从近年来国际市场上出现的多种工具,可以很有意思的发现,能够同时针对Windows, MacOS, Linux三个平台的取证、分析工具种类越来越多。这是不是标志着,多平台是计算机法证工具的流行趋势呢?
我们先来看看MacForensicsLab。美国SubRosasoft公司推出的MacForensicsLab最早只能在MacOS环境下使用,但不到一年,Marko就推出了Windows和Linux版本。“一个跨平台的工具,您唯一的工具”,就是他们提出来的。先不说MacForensicsLab在功能上与其他取证分析工具有何差距,仅凭跨平台一点,就可以说他们领先一步。
接下来,我们看看F-Response。这不是一个取证工具,但却是一个可以配合任何取证工具,并扩展各种取证工具网络取证功能的一个软件。上周,F-Response推出了Linux版本,可以配合Smart实现对使用Linux操作系统开机运行状态下的计算机硬盘完整获取。至此,它实现了对开机运行着Windows, MacOS 和Linux三种操作系统计算机的全面取证。有了这样一个工具,调查员已经没有什么可以担心的了。
那么Linux环境下使用什么分析工具呢?Smart for Linux,新一代的计算机法证工具。作者是开发了Expert Witness的Andrew Rosen, Encase 之父。从他的代表作品,您就完全可以想象出Smart是什么样的工具。除了Linux版本,Andrew也推出了Windows下的相应版本。目前只差MacOS版本了。
再看看取证工具。ForensicsMatter的Peter Mercer开发了一套光盘启动工具,简称OSI。这个工具主要适用于关机状态的计算机实施镜像获取。对于使用Windows、Linux系统,甚至Intel架构的MacBook都非常容易,但对于PPC架构的苹果机,光盘启动就不是那么容易了。Peter的工具中同时包含了2张光盘,您用完全一样的操作方法,就可以实现对不同类型计算机的数据获取,而且兼容性非常好。这也是多平台数据获取的一个杰出代表了。
通过上面的简单说明,我们可以看到应用在多平台之上的取证分析工具,以及可以适应多平台取证需求的工具越来越多,这给计算机法证人员带来了很大的便利。世界在不断进步,计算机技术在不断进步,计算机法证工具也在不断进步。计算机犯罪有可能是各种各样的情况,而打击高科技犯罪更需要各种各样的利剑。
2008年9月23日星期二
SmartMount 将是一个最好的镜像加载工具
Encase 之父,Andraw Rosen 推出的Smart软件非常优秀。最近,他又开发了一个镜像加载工具SmartMount。
这个工具对各种镜像文件的支持种类很多,包括DD镜像、Encase/Expert Wittness 的E01格式镜像,VMWare Disk 的vmdk镜像,苹果的dmg镜像,Smart for Linux格式镜像。同 WinVDK 或 Mount Image Pro比较,效果非常理想,加载速度很快。当SmartMount软件正式版推出后,相信它将使市场上最全面的一个镜像加载工具。
希望试用的朋友,可以从http://www.asrdata.com/SmartMount/下载试用版。
这个工具对各种镜像文件的支持种类很多,包括DD镜像、Encase/Expert Wittness 的E01格式镜像,VMWare Disk 的vmdk镜像,苹果的dmg镜像,Smart for Linux格式镜像。同 WinVDK 或 Mount Image Pro比较,效果非常理想,加载速度很快。当SmartMount软件正式版推出后,相信它将使市场上最全面的一个镜像加载工具。
希望试用的朋友,可以从http://www.asrdata.com/SmartMount/下载试用版。
2008年9月22日星期一
国外电子证据及计算机法证技术发展近况
国外电子证据及计算机法证技术发展近况
Sprite
国外在电子证据方面的发展状况究竟如何呢?我们可以通过国外民间机构在计算机法证方面的研究了解到一些情况。
目前,对于电子数据的研究,主要有几个不同术语:E-Discovery和Computer Forensics、Digital Forensics、Cyber Forensics,这些不同的术语,可以看出电子数据主要涉及重要数据的发现、分析、证明和揭示几个环节。
