Intella Vs. Nuix Forensics Desktop 电子邮件分析工具简述

说到电子邮件分析，目前很多工具都声称具有电子邮件处理的功能。实际上，基本上说来，每个法证分析工具都多多少少支持电子邮件的解析。从我个人观点来看，目前在对电子邮件的处理方式上，所有法证软件基本采取了两种方式：

第一种方式，是对客户端邮箱进行拆解，就是将Outlook，Outlook express，Foxmail等电子邮件客户端软件的邮箱文件pst,dbx,box中的邮件解释出来，形成单独的文件进行察看。

目前Encase,X-ways Forensics, FinalForensics,Paraben Email Examiner都可以实现这一功能。邮件拆解后，可以通过各个软件的分析、过滤、搜索功能对邮件数据进行察看、搜索特定文字。至于搜索能力的强弱，就要看分析工具对语言的支持能力了。个人来说，我非常喜欢X-Ways的邮件拆析能力。毕竟它可以恢复出删除的电子邮件客户端，并从未分配空间中查找残留的邮件信息。此外，最新出现的Final Forensics 3.0也是一个非常好的工具，他已经闻名多年，且经过几年的不断增强提高，数据恢复能力不可小视。连其民用的恢复工具 FinalDATA 3.0版都增添了电子邮件的恢复功能，你说他对邮件的处理上实力如何？

第二种方式就是对邮件进行索引搜索。
目前典型的是Nuix Forensics Desktop(即fbi Desktop)，Intella和FTK。这种软件主要对邮件进行处理，多数不具备数据恢复能力。对于删除的邮件客户端文件的恢复，需要借助X-Ways Forensics或FinalData,FinalForensics了。但是，Nuix和Intella终究是专门对电子邮件的分析工具，在电子邮件的处理能力上别的软件真是无法比拟。这种软件基于对邮箱文件的解析，然后索引。索引的时间根据邮箱文件大小有所差别，可能会几十分钟或几个小时，但数据索引之后，即可快速地进行搜索，毋须等待。FTK这个软件我不想多评述，因为5年前我一直认为FTK是最好的电子邮件分析工具(对于英文邮件)，但2.0版实在是让人无法接受，索引速度，运行效率都是很不理想。据说AccessData目前已经意识到了这个问题，正在改进。等新版本推出的时候再说他吧。

峰会和香港培训年会后，很多朋友都询问 Nuix和Intella的差别，并且均对Intella报以极大的期望。这两个汉化和测试都是我做的，我本人对这两个软件的发展非常关注。这里我简单地对两个软件的差别和能力进行一下对比。

1.邮箱支持能力
从支持的邮箱种类来说，目前Nuix还是占上风的，支持的邮件种类多于Intella.
Nuix可以支持Outlook, Outlook Express, Lotus Notes, Exchange, Foxmail等等。
Intella目前可以支持Outlook, Outlook Express, Lotus Notes.中文版将支持Foxmail。

虽然支持种类有差别，但是，对于企业调查来说，主要需要的是Outlook和Notes，对于民间应用来说已经足够了。对于中国用户来说，都支持Foxmail，也没有什么差别。因此很多公司都对Intella有足够的兴趣。

2.索引能力
英文索引不用说了，这时他们开发邮件时的主要测试和日后的使用环境。对于中文索引来看，二者不分高下。目前ForensicsMatter官方网站只发布了支持英文索引的Intella测试版本，中文版我还在测试中，对外没有发布。但搜索中文能力非常好，中文用户完全可以放心。

3.搜索过滤方式
应该说后起之秀Intella主要的竞争目标就是Nuix Fornesics Desktop，所以在搜索方式上Intella进行了充分的优化。Intella可以通过左侧选单来进行所需的过滤操作。比如搜索发件人，收件人，通过时间段、通过元数据（如文档作者、制作公司）、文件类型等等，很方便。
而在Nuix中，这些需要在搜索栏中以语句的方式来实现。虽然结果可以实现，但终究复杂了一点。

