国内计算机法证软件发展之我见- 回复网友Flyfiresl的贴

2009-03-09 18:46

网友评论：
1
flyfiresl
2009-03-08
20:52 回复
删除
我以为真正意义的“计算机取证综合解决方案”应该是一个模块化、组件化的方案或系列产品。实战中有针对性的组合使用。否则从研究还是从装备上来说似乎投入都比较大。毕竟涉及面太广了
。这可能也是目前虽然有需求，但还缺少真正产品的原因。如您所说，现在我们还是应该把我们的需求弄清，立足现有的产品，把它功能、特点、原理吃透，同时结合实际的应用，精选我们的方案，并未今后设计、研发我们自己的产品打好基础。

2
flyfiresl
2009-03-08
21:08 回复
删除
最近我测试了几款快速取证分析软件。如FM2008……。感觉目前这类软件的特点和不足同样突出。易用性和发现问题、可疑的速度提高了，但似乎深层次分析和处理复杂问题的功能被削弱了。不知您对这类软件的评价和其今后发展前景有何看法。

看了网友Flyfiresl的评论，感觉的确应该考虑考虑国内计算机法证软件的发展方向。
在说国内软件发展问题之前，我想先和大家一起讨论一下国外的几个软件的发展过程，看看通过他们这些软件的发展经历，对国内计算机法证软件有没有借鉴作用。
先看看第一个取证软件Expert Witness。Andrew Rosen在最开始研究电子证据是，并不知道该编制一个什么样的法证软件。他结合执法部门的需求，一点点地积累，反复与执法部门研究各种需求和功能，最终编制除了第一个法证工具。这个软件通过不断地发展，完善，到Encase 4.0版本的时候已经非常优秀了。这个软件被越来越多的执法部分采用，最后竟然成为了美国的一种标准。只要是Encase证据文件格式，法院就会认可，律师们也不会提出更多的问题。但是如果拿出另外一种证据文件格式，专家证人就不得不向法官和律师解释为什么要使用其他的取证软件和证据文件格式。因此，为了避免麻烦，美国的民间服务机构和律师们都建议使用E01和DD证据文件，就是因为他们已经成了美国公认的标准，数据分析人员也都接受了这个标准，甚至具有EnCE资质的人员似乎都成了计算机法证专业人员的代名词。虽然很多人员很不理解为什么一家公司的产品和培训证书竟然能成为成了法律认可的标准和专业人员资质，但这毕竟已经成为了现实，你想不接受都不成。好在这目前只是美国的方式，只有和美国、英国法律打交道的专业人员才不得不努力争取这个资质，如果中国法律也认可这个标准，那么Guidance公司还不美坏了！所以我认为这是一个不可能的事情，中国绝对不会这样。

接下来我们再看看Winhex和X-ways。德国小伙子Stefan最早做Winhex的时候只是因为缺少好的十六进制编辑器和内存编辑器，满足不了他的一些需求。这个软件在磁盘编辑、十六进制编辑方面非常优秀，并一直以专业十六进制编辑器和数据恢复工具而闻名。知道有一天Stefan突然看到了计算机法证的需求，他才突然明白了自己的发展方向，将他改变为X-Ways Forensics，成了今天在世界上赫赫有名的法证工具。这个软件的发展时间并不长，因为这个工具处理数据有很多种方法(way)，那么有多少种呢？x种，很多种。所以才叫X-Ways。X-Ways 的发展路线是突出易用性和效率，同时尽可能地接受大家提出的改进意见，因此被各国用户认可，发展速度非常快。X-Ways的更新速度是有名的，几乎每个月都有升级版本，而且软件的基本操作方法没有改变，你只要学会之后，可以一直使用下去。这一点上，不想大牌法证软件公司，升级需要漫长的时间，而且升级后让你觉得不知道该怎样使用了。不过也不能怪这些大公司，他们要通过培训挣钱呀，使用方法不变谁还去交钱培训呀！培训费才是大公司关注的呀！从X-Ways身上学到的是敬业、执着和认真。你看看Stefan的网站，简单地很，他不关注这些虚的东西，还是实力最重要啊。