在国际各国,电子证据的主要应用单位是军队、警察、海关、反贪、金融、税务、律师、保险等部门。这些部门虽然是最主要的应用部门,但是由于各个行业涉及到计算机、局域网、互联网的高科技犯罪、商业欺诈、白领犯罪等行为越来越多,因此越来越多的咨询顾问公司、商业调查机构、会计师行、私人调查公司开始从事电子证据服务。下面,从几个方面来看国外计算机法证和电子证据研究的状况。
1.与电子证据相关的硬件产品发展速度减慢
美国、英国,是开展电子证据研究最早的国家,国际目前广泛应用的计算机法证硬件产品约有80%产自美国、英国。近3-5年间,是国际电子证据研究硬件产品发展最为鼎盛的时期,从各种硬盘复制机速度从1.8GB到3GB不断攀升,写保护接口从单一的IDE硬盘接口,到SCSI、SATA、USB、火线种类层出不穷,PC、MAC、Linux平台下的取证设备越来越多。取证分析计算机各式各样,出现了皮箱型、工控型,服务器型等。这些产品的大量出现,对国际计算机法证技术的发展起到了极大的推动作用。但自2006年开始,国际各国计算机法证相关硬件产品发展速度渐缓,除简单的升级换代之外,没有什么更有创意的新产品出现。
2.法证分析软件层出不穷
与硬件发展缓慢相对应,国际电子证据分析软件产品却如雨后春笋一般,涌现了很多优秀的产品。老牌法证工具的代表是Encase和FTK,这两个软件已经发展了若干年,基本成了计算机法证的代名词。美国Guidance公司的Encase软件这两年发展劲头不错,从4.0、5.0到6.0版,差不多每年推出一个版本。相比之下,美国AccessData公司的FTK的进展可就相对慢了许多。FTK 2.0版各国用户苦苦等了快2年,终于问世了。这个庞大的系统对计算机的要求也实在有些高。
最近1年来,国际上最有发展潜质的要算得上是德国X-ways公司的X-ways Forensics和澳大利亚Nuix公司的fbi Forensic Desktop了。从欧洲、美国、澳大利亚这些计算机法证技术的一流国家来说,这两个软件的出现可以说明显推动了冷清的市场。国内用户可能很多人都知道Winhex这个数据恢复和十六进制编辑器。由于电子证据研究离不开二进制、十六进制,也离不开数据恢复,因此Winhex的作者Stefan将这个产品进一步开发成计算机法证工具。由于其强大的数据恢复功能、灵活的数据编辑能力,快速的升级服务,X-ways Forensics立刻在世界各地受到热烈欢迎。
而fbi Forensic Desktop更是一个不可多得的数据分析工具,它将关注点放在各行业最为重要、最为复杂的电子邮件及办公文档的分析处理上,不仅能够直接搜索、察看电子邮件和附件内容,更可以通过图形方式展示不同用户之间的信件联络关系,加上其出色的多语言支持能力,fbi已经成为名副其实的法证工具。
3.计算机法证领域逐步拓宽
从多年来主要关注的PC、互联网、局域网,到今天的MAC、数码相机、手机和iPod,电子证据的研究领域已经越来越广泛。2007年开始,世界计算机法证界最热的大概就是三个话题:手机和MAC和Vista。
当今社会,计算机虽然已经非常普及,但也只能平均几个人才能拥有一台,但手机的拥有量和更新换代速度却令人叹为观止,一个普通人的一生中可能会拥有10余部甚至几十部手机。如此大的拥有量、如此快的更新速度和其中可能发现的各种电子证据,让世界各国个行业不得不必须全力应对。值得一提的是中国上海盘石公司、厦门美亚柏科、韩国FinalData公司,都针对亚洲地区手机型号开展研究,这些研究成果不在欧美国家之下。韩国FinalData公司开发的FinalMobileForensics一上市,就得到美国联邦调查局等机构的关注,经测试,得到的相关部门的认可。目前,该软件在美国、日本、韩国开始销售。
Windows Vista作为世界软件巨头Microsoft推出的换代操作系统,令世界瞩目。虽然这种轰动不像当初从Dos过渡到Windows 3.0时那样巨大,但由于Vista系统可能会对电子证据产生的影响,使法证界专家不敢掉以轻心。目前各国专家都在对Vista系统的取证分析开展研究。