4.图形化显示
两个软件都是图形化显示电子邮件关联的典型代表。
Nuix主要通过电子邮件的收发件人之间的联系显示邮件关系，即邮件地址之间的关系。显示出的关系图可以清楚地表明包含关键词的邮件之间的来往关系和次数。
Intella主要通过包含关键词的数据显示关键词之间的关系，即那些文件中包含了特定关键词，利用多个关键词的与、或关系生成的视图来快速定位所需关注的右键或数据。
举一个例子：如果对一个目录中的Office文件（不是邮件）进行索引分析，搜索的关键词后，Nuix将无法显示出图形关系，因为这些数据不是邮件，没有联络关系。而Intella仍然可以显示出图形和个关键词之间的关系。但是如果搜索的关键词在邮件的附件中，Nuix可以告诉你那封邮件中包含这个附件和关键词，并以图形显示出邮件的往来关系；而Intella同样可以告诉你这个关键词出现的次数和在那个邮件附件中，邮件的关系需要进一步查看才可以清楚。这就是两个软件的典型差别。

5.价格
两个软件都具有很强的邮件处理功能。那么选择哪个就需要看看性价比了。这也是为什么很多国外用户不选择Nuix而期待Intella的原因了。Nuix完全版要十多万，而Intella只需要三万多。有几个公司能够愿意花费十多万来购买一套软件？除非他的需求只有Nuix能够解决。当然对于需要分析企业的Exchang邮件和需要将分析结果和专用法律软件结合的用户来说，他们愿意使用Nuix。

Nuix为了降低软件使用门槛，特意推出了三邮箱和单邮箱版本。即一次只能够分析一个或三个邮箱。对于处理Outlook邮箱来说应该说足够了，所有邮件都在一个pst或ost文件中。但对于包含收件箱、发件箱、废件箱以及草稿箱的dbx文件或Foxmail来说，三邮箱版一样无法解决问题。

而Intella则没有邮箱数量的处理限制。你可以利用它处理任意多的数据。

总结：
以上简单评价的几个不同的电子邮件分析工具。我没有任何倾向性。这两个软件都非常不错。其实最好是结合起来一起使用。每个软件都有自己的优势，怎么说也不会有两个完全一模一样的软件。那样的话就要出现版权纠纷了。具体使用那个工具，要根据公司的需求，公司的资金和业务情况来选择。国外都需要软件分析结果能够被第三方软件的检验，几个工具同时使用，相互检验一下也是好的。

Belkasoft Forensic IM Analyzer 即时聊天记录分析工具

俄罗斯Belkasoft公司CEO Yuri Gubanov先生给我来信，推荐他们研制的Forensic IM Analyzer工具。使用了一下，发现这个软件非常地简单，可对计算机中各种即时通讯工具进行检测，并直接读取聊天纪录，效果非常不错。该软件目前可以支持ICQ (97a 至ICQ6各版本), Microsoft MSN/LiveMessenger, Skype, Yahoo! Messenger, MySpace IM, &RQ, Miranda, SIM, QIP, Google Hello, Trillian, QQ 和 AIM，适应面很广。利用该软件，可自动搜索硬盘中保存的历史纪录，且无需口令既可打开。配合Smart Mount等工具，可以直接加载磁盘镜像，并对镜像文件中的数据进行分析。



从这些工具来看，世界各国的计算机法证专家们真是努力呀。以前不知道俄罗斯在计算机法证方面的进展，现在看来他们的确还是有一些积累的，除了密码破解方面是强项，法证技术方面也一样不逊色。

测试版可从以下地址下载：http://belkasoft.com/bfia/en/download.asp

了解软件使用方法，可观看视频讲解：http://belkasoft.com/bfia/en/How_To_Use_Product.asp

这个视频中的故事大概是这样的：

大家好！我是一名 Neverland 警署的计算机法证调查官。我正在调查的是一起非常复杂的案件。案件是这样的：一家最大的糖果制造厂被抢劫了，我们找到了嫌疑犯，名字叫做Sweetieslover。但是，没有明确的证据证明他参加了这起抢劫案，我们只知道他的名字。通过对他的计算机中的文档、电子邮件进行检查，发现他似乎是完全无辜的。我最后的希望就是对他的聊天纪录进行分析了，其他法证专家们推荐我使用Belkasoft公司研制的 Forensic IM Analyzer聊天记录分析工具。

现在看看我是怎么利用这个软件工作的。左边窗口，可以看到三个选项，已安装的聊天工具、发现的聊天工具和搜索结果。'已安装的聊天工具' 似乎对我这起案件没有什么用处，因为我需要做的是对一块证据硬盘进行分析，获取的硬盘被通过Encase加载后，以网络硬盘的方式连接在我的计算机上。