再看看FTK，这个软件其实最初非常不错，曾经一度被称为处理电子邮件最好的工具。FTK对文件分类的处理非常好，对电子邮件的索引和搜索也非常好，特别是文件预览功能在当初也是最好的。如果当初支持中文好一些的话，早在国内火了。但是不知道AccessData公司的策略是谁制定的，好长时间一直不见升级，升级之后却带来了2.0这么一个庞大的家伙。国际各国专业人士都对这个软件不满意，近期据说有了一些新的变化，这点需要网友DUXC来说说了。他们翻译了FTK的所有材料，应该对FTK很有了解。从FTK身上，可以明白：产品一定要适应市场的需要，否则功能再强也不能发展长久，错失先机。

还可以看看FinalData。FinalData在中国出名，都是因为这个软件易用性好，操作简单，数据恢复能力强。但由于FinalData几年前的代理商把韩国总公司给骗了一把，让FinalData对中国望而却步。先不说这点了，但FinalData采用了和Winhex一样的策略，将他们对数据的深入研究转化为了一个新的产品FinalForensics，做出了一套专业的法证工具。FinalData 2.0和FinalData 3.0本身就是依据文件签名进行数据恢复的，因此直接转为取证软件相当简单。在这点上基础还是非常雄厚的，从1999年到2009年，经过10年的积蓄已经足够了。FinalData用足了他的优势，将文件分类简单化，将数据恢复简单化，将韩国本土特殊类型文件支持得够好，这样，FinlaData既有了自己的特点，又有了进军国际化的资本，自然会有自己的发展空间。所以，FinalData带给我们的是：充分发挥自身的原有优势，将简单易用做到底，将韩国特有数据支持好，自然会有发展。

好了，说了这么多国外的软件，差不多了。从这些软件的发展来看，各有成败，很难说走那种模式是最成功的。但从中可以借鉴的，就是一定要发挥自己的优势，并坚持下去；要听从用户和使用者的建议，为客户着想；要不断积累，不断改进。哪一家公司不是积累了这么多年，曲曲折折地走下来的？

那么，咱们再来看看国内应该需要什么，怎么发展吧。纯属个人观点，得罪了谁别骂我！
我一直表示会支持国内自主研发属于中国特色的工具。国内这些法证软件研发公司都不错，都不断地努力着，努力想做一套属于自己国家的适用工具。从研发上看，厦门美亚、上海磐石、上海华依都不错，我向这些公司里面努力工作的技术人员们敬礼。

其实，这些公司都在琢磨怎么才能有中国特色的工具，并努力积累着。只有充分掌握文件系统结构和数据特征，才能做出好的法证工具。在基础不足的情况下，无法超越其他国家的大牌法证工具的情况下，先对一些简单的数据分析，并使一些工作简单化未尝不是一个好的开端。现在各种各样的数据这么多，没有一个软件能够做到包揽所有的事。那么先把别人做不了、没想到、不屑做的事情做一做，不也是给法证技术的一个推动吗？Flyfiresl兄所说不错，我们的工具在深层次上可能没有那些国外软件功能全、效率高，但对于普及一些基本操作，并让一些特有的分析工作简单化还是有价值的。

国内软件怎么做，我看有几点应该考虑：
第一、符合国际化的操作方法和标准；
第二、符合中国语言的特点和处理习惯；
第三、具备对中国特有格式数据的处理能力；
第四、操作简便，能得到用户普遍的喜爱和支持；
第五、基本达到国际流行软件的分析能力；
第六、升级快，技术支持好；

为什么这么说呢？
第一，我们的电子证据相关法律一定会出台，法律标准自认会与国际其他国家电子证据法律有共通之处，那么分析工具的处理结果自然要具备各种国际数据分析软件的基本功能相似，要经得起第三方数据分析软件的检验。总不能所我的软件说一个文件的什么时间建立的，而别的软件都说不是。这只是打一个比方。当然我们的软件不会这么差。我说的是一个基本的标准。具体这个标准是什么，还要看看法律和法证专家们的意见。但无论如果，相同的分析结果都是必须的。

