论计算机取证工具软件及其检测

《论计算机取证工具软件及其检测》由会员分享，可在线阅读，更多相关《论计算机取证工具软件及其检测（6页珍藏版）》请在装配图网上搜索。

1、论计算机取证工具软件及其检测3、计算机取证的相关工具.3.1 一般工具软件 用于检测分区的工具软件、杀毒软件、各种压缩工具软件等。3.2取证专用工具软件：文件浏览器：这类工具是专门用来查看数据文件的阅读工具。只用于查看而没有编辑和恢复功能，从而 体积较小并可以防止证据的破坏。比较好的软件是Quik View Plus（http:）。它可以 识别200种以上文件类型，可以浏览各种电子邮件文档。比起WordPerfect的频繁转换要方便的多。 Conversion Plus可以用于在Windows系统下浏览Macintosh文件。图片检查工具：ThumbsPlus是一个功能很全面的进行图片检查的工

2、具。反删除工具：这方面的取证分析工具中最主要的是诺顿工具，虽然这是一个老式的工具，但在有些时候 是很有用的。CD-ROM工具：使用CD-R Diagnostics可以看到在一般情况下看不到的数据。文本搜索工具：dtSearch是一个很好的用于文本搜索的工具，特别是具有搜索Outlook的.pst文件的 能力。驱动器映像程序：可以满足取证分析（即逐位拷贝以建立整个驱动器的映像）的磁盘映像软件包括：SafeBack（http:/www.forensics-）、SnapBack（）、 Ghost（）、dd（UNIX 中的标准工具）等。磁盘擦除工具：这类工具主要用在使用取证分析机器之前，为了确保分析机

3、器的驱动器中不包含残余数 据，显然，只是简单的格式化肯定不行。从软盘启动后运行NTI公司的DiskScrub程序即可把硬盘上的 每一扇区的数据都清除掉。取证程序：取证软件的效能倾向于同时拥有收集及分析数据的功能。目前，国际上的主流产品有：Forensic Toolkit:是一系列基于命令行的工具，可以帮助推断Windows NT文件系统中的访问行为。 这些程序包括的命令有：AFind（根据最后访问时间给出文件列表，而这并不改变目录的访问时间）、 HFind（扫描磁盘中有隐藏属性的文件）、SFind（扫描整个磁盘寻找隐藏的数据流）、FileStat（报告所有单 独文件的属性）、NTLast（提供

4、标准的GUI事件浏览器之外对每一个会话都记录了登录及登出时间，并且 它能够指出登录是远程的还是本地的）。The Co rone rs Toolkit（TCT）：主要用来调查被黑”的Unix主机，它提供了强大的调查能力，它的特 点是可以对运行着的主机的活动进行分析，并捕获目前的状态信息。其中的grove-robber可以收集大 量的正在运行的进程、网络连接以及硬盘驱动器方面的信息。数据基本上以挥发性顺序收集，收集所有 的数据是个根缓慢的过程，要花上几个小时的时间。TCT还包括数据恢复和浏览工具unrm&lazarus、 获取MAC时间的工具mactime。还包括一些小工具，如ils （用来显示被

5、删除的索引节点的原始资 料）、icat（用于取得特定的索引节点对应的文件的内容）等等。EnCase自称是唯一一个完全集成的基于Windows界面的取证应用程序，其功能包括：数据浏览、搜 索、磁盘浏览、数据预览、建立案例、建立证据文件、保存案例等。ForensicX：主要运行于Linux环境，是一个以收集数据及分析数据为主要目的的工具。它与配套的硬 件组成专门工作平台。它利用了 Linux支持多种文件系统的特点，提供在不同的文件系统里自动装配映 像等能力、能够发现分散空间里的数据、可以分析Unix系统是否含有木马程序。其中的Webtrace可 以自动搜索互联网上的域名，为网络取证进行必要的收集工

6、作，新版本具有识别隐藏文件的工具。New Technologies Incorporated （NTI, http:/www.forensics- .）： NTI 是取证软件最为 固定的商家之一。NTI以命令的形式执行软件，所以速度很快，软件包的体积小，适合于在软盘上使 用。该公司提供的取证工具包括：CRCMD5 :一个可以验证一个或多个文件内容的CRC工具。 DiskSc rub :个用于清除硬盘驱动器中所有数据的工具。DiskSig： 一个CRC程序，用于验证映像备份的精确性。FileList :一个磁盘目录工具用来建立用户在该系统上的行为时间表。Filte r_we: 种用于周围环境数据

7、的智能模糊逻辑过滤器。GetSlack :一种周围环境数据收集工具，用于捕获未分配的数据。 GetTime： 一种周围环境数据收集工具，用于捕获分散的文件。Net Thr eat Analyze r :网络取证分析软件，用于识别公司互联网络账号滥用。M-Sweep :一种周围环境数据清除工具。NTI-DOC： 一种文件程序用于记录文件的日期、时间以及属性。PTable:用于分析及证明硬盘驱动器分区的工具。Seized :一种用于对证据计算机上锁及保护的程序。ShowFL：用于分析文件输出清单的程序。TextSea rch Plus :用来定位文本或图形文件中的字符串的工具。 本文所论述的软件工