首先，我要判定嫌疑人究竟使用了那种聊天工具。通过对Program Files目录进行分析，发现里面包含 Yahoo! Messenger。好，那就看看里面有什么记录信息吧。嗯...看来仅仅通过察看目录和文件发现不了什么有用的东西。不过没关系，我手里有处理即时通讯记录的专业工具。

我从新回到IM Analyzer聊天记录分析工具，找到“发现的聊天工具”中的“Yahoo messenger”，点击鼠标右键，选择'打开此聊天软件历史记录'。然后，通过浏览器找到Program Files文件夹。

好了，加入了历史记录，这时只要使用“读取历史记录”，就可以直接察看记录了。哈哈，不少记录呀！需要看的东西可真不少呀！ 能不能缩小查看的范围呢？当然能，可以将那些没有聊天记录的信息隐藏掉。选择右键，“隐藏没有聊天记录的联系人”。再看看，记录仍然不少。在导出聊天记录的空闲时间里，还是先来杯咖啡吧！

察看了2个小时了
真是见鬼，还没有什么重要的线索。只是从他老婆的聊天记录中得知，老婆对她老公不是那么全心全意的，不过这是其他的事情，与本案无关吧。

是不是有些东西通过我的手动分析没有发现呢？还是让 Belkasoft Forensic IM Analyzer软件搜索为我搜索一下历史记录吧！从菜单中，我使用了'搜索IM记录'选项。

这个工具可以使用多种选项。可以搜索硬盘、移动设备、光盘和网络驱动器。但由于我搜索的网络驱动器，因此我需要使用“搜索网络驱动器”选项。我需要看看有没有其他的聊天软件，各种格式的聊天记录都可能会有用。根据硬盘大小不同，搜索的时间可能是几秒钟，或者是二、三十分钟。

看看，软件果然帮我发现到了我没有注意到的，QQ 聊天记录。QQ 聊天工具在中国非常普及，有些Neverlandiands人也使用它。

狡猾的嫌疑犯将QQ 聊天记录保存到了一个其它的位置，但是分析工具自动找到了他。QQ 历史记录总是加密的，IM Analyzer在这里就非常有用了。

现在搜索这个新的历史记录，看看有什么内容与sweets有关。通过察看历史记录可以看到，有些联系人的聊天记录比Yahoo中的纪录还要多。

首先，搜索一下"cookies"这个词，这可以通过菜单中的“搜索历史记录”来实现。这个人似乎喜欢cookies，有很多的搜索结果。接下来，搜索一下'sweets'，嗯，还是很多结果。比如，她的总是说“Hi, sweetie”。但这些结果对我的调查没有什么帮助。还有什么词能与"sweets"相近呢？软件允许我调用“关键词列表”。我有一个词库包含许多词汇的近义词。通过搜索，发现'candies'这个词在聊天记录中被使用过。但是搜索结果还是很多。我是不是该使用'steal candies'这个词呢？这可能是嫌疑人可能会说、会做的。但搜索这个词后，没有任何结果。对了，这两个词可能并不是连续出现的，如果Steal这个词与candies这个词之间有其他字符呢？可能中间有4、5、6个单词呢？

可以利用软件提供的“通过正则表达式搜索”功能。先输入steal，然后后面可能会有几个数字、符号或空格，最后是candies.

真棒，找到了一个记录。发送者是Mr. Sweetieslover ，接收者是Mr. Evil。就是他。

好了，调查分析结束了，我该把这些发现结果提供给其他部门的伙伴了。他们不是计算机的专家，但都是证据和文字分析的专家。我只需要把这些记录导出为Html格式，刻录到光盘上就可以了。我只想导出和Mr. Evil的聊天记录，通过点击“选择的联系人”，然后选择目标文件夹，导出。导出的数据里包含聊天对象和聊天时间。

好了，我的工作结束了。如果没有这个软件，我真不知道我怎么才能完成这个案件的调查。谢谢Belkssoft.