第二，中国语言有自身的特点，用词标准和习惯各地方言习惯、甚至老人和年轻人都不一样。这与其他语言相比要复杂了许多。因此针对中文语言完全可以做出与别的国家不同的工具。怎么样研究中文的特点和规律，也需要有头脑的人去考虑了。同时，针对中国特殊的文件格式也是可以再深入研究研究的，那么多共享软件，免费工具，都有自己的格式。只对中国所有软件的哈希值积累好了都可以卖钱了。哈哈，我有头脑吧，就是没时间和精力做:-）

第三，工具是让人使用的。使用的人多了自然就成了标准了。关键是你怎么让别人喜欢。这些需要开发公司、作者们好好考虑了。互相诋毁，互相拆台是发展不起来的，自己的风格和特色才是让人接受的主要理由。

第四嘛，不妨学学ILOOK，但iLook仅限执法部门使用，普通人使不了，见不到。但执法部门也在使。不过iLook有国家支持，是免费的，估计国内开发者不愿意做赔钱的买卖。但是如果政府支持....? 不过让某家公司的产品成为政府的标准似乎......？对了，Guidance公司的Encase不是也是公司的产品嘛！再说，国家那么多项目，让尊敬的许老师牵个头做一做带头人不是挺好的吗？哪天找许老师建议一下！

最后，回应一下Flyfiresl的第一贴：
我认为成为模块化，插件化的产品，只能由一个公司才能够研究出来。就像Encase，将VFS变成模块，PDE变成模块、EDS做成模块，软件写保护做成模块。但这样一来，增加了一些功能，却没有显著的提高。他一样不能对iPhone做分析，不能对电子邮件关系进行图形化现实，不能解决口令问题。

最近看了一下北京天宇宁的方案，还是挺全的。可以根据需要配合或组合。他们将实现共通功能的需求最简化，讲究软硬件配合和提高效率，功能基本都涵盖到了。所以我同意Flyfiresl的观点，把需求搞清楚，借鉴一下国际品牌软件、设备的功能，把功能搞清楚，这样才能够知道那个工具适合自己，什么时候购买什么东西，买那些东西组合一起才是有价值的，否则买了一大堆回来当摆设，浪费国家和老板们的钱，才是大问题。

仅以此文献给关心国内计算机法证技术发展的热心人！ Sprite

CCFC 2008 第四届中国计算机法证技术峰会 演讲幻灯PPT下载

实在不好意思，早已经第四届中国计算机法证技术峰会的演讲幻灯上传到网站了，忘了将下载链接发布了。暂时先在这里发布一下，近日修改WWW.CHINA-FORENSIC.COM的下载链接。





www.china-forensic.com/downloads/2008/ccfc2008-1-xurs.ppt 3.8mb
www.china-forensic.com/downloads/2008/CCFC2008-2-PaulJackson-En.ppt (下载后改扩展名为pptx) 2.53mb
www.china-forensic.com/downloads/2008/ccfc2008-3-sprite-cn.ppt 8.24mb
www.china-forensic.com/downloads/2008/ccfc2008-4-marcgoodman-part1-cn.ppt 2mb
www.china-forensic.com/downloads/2008/ccfc2008-4-marcgoodman-part2-cn.ppt 1mb
www.china-forensic.com/downloads/2008/ccfc2008-5-f-response-cn.ppt 1mb
www.china-forensic.com/downloads/2008/ccfc2008-6-asrdata-en.ppt 713k
www.china-forensic.com/downloads/2008/CCFC2008-7-ForensicAccounting-CN.ppt 2.7mb
www.china-forensic.com/downloads/2008/CCFC2008-8-Elcomsoft-en.ppt (下载后改扩展名为pptx) 1.34mb
www.china-forensic.com/downloads/2008/ccfc2008-9-Intella-en.ppt 6.7mb

