方案，同时支持SQL数据库和NoSql数据库。

ORACLG'

SQLServer

图3.7.1-3：IDVP数据结构示意图

•绚丽的可视化效果

提供多种图形对结果展示，包括：各种分布图（中心分布、树形分布、层次分布、主题分布等）、

统计图（饼图、柱形图、面积图、趋势图、散点图等）。数据之间关系直接对象化，方便直观显示数据

的关系。

•高扩展性

数据分析的各个阶段都提供相应的系统API,采用成熟的Python语言作为脚本语言，用户和合作伙

伴可以方便定制所需的功能，系统内置多种预定义脚本，常见的数据类型系统内置插件和脚本支持。

•丰富的数据来源支持

系统内置对文本文件、二进制文件、数据库、PDF、Excel等等数据的分析，并通过插件和脚本不断

增加数据来源支持。

•多种数据导出方式

提供脚本和插件支持导出结果到常见的文件格式，如：Word,Excel.HtmhPDF等等，并且支持的

格式不断增加中。

23

4.2.2盘石介质取证分析系统(SafeAnalyzer)

SafeAnalyzer为执法部门提供全面、彻底的计算机数据分析、检查能

力。具有强大的数据恢复、过滤、分析、查找和报告功能，并提供简单易

用的操作界面，是当前电子数据取证分析的首选工具。符合司法取证的需

求。该产品是ENCASE/FTK/Winhex等分析软件的全中文替代品。更加符合

中国用户的使用习惯。在部分功能效率上超越了国外产品。

■获取镜像生成MD5哈希校验值，并可随时校验；

■导出文件可以同时计算文件的MD5哈希；

■分析过程有详细的审计日志，便于案件的审查复核工作

关键词命中结果上网日志注册表事件日志都件分析即时通讯下载软件时间注

文件

的ext=="jpg"ORext=="gif-ORext="pd£;随画回园因围画

卜。口目文件系统

CheckedFiles扩厩名创谢洞修改时间殿后访i印寸问遇苜长度

白。口90

Foldes...JPG2011-07-0417:20:27