专业的iPhone 法证分析工具

香港HTCIA培训年会中，Sixth Legion公司为我演示了他们最新开发的iPhone Forensics工具。这个软件叫
WOLF，是一个专门针对iPhone手机中的数据进行获取和分析的工具，运行于苹果机MacOS系统下。WOLF可以获取当前所有iPhone手机信息中的数据，包括：手机内数据，如联系人，呼叫纪录，短信息，上网纪录，照片，音乐和视频。据该公司CEO介绍，WOLF 还是目前唯一可以获取加密保护的iPhone手机中的工具。

目前WOLF可以支持iPhone 2G 和 iPhone 3G - 固件版本 1.0, 1.0.1, 1.0.2, 1.1.1, 1.1.2, 1.1.3, 1.1.4, 2.0, 2.0.1, 2.0.2, 2.1)




此外，WOLF还可以分析硬盘中保存的iPhone同步纪录。这些记录通常是被加密的，无法利用其他工具察看。利用此工具，iPhone的法证分析将不再是问题。

Intella 最新的电子邮件分析工具

澳大利亚ForensicsMatter公司CEO Peter Mercer先生在第四届计算机法证技术峰会和香港Htcia培训年会期间，向世界同步展示了其最新研发的苹果/PC取证工具OSI和Intella电子邮件分析工具，可见他对中国市场的重视程度。



参加研习会的听众无不对其快速的索引技术和中文电子邮件的快速分析、过滤、检索能力而感叹。
Intella支持Outlook,Outlook Express, Lotus Notes。可以进行中文字符索引，搜索，效果理想。我已经向Peter提出加入对Foxmail邮箱的支持，并即将开始对Intella进行汉化。不用几个月，国内就可以得到中文版的Intella。


需要试用该软件（此下载版本不支持中文索引。2周左右即会有新版本出现），请访问http://www.vound-software.com/download.php

关于计算机法证研究会的情况

我一直希望计算机法证技术峰会能够成为一个平台，为国内计算机法证爱好者提供一些新的信息和知识。所以坚信需要把这个会坚持下去，并取得更多专家和学者的支持。今年的峰会，许榕生老师非常支持，不仅亲自进行演讲，还让更多的相关行业的朋友积极地参与，非常感动。许老师是计算机法证行业的前辈，他对国内外的发展现状和趋势非常地了解，并针对此行业在国内的发展做出了很大的努力，不愧为大学者，领军人物。

有些朋友想加入取证组。我把取证组的情况在此说明：

中国计算机取证技术研究组成立于2005年。
2008年正式在香港注册，并更名为中国计算机法证技术研究会。

本研究会是专注于计算机法证领域研究的技术研究民间团体，宗旨是：推动中国计算机法证技术与国际接轨、融合及广泛交流，促进相关领域技术发展和知识普及。

中国计算机法证技术研究会坚持以非商业化的方式、从中立的角度致力于国内计算机法证相关领域的建设和完善，并为与计算机法证相关的专业人员、司法界人士以及技术爱好者提供学习和讨论的专业平台，推动国内计算机法证相关技术、方法、法律、法规和标准等方面的全面进步和发展。

中国计算机法证技术峰会是中国计算机法证技术研究会的主要活动之一，自2005年起创办至今，已成功举办了四届。该峰会是高层次、新视角的国际学术、技术交流年度盛会，旨在推动国内外计算机法证先进技术的发展，推广技术经验和促进计算机法证人员、司法界以及相关行业专业人士之间的相互交流。峰会围绕计算机法证的相关技术、法律法规、数据恢复、数据分析与处理、取证勘察等方面展开议题，取得了很大成功。参会人员除国内相关执法部门、司法界人士外，还吸纳了律师行、会计行、金融业、教育行业、咨询调查机构、IT信息安全人士以及更多国家和地区的专家学者，峰会已经逐步由国内的专业会议转变为国际性的会议。参加研习培训人员有机会学习到各种世界最先进的计算机法证软、硬件使用技巧，掌握更多的高水平实际应用技能，并与国际专业讲师进行直接地交流。峰会在一定程度上推动了国内外计算机法证先进技术的研究与发展。


研究会将对发展会员情况进行探讨，决定之后再行公布。 敬请将来关注官方网站：http://www.china-forensic.com

数据恢复与数据法证恢复

计算机法证和数据恢复，我们不去考究哪个领域更大，但这两项技术是密不可分的。数据恢复是一个发展非常快，需要非常大，技术性很强的产业。计算机法证技术不是每一个普通人都可以涉及到的，而数据恢复可能会涉及到每一个人。

近日有机会与国内计算机数据恢复产业的领头人“效率源”梁总进行了技术探讨，之后对中国数据恢复产业的发展非常欣喜。这个中国专业数据恢复机构所开发的产品，已经被几十个国家上千家数据恢复专业人士所使用，且声誉超过国外其他同类竞争产品。这效率源的产品，使国外数据恢复同行离不开中国技术，也将中国数据恢复技术的能力在世界上得到了展示。因此，我真心希望效率源技术更加成熟，规模进一步扩大，将中国的技术能力和信誉全方位地展示。