8、具主要是指取证专用软件。计算机取证工具应具备的基本功能计算机取证需要的软件工具必须满足最基本的取证要求，具备下列基本功能之一： 发现计算机证据可以根据案情定位可疑主机和犯罪现场的位置。 存储计算机证据存储计算机证据的软件工具主要是指那些能够对计算机证据进行保全的软件，可以证明计算机证据从获 取到提交法庭这段时间内没有被修改过。传输计算机证据能够保证计算机证据的可靠传输。三、计算机取证工具检测的必要性目前，计算机取证工具主要是国外生产的，国内的产品还寥寥无几。但是，随着计算机应用的普及，计 算机证据会越来越多，用于计算机取证的国产工具目前也有了一些并且有一些正在研制过程中。哪些软 件工具可以用于

9、计算机取证，哪些企业可以生产计算机取证工具，什么样的计算机取证工具可以用于司 法活动，这些都是亟待解决的问题。所以，我国计算机取证工具的检测和认定是十分必要的。可以在双 软认定”（是指软件企业的认定和软件产品的登记，一 product.asp ） 的基础上进行更加严格细 致的专业测试和管理。计算机取证工具的生产属于特殊行业生产计算机取证工具软件的企业实际上是在生产破案工具，应该是经过严格的资格认定的企业或者国家 机关，并且应该属于Federa1 Agent机关或其他司法机关认定的特殊行业。目前的这种任何软件企业都 可以生产和研制的状况必须改变。计算机取证工具软件的质量事关重大计算机取证软件工具

10、的质量关系到案件是否能够及时侦破，关系到司法活动的公平和公正性。如果计算 机取证工具质量低劣或者功能欠缺就有可能造成犯罪分子逍遥法外或者错抓错捕的情况，使法律失去尊 严、丧失公正。所以，计算机取证工具的质量必须得到保障。四、计算机取证工具的检测方法制定计算机取证工具产品和行业标准生产计算机取证产品的企业应该进行特种行业的资质认定，在有管理部门备案。同时，制定管理办法对 从事计算机取证产品的生产企业进行常规管理。这些管理办法应该包括生产企业的规模、设备、技术水 平、技术人员等等。应定期对生产企业进行检查，对于不具备生产条件的企业或者生产的产品不合格的 企业应该予以撤销。对于信得过的产品可以加以推

11、广以形成我国自己的具有代表性的取证产品。计算机取证产品的管理包括产品生产和使用全过程的管理。特别是，在产品投入使用之前应该进行严格 的测试和试运行。计算机取证产品应该严格禁止假、冒、伪、劣，采用软件水印技术等先进技术并建立 严格的法律法规防止盗版侵权。这方面的管理标准应该包括产品的质量标准、准用标准等。设立专门的检测机构应该在产品质量监督部门设置专门的机构或实验室进行计算机取证产品的检测。这样的部门应该由计算 机软件测试专家、计算机取证专家和其他计算机专业人员组成，负责对计算机取证工具软件产品进行严 格的检测和认定，只有通过这一机构认定的产品才可以投入使用。计算机取证软件产品检测实务计算机取证

12、软件的检测应该包括计算机取证软件的测试和检查两大部分。具体地，应该有以下步骤组成 检查产品的生产企业的资质、检查提交的产品的各种文档是否齐全。撰写测试计划：仔细阅读产品的各种文档后撰写测试计划，在测试计划中应该写清楚测试的范围、需 求、参考资料、技术背景、产品的必备功能、产品的可选功能、测试方法、采用的测试工具、测试用例 的详细描述和有关数据列表、在每一个测试用例中应该特别注意写清楚所有可能的输入和应该出现的输 出结果。进行测试：严格按测试计划对产品进行详细的测试。测试过程要详细记录：每一个运行结果、反应时 间、评价等等撰写测试报告和检测报告：测试和检查结束后应该根据记录的结果撰写详细的测试报

13、告和检测报告。测 试报告和检测报告应该包括：检测人，检测日期，实际使用的检测方法和工具，检测的技术指标，输 入，输出，每一项输出是否满足要求，响应时间，结论等。五、结论随着网络和计算机技术的发展，以数字形式存贮和传输的计算机证据逐渐增多，用于计算机取证的工具 软件也会随之出现，如何保证计算取证工具软件的质量关系到法律的公正和国家的尊严，因此，对计算 机取证工具软件的严格管理和检测势在必行。针对计算机取证的专业数据恢复设备DataCompass在过去的司法实践中，涉及到电子证据的计算机犯罪案件层出不穷，这对电子证 据的真实性、可靠性和完整性也提出了相当高的要求。因为不完整的电子数据是很难 直接用

