计算机法证和数据恢复,我们不去考究哪个领域更大,但这两项技术是密不可分的。数据恢复是一个发展非常快,需要非常大,技术性很强的产业。计算机法证技术不是每一个普通人都可以涉及到的,而数据恢复可能会涉及到每一个人。
近日有机会与国内计算机数据恢复产业的领头人“效率源”梁总进行了技术探讨,之后对中国数据恢复产业的发展非常欣喜。这个中国专业数据恢复机构所开发的产品,已经被几十个国家上千家数据恢复专业人士所使用,且声誉超过国外其他同类竞争产品。这效率源的产品,使国外数据恢复同行离不开中国技术,也将中国数据恢复技术的能力在世界上得到了展示。因此,我真心希望效率源技术更加成熟,规模进一步扩大,将中国的技术能力和信誉全方位地展示。
而中国的计算机法证技术和产品何时能够也在国际上脱颖而出?在探讨法证与数据恢复技术的同时,与梁总交换了一些想法。梁总提出的“效率源数据安全解决方案”也让我由衷欣喜。其跨平台、多系统、全方位、多功能、流程化的设计理念,将PC、MAC、Linux;单机、在线、网络;取证、分析、查看;硬盘、内存、闪存;破解、修复、恢复集于一体,仅用几个模块即可实现全部功能。听似大而空,过分追求全能,但实际简单易用,互相配合,环环相扣,合情合理。这与我所了解的国际发展趋势和需求完全相符,也是我希望看到的东西。无论是自主知识产权,或是融入其他产品的必要功能,但仅仅使用几个小小的模块,就可以解决计算机法证实践中所涉及的所有问题,终究是一大跨越。梁总称其为“效率源第五代数据解决方案”,可见其在法证恢复领域所作出了不懈的努力。
在邀请之下,效率源将在今年的计算机法证技术峰会中,对这个解决方案进行全面描述。各位爱好者届时将对此“第五代”解决方案有个全面的了解。
2008年10月17日星期五
2008年10月8日星期三
只读锁与写保护软件
在民事和刑事调查中,读取或分析硬盘或其他移动存储中的数据时,保留原始文件内容和时间戳是非常关键的,这也是保持证据原始性的一个要求。但很多人没有意识到,将硬盘或移动存储设备连接到计算机上使用时,会造成硬盘中的数据更改。因此要保证证据的原始性,必须要使用写保护设备。
律师行、调查公司或其他电子证据服务机构,应该和专业计算机法证机构一样,更应该注意这一点。大家都知道,读取刻录在光盘中的证据数据时不会发生数据更改的情况。但是,应该注意的是,在将证据文件刻录到光盘的时候,却会改变原始证据文件的时间戳。
现在市场上有很多硬件设备可以实现硬件写保护功能。更有一些新开发出的软件的软件写保护方案能够提供更有效、更易用、更快速的解决方法。
如果需要使用硬件写保护设备,目前市场上有:Tableau 、WeibeTech、ICS Drive Lock、Disk Jockey PRO Forensic Edition 等。
软件写保护工具,可以选用 Safe Block XP。
当选购硬件写保护设备时,你可能会发现你不得不考虑到各种存储介质,比如不同类型的硬盘接口,USB闪存(优盘)、闪存卡、火线硬盘等等。这些加在一起需要上万元了。
相比起来,我认为选用软件写保护方法,如 Safe Block XP ,可能会更加理想。Safe Block XP这种软件方式价格相比便宜很多,可以运行于 Windows XP 中,允许用户对各种存储介质添加只读保护。此外,Safe Block XP 可以明显增强数据拷贝、镜像和哈希校验的速度。
软件方式可以使用计算机本身的各种接口,而硬件写保护设备目前主要局限于USB和火线接口。
律师行、调查公司或其他电子证据服务机构,应该和专业计算机法证机构一样,更应该注意这一点。大家都知道,读取刻录在光盘中的证据数据时不会发生数据更改的情况。但是,应该注意的是,在将证据文件刻录到光盘的时候,却会改变原始证据文件的时间戳。
现在市场上有很多硬件设备可以实现硬件写保护功能。更有一些新开发出的软件的软件写保护方案能够提供更有效、更易用、更快速的解决方法。
如果需要使用硬件写保护设备,目前市场上有:Tableau 、WeibeTech、ICS Drive Lock、Disk Jockey PRO Forensic Edition 等。
软件写保护工具,可以选用 Safe Block XP。
当选购硬件写保护设备时,你可能会发现你不得不考虑到各种存储介质,比如不同类型的硬盘接口,USB闪存(优盘)、闪存卡、火线硬盘等等。这些加在一起需要上万元了。
相比起来,我认为选用软件写保护方法,如 Safe Block XP ,可能会更加理想。Safe Block XP这种软件方式价格相比便宜很多,可以运行于 Windows XP 中,允许用户对各种存储介质添加只读保护。此外,Safe Block XP 可以明显增强数据拷贝、镜像和哈希校验的速度。
软件方式可以使用计算机本身的各种接口,而硬件写保护设备目前主要局限于USB和火线接口。
2008年10月5日星期日
有关 iPhone 手机取证工具的资料
十一假期,看到两篇关于iPhone的资料。iPhone是目前比较新的手机,受到了国内外用户的普遍喜爱。相信这个题目大家都会感兴趣的。
第一篇是MobilEdit Forensics的,目前MOBILedit!已经可以支持第一代的iPhone了。在他们的论坛中有一篇关于“关于如果连接Apple iPhone”的文章。大家可以参考一下。
在连接iPhone之前,请检查是否已经在计算机中安装了Apple iTunes软件。最新版本的软件可以从http://www.apple.com/itunes/ 下载。
连接好iPhone和PC的连接线后,运行MOBILedit!,选择"File" 菜单中"Settings..." ,选择"Ports" 页中的"iPhone device" 项。点击"OK" 键开始设备检测。
目前软件仅支持第一代iPhone。COMPELSON公司在对第一代iPhone增加更多功能支持的同时,也将进一步开发对更新型号的iPhone手机的支持
第二篇,是从MacLockPick II的软件介绍中看到的。刚刚于10月1日正式发布的MacLockPick II增加了很多的功能,不仅增加了对Windows的支持,还支持对 Apple iPhone的信息收集。在对iPhone的支持方面,MacLockPick II目前可以收集存储于Apple iPhone手机和其他使用Apple Mobile Sync 软件的Windows或Mac OS X 操作系统计算机中数据信息,目前可以获取的信息包括:
1、拨出电话、已结来电记录,包括电话号码、通话时长,日期、时间。
2、发送和接收的短信息,包括电话号码,短信内容和具体时间。
3、IMEI 码- 移动通信国际识别码(通常打印在手机电池下面的机身上)
4、TMSI 码- 临时移动用户识别号,
5、IMSI 码- 国际移动用户识别码,保存于 SIM 卡中。
6、国际漫游状态 - 手机是否当前设定为漫游状态
7、偏爱号码 - 快速拨号,包含姓名和号码
8、Safari State Documents - 浏览器当前打开的页面
9、Safari History - 浏览器访问过的页面
10、Safari Bookmarks - 所有标记的页面
11、记事本记录
12、通讯簿
13、邮件账户
从上述两个最新的法证工具来看,国外各个专业公司对iPhone都非常重视。但从上面两个公司来比较,相信MacLockPick II会更胜一筹。作者Marko与苹果公司有很好的关系,去年起就在关注iPhone的研究。特别是MaclockPick可以从运行的Windows和MacOS计算机中调取iPhone的同步记录,就算iPhone不在也没关系。
订阅:
评论 (Atom)