Mac作为另类时尚一直只是少数人的热爱,但自推出双核、双系统概念之后,大量Windows用户也加入到Mac的阵营。几年前,各国计算机法证专家还在发愁如何有效分析Mac数据,但今年,作为Mac数据分析技术的领跑者,美国SubrosaSoft公司将具有数据恢复、获取和分析工能的MacForensicsLab推到的国际舞台。与此同时,可以同时搭载Mac、PC数据分析软件的Macbook和Mac Pro,更成为今年计算机法证领域创新和高性能的代表。
Linux下的Smart近一年发展迅速。该软件的作者Andrew Rosen是国际计算机法证领域的知名专家,他开发了第一个计算机法证工具Expert Witness,后来演变为今天国际公认的计算机法证著名软件EnCase。有人也称Andrew为Encase之父。他开发的Smart,的确有其独到之处。国际上有句说法:“Smart people don't use Encase”。一语双关。使用Smart的人,也都是“聪明的人”
世界各国电子证据技术研究和发展,带动了中国计算机法证技术的发展。中国电子证据法规和行业的发展,也吸引着世界各国的眼球。目前在亚太地区,中国香港、中国台湾、韩国、日本、新加坡等地区,计算机法证技术发展非常迅速。特别是在中国香港,HTCIA高科技犯罪调查协会亚太区分会、ACFE国际反欺诈调查官协会香港分会、ISFS资讯保安及鉴证公会香港分会等民间机构,有效推动了该地区的计算机法证技术的发展。
而国内,作为唯一一个计算机法证民间团队,中国计算机法证技术研究会联络了香港地区各专业协会及国际计算机法证技术主要国家的知名公司、专家、学者,为推动计算机法证技术的国际交流起到了桥梁和纽带作用。随着“中国计算机法证机术峰会”的逐步成熟和“HTCIA国际高科技犯罪调查协会培训年会”的引入,相信国内专业人士将能够更全面地了解国际计算机法证技术的发展,从而有效提高执法部门、民间服务机构打击高科技犯罪、白领犯罪、商业欺诈的能力。
Sprite
国外在电子证据方面的发展状况究竟如何呢?我们可以通过国外民间机构在计算机法证方面的研究了解到一些情况。
目前,对于电子数据的研究,主要有几个不同术语:E-Discovery和Computer Forensics、Digital Forensics、Cyber Forensics,这些不同的术语,可以看出电子数据主要涉及重要数据的发现、分析、证明和揭示几个环节。
在国际各国,电子证据的主要应用单位是军队、警察、海关、反贪、金融、税务、律师、保险等部门。这些部门虽然是最主要的应用部门,但是由于各个行业涉及到计算机、局域网、互联网的高科技犯罪、商业欺诈、白领犯罪等行为越来越多,因此越来越多的咨询顾问公司、商业调查机构、会计师行、私人调查公司开始从事电子证据服务。下面,从几个方面来看国外计算机法证和电子证据研究的状况。
1.与电子证据相关的硬件产品发展速度减慢
美国、英国,是开展电子证据研究最早的国家,国际目前广泛应用的计算机法证硬件产品约有80%产自美国、英国。近3-5年间,是国际电子证据研究硬件产品发展最为鼎盛的时期,从各种硬盘复制机速度从1.8GB到3GB不断攀升,写保护接口从单一的IDE硬盘接口,到SCSI、SATA、USB、火线种类层出不穷,PC、MAC、Linux平台下的取证设备越来越多。取证分析计算机各式各样,出现了皮箱型、工控型,服务器型等。这些产品的大量出现,对国际计算机法证技术的发展起到了极大的推动作用。但自2006年开始,国际各国计算机法证相关硬件产品发展速度渐缓,除简单的升级换代之外,没有什么更有创意的新产品出现。
2.法证分析软件层出不穷
与硬件发展缓慢相对应,国际电子证据分析软件产品却如雨后春笋一般,涌现了很多优秀的产品。老牌法证工具的代表是Encase和FTK,这两个软件已经发展了若干年,基本成了计算机法证的代名词。美国Guidance公司的Encase软件这两年发展劲头不错,从4.0、5.0到6.0版,差不多每年推出一个版本。相比之下,美国AccessData公司的FTK的进展可就相对慢了许多。FTK 2.0版各国用户苦苦等了快2年,终于问世了。这个庞大的系统对计算机的要求也实在有些高。