Final Data 3.0 专业版与 X-Ways forensics 15 数据恢复效果测试

阅读最佳图文效果全文>>

这两天测试FinalData 3.0专业版的过程中，忽然想到了以前一直希望做的一件事，就是对比一下各个数据恢复软件、法证工具的各自优势。因此利用1GB的一个U盘作了一个测试， 保存了一些文件，在全部删除，分别利用FinalData 3.0专业版和X-Ways Forensics 15.2进行恢复，看看那个软件恢复的效果好。
不过，利用X-Ways Forensics和Finaldata比较，实在有些不够公平。FinalData只是一个几千元的民用小软件，只是进行数据恢复的，而X-Ways Forensics是专业的法证软件，法证功能强出不少。不过，好在这个测试只是对数据恢复功能的，别的功能暂不比较。等下次有时间，把 FinalForensics 3.0和X-Ways Forensics好好比较一下，再和Encase 6比较一下，看看其他方面的差别。
现在，看看我的测试结果吧。

1、在这个测试中，为了比较两个软件对删除文件、删除目录的恢复效果，我在u盘中复制了几个目录和一些文件。其中包含有word文档、excel文档、 jpeg图片、outlook express电子邮件等。同时为了比较对丢失文件的恢复功能，没有全部擦除u盘，因此原来的盘中还包含一些图片、视频、写字板文件。通过下图，可以看到 Finaldata 3.0专业版找到的文件和原始的目录结构。

2、同时利用Finaldata 3.0和X-Ways Forensics对该盘进行扫描，发现到丢失的目录和文件。两个软件发现的目录和文件完全相同。原始目录名丢失，无法恢复，但目录中的文件名称均可正常 显示。FinalData 能够以原始图标显示各种文件，看上去效果比X-Ways Forensics好一些。

3、转至另外一个丢失的目录，即196936目录，数据仍然一样。

4、在本例中，Excel文件共有6份，两个软件全部成功恢复。

5、对于pdf文件恢复，FinalData恢复回5个文件，而X-Ways Forensics 恢复回6个。经查看，X-Ways Forensics多恢复的文件中，有一个文件无法察看。其余文件均相同。

6、比较有意思的是对Word文件的恢复了。下面我们好好看一看。
通过下图，我们可以看到X-Ways Forensics软件正在预览显示一个Word文件，内容为案例文件说明。在X-ways Forensics中，这个文件没有自己的文件名，是X-Ways 通过文件签名从未分配空间搜索出来的，并自动给他分配的一个文件名。
而在FinalData 3.0中，这个内容相同的文件却有一个中文的文件名。而这个文件也是从未分配空间搜索出来的，本身不应该具有文件名了。这是怎么回事呢？难道 FinalData能够从别的地方发现文件名？从文件名这点上，FinalData还是比较不错的。

7、继续看下一个word文件。FinalData同样给另一个文件重新命名为JUJUMAO.doc。如果看看前面的Finaldata恢复的 excel文件，我们也可以发现Excel文件也都被重新命名了。进一步查看了一下这些文件的属性信息，发现JUJUMAO是这个文件的作者，Ghost 也是文件的作者，而案例文件说明是文件属性中的标题。原来FinalData可以根据文件属性自动给文件命名，可以直观地通过文件名知道恢复回文件的一些 信息。有助于区分文件。

8、下面的这个图片就能够说明问题了。察看FinalData 3.0的恢复结果，发现比X-Ways Forensics少了一个文件。这个u盘是我老师的，而且u盘以前被格式化过，这一篇文章被删除了很久了。X-Ways Forensics通过文件签名将他找了出来。但是FinalData没有把它找出来。这可是FinalData的失误了。通过扇区查了一下这个文件，文 件头保存的很好，不应找不出来呀？

9、用Finaldata 将所有的doc文件全部列出来，总计33个。

10、而用X-Ways Fornesics将所有的doc文件列出来，总计26个。数量要比FinalData少。
对比发现，FinalData发现的文件数量虽然多，但是有重复。不知道是否同时存在文件的副本，FinalData将副本全部恢复回来了？