14、作电子证据在审判过程中发挥作用。比如，犯罪分子常常会人为地破坏数据存 储介质或直接删除与案件相关的数据。因此，对于一些电子数据需要通过数据恢复技 术，还原数据的真相，才能作为电子数据证据使用。然而执法机构现有的计算机取证 和数据恢复设备并不能满足打击计算机网络犯罪的需求，他们需要一个更为强有力的 数据恢复取证设备来提高执法过程中取得的电子物证的可靠性和真实性，为司法机构 提供真实、可靠和客观的司法取证结果。纵观目前国内外的计算机取证和数据恢复设备，可谓数不胜数，如MD5、SOLOII、 SONIX、 FTK、 Encase 等，它们各有其自身的优势和特点，但要想真正找到一款适合 司法机构在计算

15、机取证和数据恢复实践中使用的工具，并非易事。在经过多方考察了 解后，包括广东省公安厅、湖北省检察院在内的国内多家司法机构在日前选择了国际 顶极数据恢复设备硏发机构效率源科技的最新数据恢复拳头产DataCompass数据指 南针作为其在计算机取证和数据恢复中的重要设备，以应对日益增长的新型计算机计 算机网络犯罪计算机取证需求。C1效率源科技家级高新技术企业计算机取证研发机构WWW.XLYSOFT.NET计算机取证和数据恢复设备研发机构效率源科技据悉，DataCompass数据指南针是效率源科技2008年8月最新推出的一款针对 计算机取证、数据恢复处理的专业设备，兼顾逻辑层、物理层和固件层，可针对

16、硬盘、 U盘、SD、TF卡等存储设备，集成了包括SWPS安全访问规则”、绝对只读功能 等在内的顶尖技术，完全保证了所有数据的原始状态，数据恢复成功率高达90%以上； 同时它可以与Encase、X-Ways、F-Response等几乎所有的计算机取证、数据恢复软 件实现无缝连接，开放式的平台让计算机取证和数据恢复工作可以更完善的开展，其 相关功能和操作性在全球同类数据恢复产品中具有绝对领先优势。而作为一家专业的计算机取证和数据恢复设备研发机构，效率源科技的负责人也 对记者表示，今后将以研发更多具有多元化、完善化、尖端化特质的计算机取证和数 据恢复工具为目标，以帮助司法机构切实的解决诸多取证工作中

17、的数据恢复难题。提 高国内计算机取证和数据恢复水平，为打击和防范各种计算机犯罪行为的漫延作出努 力。而据互联网数据中心IDC预估，今年计算机取证和数据恢复市场的规模将达到6.3亿美元，到2011年有望达到18亿。联想、Dell等传统PC大鳄先后进军数据恢复、 计算机取证市场，也间接彰显了数据恢复、计算机取证领域的无限潜力。相信随着计 算机网络犯罪量的逐年攀升，计算机取证、数据恢复等技术将会发挥更巨大的作用。便携式现场取证分析箱 PFLLogicube PFL配置了如下几款强大的软件： FTK 2.0 Logicube 独有的取证功能控制面板可进行取证操作( AccessData 专门研制可控制

18、 Talon 的 FTK 的精简版本 Triage )PFL系统从如下介质中获取数据：任何大小的IDE硬盘-以全速UDMA工作(MD5是UDMA 4, Talon UDMA 5).最高传输速度可达4 GB/分钟各种大小的SATA硬盘各种大小的SCSI硬盘。68针的内置连接头，并配有50针和80针的转接器。所有的闪存介质设备：CF卡、MicroDrive,记忆棒、SD卡、xD卡和MMC卡等等。通过专门的带写保护的读卡器进行读操作 CD-ROMs-直接从笔记本电脑中读取 软盘-直接从笔记本中读取或通过 USB 的软驱读取 U 盘-直接从笔记本电脑中读取 所有通过 USB 连接的硬盘PFL内置在特殊

19、的坚固手提箱中，它是一款全面配置、紧凑、便携式的全内置户外计算机取 证分析工具箱。这款强大的应急响应工具箱为侦察员在取证中获得事半功倍的效果。在快速 获取、分析和记录证据的领域中，没有其它工具在这领域可以与之媲美。Logicube的MD5或新出品的Talon可以直接放置到箱内。不但拷贝机的功能可以无缝的集 成到PFL中，同时它也可以取出单独使用。除了把复制设备内嵌到手提箱中之外，PFL 同时预留了放置各种笔记本电脑的空间。PFL 同时预留了放置各种笔记本电脑的空间。是一个非常实用的方案，它不限制侦察员使用 固定在勘察箱的内置CPU，侦察员可以根据需求配置自选自己的笔记本电脑和分析工具。 目前提供了两款当前顶级配置的笔记本电脑可供选择(苹果MacBook Pro(MA896CH/A )与 IBM ThinkPad T61(7663MJ2)点击查看详细配制介绍北京中安华科公司产品