最近1年来,国际上最有发展潜质的要算得上是德国X-ways公司的X-ways Forensics和澳大利亚Nuix公司的fbi Forensic Desktop了。从欧洲、美国、澳大利亚这些计算机法证技术的一流国家来说,这两个软件的出现可以说明显推动了冷清的市场。国内用户可能很多人都知道Winhex这个数据恢复和十六进制编辑器。由于电子证据研究离不开二进制、十六进制,也离不开数据恢复,因此Winhex的作者Stefan将这个产品进一步开发成计算机法证工具。由于其强大的数据恢复功能、灵活的数据编辑能力,快速的升级服务,X-ways Forensics立刻在世界各地受到热烈欢迎。
而fbi Forensic Desktop更是一个不可多得的数据分析工具,它将关注点放在各行业最为重要、最为复杂的电子邮件及办公文档的分析处理上,不仅能够直接搜索、察看电子邮件和附件内容,更可以通过图形方式展示不同用户之间的信件联络关系,加上其出色的多语言支持能力,fbi已经成为名副其实的法证工具。
3.计算机法证领域逐步拓宽
从多年来主要关注的PC、互联网、局域网,到今天的MAC、数码相机、手机和iPod,电子证据的研究领域已经越来越广泛。2007年开始,世界计算机法证界最热的大概就是三个话题:手机和MAC和Vista。
当今社会,计算机虽然已经非常普及,但也只能平均几个人才能拥有一台,但手机的拥有量和更新换代速度却令人叹为观止,一个普通人的一生中可能会拥有10余部甚至几十部手机。如此大的拥有量、如此快的更新速度和其中可能发现的各种电子证据,让世界各国个行业不得不必须全力应对。值得一提的是中国上海盘石公司、厦门美亚柏科、韩国FinalData公司,都针对亚洲地区手机型号开展研究,这些研究成果不在欧美国家之下。韩国FinalData公司开发的FinalMobileForensics一上市,就得到美国联邦调查局等机构的关注,经测试,得到的相关部门的认可。目前,该软件在美国、日本、韩国开始销售。
Windows Vista作为世界软件巨头Microsoft推出的换代操作系统,令世界瞩目。虽然这种轰动不像当初从Dos过渡到Windows 3.0时那样巨大,但由于Vista系统可能会对电子证据产生的影响,使法证界专家不敢掉以轻心。目前各国专家都在对Vista系统的取证分析开展研究。
Mac作为另类时尚一直只是少数人的热爱,但自推出双核、双系统概念之后,大量Windows用户也加入到Mac的阵营。几年前,各国计算机法证专家还在发愁如何有效分析Mac数据,但今年,作为Mac数据分析技术的领跑者,美国SubrosaSoft公司将具有数据恢复、获取和分析工能的MacForensicsLab推到的国际舞台。与此同时,可以同时搭载Mac、PC数据分析软件的Macbook和Mac Pro,更成为今年计算机法证领域创新和高性能的代表。
Linux下的Smart近一年发展迅速。该软件的作者Andrew Rosen是国际计算机法证领域的知名专家,他开发了第一个计算机法证工具Expert Witness,后来演变为今天国际公认的计算机法证著名软件EnCase。有人也称Andrew为Encase之父。他开发的Smart,的确有其独到之处。国际上有句说法:“Smart people don't use Encase”。一语双关。使用Smart的人,也都是“聪明的人”
世界各国电子证据技术研究和发展,带动了中国计算机法证技术的发展。中国电子证据法规和行业的发展,也吸引着世界各国的眼球。目前在亚太地区,中国香港、中国台湾、韩国、日本、新加坡等地区,计算机法证技术发展非常迅速。特别是在中国香港,HTCIA高科技犯罪调查协会亚太区分会、ACFE国际反欺诈调查官协会香港分会、ISFS资讯保安及鉴证公会香港分会等民间机构,有效推动了该地区的计算机法证技术的发展。
而国内,作为唯一一个计算机法证民间团队,中国计算机法证技术研究会联络了香港地区各专业协会及国际计算机法证技术主要国家的知名公司、专家、学者,为推动计算机法证技术的国际交流起到了桥梁和纽带作用。随着“中国计算机法证机术峰会”的逐步成熟和“HTCIA国际高科技犯罪调查协会培训年会”的引入,相信国内专业人士将能够更全面地了解国际计算机法证技术的发展,从而有效提高执法部门、民间服务机构打击高科技犯罪、白领犯罪、商业欺诈的能力。
一个改变传统的取证工具