11、FinalData对于Office文件的破损率可以进行检测，如果破损率低，可以在恢复同时进行格式修复。

12、FinalData专业版具有电子邮件恢复功能。通过启动电子邮件恢复，可以将磁盘中的Outlook Express和Ms Outlook的邮件自动找回来。本例中，我直接选择了其中的收件箱，并通过“恢复选定邮件”功能察看邮件。

13、FinalData自动把dbx邮箱打开，可以直接察看邮箱中的邮件。这个功能可真是不错。几千元的软件具有这种功能可是非常不错了。这都是上万元的法证软件才有的功能呀！Encase都不能这么察看邮件吧。

14、可以更清楚地察看邮件内容和邮件原始内容。并以eml格式将文件保存出来。非常好的功能。

15、但是X-Ways Foensics没有发现出u盘中的视频文件，而FinalData却将视频文件找了出来。X-Ways 怎么能够出现这样的失误呢？


小结：

今天，通过这个测试，可以大致有如下结论：
1、两个软件在数据恢复功能方面，各有优势，也各有不足。X-Ways Forensics 通过文件签名方式多发现了一份Word文件，FinalData多发现了视频文件。看来不能完全迷信某一个软件，一定要配合使用。以后再多做一些测试，看看有没有新的发现。

2、FinalData的操作简单，基本不用学习，对于普通用户更容易使用。而X-Ways Forensics要能够熟练操作，达到上述结果，至少需要学习1天吧。

3、FinalData作为一个民用软件，具有上述功能，还可以对电子邮件、数据库、Index.dat上网纪录进行察看，的确是超值。而X-Ways Forensics和其他法证工具也不具备对数据库的分析处理和恢复功能。看来FinalData 3.0专业版值得计算机取证人士使用。

VFC 1.2.4.3 虚拟磁盘/镜像加载仿真工具测试

查看本文：百度博客“图文版”

对于磁盘镜像、Encase证据文件、dd镜像文件，有些时候调查员希望能够利用第三方工具对证据文件进行分析，因此Mount Image Pro， Smart Mount这类的镜像文件加载工具就非常有用了。他们可以把镜像文件重新虚拟为逻辑磁盘或物理磁盘，可以通过Windows直接察看其中的内容，或使用FinalData 3.0，Winhex15.2 这类的数据恢复、磁盘编辑工具对其中的删除数据进行恢复。

但有些时候，调查员不满足于仅仅通过浏览器的方式察看磁盘和证据文件内容，而希望通过虚拟机加载镜像文件中的操作系统，以察看Windows启动的过程，这时候VFC这种虚拟仿真工具就非常有用了。


VFC是英国MD5公司推出的一个虚拟仿真工具，可以利用VMware Player加载物理硬盘，也可以配合Smart Mount或Mount Image Pro，首先将镜像文件加载为虚拟的硬盘，然后再利用VFC和VMplayer进行虚拟启动。这个工具使用非常简单，效果也不错。


1、使用VFC，首先需要安装VMware DiskMount和VMware Player。

2、启动VFC后，插入软件锁，即可看到软件正式版的界面。当前最新版本为VFC 1.2.4.3。调用物理磁盘，可以选择Physical/Mounted Disk。Mounted Disk就是被Mount Image Pro或Smart Mount加载的证据文件镜像。


3、可以看到当前系统中可以发现的物理磁盘，选择所需要的磁盘即可。

4、选择的物理磁盘内包含有多个分区，选择需要利用VMware加载的可引导分区。

5、选择Generate Virtual Machine，利用VFC创建一个虚拟机文件。

6、虚拟机创建成功后，Launch Virtual Machine按钮变为可用，选择Launch Virtual Machine。

7、VmWare Player启动，加载vfc所创建的证据文件/物理磁盘虚拟机，可看到系统状态。

利用Smart Mount和Mount Image Pro，不会改变原是证据文件内容。而直接利用物理磁盘，则有可能造成数据改变。因此建议使用虚拟加载软件，而不要直接对证据硬盘进行操作。