而中国的计算机法证技术和产品何时能够也在国际上脱颖而出？在探讨法证与数据恢复技术的同时，与梁总交换了一些想法。梁总提出的“效率源数据安全解决方案”也让我由衷欣喜。其跨平台、多系统、全方位、多功能、流程化的设计理念，将PC、MAC、Linux；单机、在线、网络；取证、分析、查看；硬盘、内存、闪存；破解、修复、恢复集于一体，仅用几个模块即可实现全部功能。听似大而空，过分追求全能，但实际简单易用，互相配合，环环相扣，合情合理。这与我所了解的国际发展趋势和需求完全相符，也是我希望看到的东西。无论是自主知识产权，或是融入其他产品的必要功能，但仅仅使用几个小小的模块，就可以解决计算机法证实践中所涉及的所有问题，终究是一大跨越。梁总称其为“效率源第五代数据解决方案”，可见其在法证恢复领域所作出了不懈的努力。

在邀请之下，效率源将在今年的计算机法证技术峰会中，对这个解决方案进行全面描述。各位爱好者届时将对此“第五代”解决方案有个全面的了解。

只读锁与写保护软件

在民事和刑事调查中，读取或分析硬盘或其他移动存储中的数据时，保留原始文件内容和时间戳是非常关键的，这也是保持证据原始性的一个要求。但很多人没有意识到，将硬盘或移动存储设备连接到计算机上使用时，会造成硬盘中的数据更改。因此要保证证据的原始性，必须要使用写保护设备。

律师行、调查公司或其他电子证据服务机构，应该和专业计算机法证机构一样，更应该注意这一点。大家都知道，读取刻录在光盘中的证据数据时不会发生数据更改的情况。但是，应该注意的是，在将证据文件刻录到光盘的时候，却会改变原始证据文件的时间戳。

现在市场上有很多硬件设备可以实现硬件写保护功能。更有一些新开发出的软件的软件写保护方案能够提供更有效、更易用、更快速的解决方法。

如果需要使用硬件写保护设备，目前市场上有：Tableau 、WeibeTech、ICS Drive Lock、Disk Jockey PRO Forensic Edition 等。

软件写保护工具，可以选用 Safe Block XP。

当选购硬件写保护设备时，你可能会发现你不得不考虑到各种存储介质，比如不同类型的硬盘接口，USB闪存（优盘）、闪存卡、火线硬盘等等。这些加在一起需要上万元了。

相比起来，我认为选用软件写保护方法，如 Safe Block XP ，可能会更加理想。Safe Block XP这种软件方式价格相比便宜很多，可以运行于 Windows XP 中，允许用户对各种存储介质添加只读保护。此外，Safe Block XP 可以明显增强数据拷贝、镜像和哈希校验的速度。

软件方式可以使用计算机本身的各种接口，而硬件写保护设备目前主要局限于USB和火线接口。

有关 iPhone 手机取证工具的资料

十一假期，看到两篇关于iPhone的资料。iPhone是目前比较新的手机，受到了国内外用户的普遍喜爱。相信这个题目大家都会感兴趣的。

第一篇是MobilEdit Forensics的，目前MOBILedit!已经可以支持第一代的iPhone了。在他们的论坛中有一篇关于“关于如果连接Apple iPhone”的文章。大家可以参考一下。

在连接iPhone之前，请检查是否已经在计算机中安装了Apple iTunes软件。最新版本的软件可以从http://www.apple.com/itunes/ 下载。
连接好iPhone和PC的连接线后，运行MOBILedit!，选择"File" 菜单中"Settings..." ，选择"Ports" 页中的"iPhone device" 项。点击"OK" 键开始设备检测。
目前软件仅支持第一代iPhone。COMPELSON公司在对第一代iPhone增加更多功能支持的同时，也将进一步开发对更新型号的iPhone手机的支持

第二篇，是从MacLockPick II的软件介绍中看到的。刚刚于10月1日正式发布的MacLockPick II增加了很多的功能，不仅增加了对Windows的支持，还支持对 Apple iPhone的信息收集。在对iPhone的支持方面，MacLockPick II目前可以收集存储于Apple iPhone手机和其他使用Apple Mobile Sync 软件的Windows或Mac OS X 操作系统计算机中数据信息，目前可以获取的信息包括：