最近结识了F-Response的作者Matthew Shannon,并与几个组员一起测试了F-Response这个软件后,发现Matthew先生研制的这款新工具的确有独到之处。看了几名国外著名专家的博客,都对这个软件有高度的评价。
简单来说,这个软件是一个在线取证工具的一个突破,他让过去遥不可及的Encase Enterprise企业版(还对中国禁销,没道理)具备的功能,成为了任何一个法证工具软件都可以实现的功能。而且实现的价格还极为低廉。
现在,X-Ways Forensics已经与F-response结合了,Smart也与F-response结合了,连苹果机下,都可以与MacForensicsLab结合。这样一来,面对Windows, MacOS, Linux三种操作系统,只要具有F-Response单机版,都可以成功实现在线取证。
说到在线取证,还要说说F-Response与目前常见的在线取证工具的区别。
所谓在线取证,就是在计算机处于开机状态下的取证方法。一般这种状态下,为了保证证据的完整性,应该尽量避免去运行额外的程序,以免使操作系统下注册表、内存、临时文件中的数据发生更改。但近年来,由于在线取证日趋重要,很多时候无法向早年国外专家所讲的一样,拔掉计算机电源,然后实施硬盘完整镜像。一旦关机往往会失去很多重要的内存数据、加密分区数据。因此,现在很多人都在重点研究在线取证工具。
目前常见的在线取证工具,都是在嫌疑人的计算机中直接运行取证软件,并自动获取内存、注册表中的数据。同时也可以通过取证软件,实现对硬盘的完整镜像。但此种方法缺点在于可能造成内存中、硬盘中过多的信息被覆盖,影响取证效果。通过,在运行的系统下获取镜像,将有可能造成系统死机,破坏证据的完整性。
F-Response 的方式,是通过网络连接两台计算机或局域网内的更多计算机,将任意一台计算机的硬盘或其他存储介质,以物理磁盘的方式显示到调查员计算机中,在调查员计算机中直接运行任意分析工具或镜像工具,实现对嫌疑硬盘数据的完整获取。这种方法是最为理想的,而且仅在嫌疑计算机中占用极少的内存,不会造成死机等问题。
F-Response绝对将是2009年中国计算机法证领域中的一个亮点。大家可以访问http://www.f-response.com/ 去了解更多的情况。
简单来说,这个软件是一个在线取证工具的一个突破,他让过去遥不可及的Encase Enterprise企业版(还对中国禁销,没道理)具备的功能,成为了任何一个法证工具软件都可以实现的功能。而且实现的价格还极为低廉。
现在,X-Ways Forensics已经与F-response结合了,Smart也与F-response结合了,连苹果机下,都可以与MacForensicsLab结合。这样一来,面对Windows, MacOS, Linux三种操作系统,只要具有F-Response单机版,都可以成功实现在线取证。
说到在线取证,还要说说F-Response与目前常见的在线取证工具的区别。
所谓在线取证,就是在计算机处于开机状态下的取证方法。一般这种状态下,为了保证证据的完整性,应该尽量避免去运行额外的程序,以免使操作系统下注册表、内存、临时文件中的数据发生更改。但近年来,由于在线取证日趋重要,很多时候无法向早年国外专家所讲的一样,拔掉计算机电源,然后实施硬盘完整镜像。一旦关机往往会失去很多重要的内存数据、加密分区数据。因此,现在很多人都在重点研究在线取证工具。
目前常见的在线取证工具,都是在嫌疑人的计算机中直接运行取证软件,并自动获取内存、注册表中的数据。同时也可以通过取证软件,实现对硬盘的完整镜像。但此种方法缺点在于可能造成内存中、硬盘中过多的信息被覆盖,影响取证效果。通过,在运行的系统下获取镜像,将有可能造成系统死机,破坏证据的完整性。
F-Response 的方式,是通过网络连接两台计算机或局域网内的更多计算机,将任意一台计算机的硬盘或其他存储介质,以物理磁盘的方式显示到调查员计算机中,在调查员计算机中直接运行任意分析工具或镜像工具,实现对嫌疑硬盘数据的完整获取。这种方法是最为理想的,而且仅在嫌疑计算机中占用极少的内存,不会造成死机等问题。
F-Response绝对将是2009年中国计算机法证领域中的一个亮点。大家可以访问http://www.f-response.com/ 去了解更多的情况。
订阅:
博文 (Atom)