Final Forensics 3.0 中文版基本功能预览

很多人都听说到了FinalData公司推出了新的专业法证分析工具FinalForensics 3.0，但是没有多少人见过这个软件的真正界面。最近，基本完成了汉化工作，还有一些小问题需要检查，但基本不影响正常使用。下面把主要的功能给大家介绍一下。

查看图文版

1、启动画面，显示软件版本
2、创建案件，输入案件信息
3、添加需要分析的物理设备，选择数据分析方式。
也可以打开以下几种格式证据文件：
4、开始扫描磁盘数据，查找删除的数据，进行文件类型、签名分析等。
进一步扫描
5、分析结果，显示出分析结果，包括各种类型文件数量、分类结果。
6、通过文件签名真实类型过滤文件
7、FinalForensics 分析本机内存储的重要类型文件
8、解析压缩文件，并可以查看压缩文件内数据
9、对本机内即时通讯历史纪录进行分析，直接察看数据内容。
10、分析Ie历史记录
11、关键词搜索

12、
13、

X-Ways Forensics 中的文件签名库和文件类型库

有朋友问"无法调用15.2版中的File Type Categories.txt"的解决方法。由于不知道他出现问题的具体情况，所以没有办法准确解答。

图文版: X-Ways Forensics 中的文件签名库和文件类型库

关于文件签名库的更详细说明，请看本人撰写的X-Ways Forensics /winhex 高级应用:理解文件签名库和文件类型库


目前X-Ways Forensics 15.2版本下，文件签名库和文件类型库有了区别。特别是文件签名库被区分为File Type Signatures Search.txt，(“通过文件签名搜索并恢复文件”时使用)和File Type Signatures Check Only.txt，（用于“依据文件签名校验文件真实类型”）。



File Type Categories.txt是用于解释文件扩展名的所属文件类型和分类的，如doc，表示为Office办公文档，属于“文字处理类”。此文件内容原本是英文的，用户可以自行翻译。只是注意不要破坏原有的文件格式就可以了。修改后，需要重新启动才可以调用修改后的File Type Categories.txt文件。


WinHex /X-Ways Forensics 预定义了各种文件签名类型，用户可以修改已经定义好的文件类型，也可以添加自己定义的文件类型。


可以修改 "File Type Signatures Search.txt"中的定义值，也可以是其他的同样格式的文件，名称为 "File Type Signatures *.txt"。修改的文件签名库或文件类型库可以同样被正常加载，也可以防止在升级时被新版本的文件覆盖。只有文件名中包含 "search"，才可以用于文件签名的搜索，否则只能用于磁盘快照中的文件签名校验。目前版本15.2可以支持 4096 个文件签名定义 (1024 个可用于搜索)。

如果你修改了这些文件，一定要以原始文件格式保存，不要仅仅以普通文本格式保存，必须以tab分隔符的文本格式保存，否则X-Ways Forenscis会无法识别文件格式和其中的文件扩展名定义。

X-Ways Forensics / Winhex 快速入门

这个快速入门本人已经写完很久了，准备随着新版本推出逐步更新, 加入一些最新功能介绍。喜欢X-Ways Forensics的朋友们可以关注一下。

图文版:X-Ways Forensics/Winhex 快速入门


第一章 配置软件


X-way Forensics软件可以通过setup.exe安装配置后使用，也可以通过运行xwforensics.exe直接使用。具体使用方法可根据用户习惯来选择。但通常来说，直接运行最为方便。

软件使用中，保存有X-way Forensics软件临时文件和案例文件的分区将作为默认的数据输出路径，即只有该分区被允许写入数据。因此，在选择X-way Forensics软件使用分区时，需要考虑好下一步数据分析的实际情况。建议选择容量较大，数据较少的分区。

使用软件前，请预先X-ways目录下建立如下三个文件夹，分别用于保存案例文件、镜像文件和临时文件。文件夹名称也可自定义。