1、拨出电话、已结来电记录，包括电话号码、通话时长，日期、时间。
2、发送和接收的短信息，包括电话号码，短信内容和具体时间。
3、IMEI 码- 移动通信国际识别码（通常打印在手机电池下面的机身上）
4、TMSI 码- 临时移动用户识别号，
5、IMSI 码- 国际移动用户识别码，保存于 SIM 卡中。
6、国际漫游状态 - 手机是否当前设定为漫游状态
7、偏爱号码 - 快速拨号，包含姓名和号码
8、Safari State Documents - 浏览器当前打开的页面
9、Safari History - 浏览器访问过的页面
10、Safari Bookmarks - 所有标记的页面
11、记事本记录
12、通讯簿
13、邮件账户

从上述两个最新的法证工具来看，国外各个专业公司对iPhone都非常重视。但从上面两个公司来比较，相信MacLockPick II会更胜一筹。作者Marko与苹果公司有很好的关系，去年起就在关注iPhone的研究。特别是MaclockPick可以从运行的Windows和MacOS计算机中调取iPhone的同步记录，就算iPhone不在也没关系。

多平台将是计算机法证工具的发展趋势

从近年来国际市场上出现的多种工具，可以很有意思的发现，能够同时针对Windows, MacOS, Linux三个平台的取证、分析工具种类越来越多。这是不是标志着，多平台是计算机法证工具的流行趋势呢？

我们先来看看MacForensicsLab。美国SubRosasoft公司推出的MacForensicsLab最早只能在MacOS环境下使用，但不到一年，Marko就推出了Windows和Linux版本。“一个跨平台的工具，您唯一的工具”，就是他们提出来的。先不说MacForensicsLab在功能上与其他取证分析工具有何差距，仅凭跨平台一点，就可以说他们领先一步。

接下来，我们看看F-Response。这不是一个取证工具，但却是一个可以配合任何取证工具，并扩展各种取证工具网络取证功能的一个软件。上周，F-Response推出了Linux版本，可以配合Smart实现对使用Linux操作系统开机运行状态下的计算机硬盘完整获取。至此，它实现了对开机运行着Windows, MacOS 和Linux三种操作系统计算机的全面取证。有了这样一个工具，调查员已经没有什么可以担心的了。

那么Linux环境下使用什么分析工具呢？Smart for Linux，新一代的计算机法证工具。作者是开发了Expert Witness的Andrew Rosen, Encase 之父。从他的代表作品，您就完全可以想象出Smart是什么样的工具。除了Linux版本，Andrew也推出了Windows下的相应版本。目前只差MacOS版本了。

再看看取证工具。ForensicsMatter的Peter Mercer开发了一套光盘启动工具，简称OSI。这个工具主要适用于关机状态的计算机实施镜像获取。对于使用Windows、Linux系统，甚至Intel架构的MacBook都非常容易，但对于PPC架构的苹果机，光盘启动就不是那么容易了。Peter的工具中同时包含了2张光盘，您用完全一样的操作方法，就可以实现对不同类型计算机的数据获取，而且兼容性非常好。这也是多平台数据获取的一个杰出代表了。

通过上面的简单说明，我们可以看到应用在多平台之上的取证分析工具，以及可以适应多平台取证需求的工具越来越多，这给计算机法证人员带来了很大的便利。世界在不断进步，计算机技术在不断进步，计算机法证工具也在不断进步。计算机犯罪有可能是各种各样的情况，而打击高科技犯罪更需要各种各样的利剑。

SmartMount 将是一个最好的镜像加载工具

Encase 之父，Andraw Rosen 推出的Smart软件非常优秀。最近，他又开发了一个镜像加载工具SmartMount。

这个工具对各种镜像文件的支持种类很多，包括DD镜像、Encase/Expert Wittness 的E01格式镜像，VMWare Disk 的vmdk镜像，苹果的dmg镜像，Smart for Linux格式镜像。同 WinVDK 或 Mount Image Pro比较，效果非常理想，加载速度很快。当SmartMount软件正式版推出后，相信它将使市场上最全面的一个镜像加载工具。

希望试用的朋友，可以从http://www.asrdata.com/SmartMount/下载试用版。

国外电子证据及计算机法证技术发展近况

国外电子证据及计算机法证技术发展近况
Sprite


国外在电子证据方面的发展状况究竟如何呢？我们可以通过国外民间机构在计算机法证方面的研究了解到一些情况。

目前，对于电子数据的研究，主要有几个不同术语：E-Discovery和Computer Forensics、Digital Forensics、Cyber Forensics，这些不同的术语，可以看出电子数据主要涉及重要数据的发现、分析、证明和揭示几个环节。

在国际各国，电子证据的主要应用单位是军队、警察、海关、反贪、金融、税务、律师、保险等部门。这些部门虽然是最主要的应用部门，但是由于各个行业涉及到计算机、局域网、互联网的高科技犯罪、商业欺诈、白领犯罪等行为越来越多，因此越来越多的咨询顾问公司、商业调查机构、会计师行、私人调查公司开始从事电子证据服务。下面，从几个方面来看国外计算机法证和电子证据研究的状况。

1．与电子证据相关的硬件产品发展速度减慢
美国、英国，是开展电子证据研究最早的国家，国际目前广泛应用的计算机法证硬件产品约有80%产自美国、英国。近3-5年间，是国际电子证据研究硬件产品发展最为鼎盛的时期，从各种硬盘复制机速度从1.8GB到3GB不断攀升，写保护接口从单一的IDE硬盘接口，到SCSI、SATA、USB、火线种类层出不穷，PC、MAC、Linux平台下的取证设备越来越多。取证分析计算机各式各样，出现了皮箱型、工控型，服务器型等。这些产品的大量出现，对国际计算机法证技术的发展起到了极大的推动作用。但自2006年开始，国际各国计算机法证相关硬件产品发展速度渐缓，除简单的升级换代之外，没有什么更有创意的新产品出现。

2．法证分析软件层出不穷
与硬件发展缓慢相对应，国际电子证据分析软件产品却如雨后春笋一般，涌现了很多优秀的产品。老牌法证工具的代表是Encase和FTK，这两个软件已经发展了若干年，基本成了计算机法证的代名词。美国Guidance公司的Encase软件这两年发展劲头不错，从4.0、5.0到6.0版，差不多每年推出一个版本。相比之下，美国AccessData公司的FTK的进展可就相对慢了许多。FTK 2.0版各国用户苦苦等了快2年，终于问世了。这个庞大的系统对计算机的要求也实在有些高。

最近1年来，国际上最有发展潜质的要算得上是德国X-ways公司的X-ways Forensics和澳大利亚Nuix公司的fbi Forensic Desktop了。从欧洲、美国、澳大利亚这些计算机法证技术的一流国家来说，这两个软件的出现可以说明显推动了冷清的市场。国内用户可能很多人都知道Winhex这个数据恢复和十六进制编辑器。由于电子证据研究离不开二进制、十六进制，也离不开数据恢复，因此Winhex的作者Stefan将这个产品进一步开发成计算机法证工具。由于其强大的数据恢复功能、灵活的数据编辑能力，快速的升级服务，X-ways Forensics立刻在世界各地受到热烈欢迎。

而fbi Forensic Desktop更是一个不可多得的数据分析工具，它将关注点放在各行业最为重要、最为复杂的电子邮件及办公文档的分析处理上，不仅能够直接搜索、察看电子邮件和附件内容，更可以通过图形方式展示不同用户之间的信件联络关系，加上其出色的多语言支持能力，fbi已经成为名副其实的法证工具。


3．计算机法证领域逐步拓宽
从多年来主要关注的PC、互联网、局域网，到今天的MAC、数码相机、手机和iPod，电子证据的研究领域已经越来越广泛。2007年开始，世界计算机法证界最热的大概就是三个话题：手机和MAC和Vista。

当今社会，计算机虽然已经非常普及，但也只能平均几个人才能拥有一台，但手机的拥有量和更新换代速度却令人叹为观止，一个普通人的一生中可能会拥有10余部甚至几十部手机。如此大的拥有量、如此快的更新速度和其中可能发现的各种电子证据，让世界各国个行业不得不必须全力应对。值得一提的是中国上海盘石公司、厦门美亚柏科、韩国FinalData公司，都针对亚洲地区手机型号开展研究，这些研究成果不在欧美国家之下。韩国FinalData公司开发的FinalMobileForensics一上市，就得到美国联邦调查局等机构的关注，经测试，得到的相关部门的认可。目前，该软件在美国、日本、韩国开始销售。

Windows Vista作为世界软件巨头Microsoft推出的换代操作系统，令世界瞩目。虽然这种轰动不像当初从Dos过渡到Windows 3.0时那样巨大，但由于Vista系统可能会对电子证据产生的影响，使法证界专家不敢掉以轻心。目前各国专家都在对Vista系统的取证分析开展研究。

Mac作为另类时尚一直只是少数人的热爱，但自推出双核、双系统概念之后，大量Windows用户也加入到Mac的阵营。几年前，各国计算机法证专家还在发愁如何有效分析Mac数据，但今年，作为Mac数据分析技术的领跑者，美国SubrosaSoft公司将具有数据恢复、获取和分析工能的MacForensicsLab推到的国际舞台。与此同时，可以同时搭载Mac、PC数据分析软件的Macbook和Mac Pro，更成为今年计算机法证领域创新和高性能的代表。

Linux下的Smart近一年发展迅速。该软件的作者Andrew Rosen是国际计算机法证领域的知名专家，他开发了第一个计算机法证工具Expert Witness，后来演变为今天国际公认的计算机法证著名软件EnCase。有人也称Andrew为Encase之父。他开发的Smart，的确有其独到之处。国际上有句说法：“Smart people don't use Encase”。一语双关。使用Smart的人，也都是“聪明的人”

世界各国电子证据技术研究和发展，带动了中国计算机法证技术的发展。中国电子证据法规和行业的发展，也吸引着世界各国的眼球。目前在亚太地区，中国香港、中国台湾、韩国、日本、新加坡等地区，计算机法证技术发展非常迅速。特别是在中国香港，HTCIA高科技犯罪调查协会亚太区分会、ACFE国际反欺诈调查官协会香港分会、ISFS资讯保安及鉴证公会香港分会等民间机构，有效推动了该地区的计算机法证技术的发展。

而国内，作为唯一一个计算机法证民间团队，中国计算机法证技术研究会联络了香港地区各专业协会及国际计算机法证技术主要国家的知名公司、专家、学者，为推动计算机法证技术的国际交流起到了桥梁和纽带作用。随着“中国计算机法证机术峰会”的逐步成熟和“HTCIA国际高科技犯罪调查协会培训年会”的引入，相信国内专业人士将能够更全面地了解国际计算机法证技术的发展，从而有效提高执法部门、民间服务机构打击高科技犯罪、白领犯罪、商业欺诈的能力。

一个改变传统的取证工具

最近结识了F-Response的作者Matthew Shannon，并与几个组员一起测试了F-Response这个软件后，发现Matthew先生研制的这款新工具的确有独到之处。看了几名国外著名专家的博客，都对这个软件有高度的评价。

简单来说，这个软件是一个在线取证工具的一个突破，他让过去遥不可及的Encase Enterprise企业版（还对中国禁销，没道理）具备的功能，成为了任何一个法证工具软件都可以实现的功能。而且实现的价格还极为低廉。

现在，X-Ways Forensics已经与F-response结合了，Smart也与F-response结合了，连苹果机下，都可以与MacForensicsLab结合。这样一来，面对Windows, MacOS, Linux三种操作系统，只要具有F-Response单机版，都可以成功实现在线取证。

说到在线取证，还要说说F-Response与目前常见的在线取证工具的区别。

所谓在线取证，就是在计算机处于开机状态下的取证方法。一般这种状态下，为了保证证据的完整性，应该尽量避免去运行额外的程序，以免使操作系统下注册表、内存、临时文件中的数据发生更改。但近年来，由于在线取证日趋重要，很多时候无法向早年国外专家所讲的一样，拔掉计算机电源，然后实施硬盘完整镜像。一旦关机往往会失去很多重要的内存数据、加密分区数据。因此，现在很多人都在重点研究在线取证工具。

目前常见的在线取证工具，都是在嫌疑人的计算机中直接运行取证软件，并自动获取内存、注册表中的数据。同时也可以通过取证软件，实现对硬盘的完整镜像。但此种方法缺点在于可能造成内存中、硬盘中过多的信息被覆盖，影响取证效果。通过，在运行的系统下获取镜像，将有可能造成系统死机，破坏证据的完整性。

F-Response 的方式，是通过网络连接两台计算机或局域网内的更多计算机，将任意一台计算机的硬盘或其他存储介质，以物理磁盘的方式显示到调查员计算机中，在调查员计算机中直接运行任意分析工具或镜像工具，实现对嫌疑硬盘数据的完整获取。这种方法是最为理想的，而且仅在嫌疑计算机中占用极少的内存，不会造成死机等问题。

F-Response绝对将是2009年中国计算机法证领域中的一个亮点。大家可以访问http://www.f-response.com/ 去了解更多的情况。