国内计算机法证软件发展之我见- 回复网友Flyfiresl的贴

2009-03-09 18:46

网友评论：
1
flyfiresl
2009-03-08
20:52 回复
删除
我以为真正意义的“计算机取证综合解决方案”应该是一个模块化、组件化的方案或系列产品。实战中有针对性的组合使用。否则从研究还是从装备上来说似乎投入都比较大。毕竟涉及面太广了
。这可能也是目前虽然有需求，但还缺少真正产品的原因。如您所说，现在我们还是应该把我们的需求弄清，立足现有的产品，把它功能、特点、原理吃透，同时结合实际的应用，精选我们的方案，并未今后设计、研发我们自己的产品打好基础。

2
flyfiresl
2009-03-08
21:08 回复
删除
最近我测试了几款快速取证分析软件。如FM2008……。感觉目前这类软件的特点和不足同样突出。易用性和发现问题、可疑的速度提高了，但似乎深层次分析和处理复杂问题的功能被削弱了。不知您对这类软件的评价和其今后发展前景有何看法。

看了网友Flyfiresl的评论，感觉的确应该考虑考虑国内计算机法证软件的发展方向。
在说国内软件发展问题之前，我想先和大家一起讨论一下国外的几个软件的发展过程，看看通过他们这些软件的发展经历，对国内计算机法证软件有没有借鉴作用。
先看看第一个取证软件Expert Witness。Andrew Rosen在最开始研究电子证据是，并不知道该编制一个什么样的法证软件。他结合执法部门的需求，一点点地积累，反复与执法部门研究各种需求和功能，最终编制除了第一个法证工具。这个软件通过不断地发展，完善，到Encase 4.0版本的时候已经非常优秀了。这个软件被越来越多的执法部分采用，最后竟然成为了美国的一种标准。只要是Encase证据文件格式，法院就会认可，律师们也不会提出更多的问题。但是如果拿出另外一种证据文件格式，专家证人就不得不向法官和律师解释为什么要使用其他的取证软件和证据文件格式。因此，为了避免麻烦，美国的民间服务机构和律师们都建议使用E01和DD证据文件，就是因为他们已经成了美国公认的标准，数据分析人员也都接受了这个标准，甚至具有EnCE资质的人员似乎都成了计算机法证专业人员的代名词。虽然很多人员很不理解为什么一家公司的产品和培训证书竟然能成为成了法律认可的标准和专业人员资质，但这毕竟已经成为了现实，你想不接受都不成。好在这目前只是美国的方式，只有和美国、英国法律打交道的专业人员才不得不努力争取这个资质，如果中国法律也认可这个标准，那么Guidance公司还不美坏了！所以我认为这是一个不可能的事情，中国绝对不会这样。

接下来我们再看看Winhex和X-ways。德国小伙子Stefan最早做Winhex的时候只是因为缺少好的十六进制编辑器和内存编辑器，满足不了他的一些需求。这个软件在磁盘编辑、十六进制编辑方面非常优秀，并一直以专业十六进制编辑器和数据恢复工具而闻名。知道有一天Stefan突然看到了计算机法证的需求，他才突然明白了自己的发展方向，将他改变为X-Ways Forensics，成了今天在世界上赫赫有名的法证工具。这个软件的发展时间并不长，因为这个工具处理数据有很多种方法(way)，那么有多少种呢？x种，很多种。所以才叫X-Ways。X-Ways 的发展路线是突出易用性和效率，同时尽可能地接受大家提出的改进意见，因此被各国用户认可，发展速度非常快。X-Ways的更新速度是有名的，几乎每个月都有升级版本，而且软件的基本操作方法没有改变，你只要学会之后，可以一直使用下去。这一点上，不想大牌法证软件公司，升级需要漫长的时间，而且升级后让你觉得不知道该怎样使用了。不过也不能怪这些大公司，他们要通过培训挣钱呀，使用方法不变谁还去交钱培训呀！培训费才是大公司关注的呀！从X-Ways身上学到的是敬业、执着和认真。你看看Stefan的网站，简单地很，他不关注这些虚的东西，还是实力最重要啊。

再看看FTK，这个软件其实最初非常不错，曾经一度被称为处理电子邮件最好的工具。FTK对文件分类的处理非常好，对电子邮件的索引和搜索也非常好，特别是文件预览功能在当初也是最好的。如果当初支持中文好一些的话，早在国内火了。但是不知道AccessData公司的策略是谁制定的，好长时间一直不见升级，升级之后却带来了2.0这么一个庞大的家伙。国际各国专业人士都对这个软件不满意，近期据说有了一些新的变化，这点需要网友DUXC来说说了。他们翻译了FTK的所有材料，应该对FTK很有了解。从FTK身上，可以明白：产品一定要适应市场的需要，否则功能再强也不能发展长久，错失先机。

还可以看看FinalData。FinalData在中国出名，都是因为这个软件易用性好，操作简单，数据恢复能力强。但由于FinalData几年前的代理商把韩国总公司给骗了一把，让FinalData对中国望而却步。先不说这点了，但FinalData采用了和Winhex一样的策略，将他们对数据的深入研究转化为了一个新的产品FinalForensics，做出了一套专业的法证工具。FinalData 2.0和FinalData 3.0本身就是依据文件签名进行数据恢复的，因此直接转为取证软件相当简单。在这点上基础还是非常雄厚的，从1999年到2009年，经过10年的积蓄已经足够了。FinalData用足了他的优势，将文件分类简单化，将数据恢复简单化，将韩国本土特殊类型文件支持得够好，这样，FinlaData既有了自己的特点，又有了进军国际化的资本，自然会有自己的发展空间。所以，FinalData带给我们的是：充分发挥自身的原有优势，将简单易用做到底，将韩国特有数据支持好，自然会有发展。

好了，说了这么多国外的软件，差不多了。从这些软件的发展来看，各有成败，很难说走那种模式是最成功的。但从中可以借鉴的，就是一定要发挥自己的优势，并坚持下去；要听从用户和使用者的建议，为客户着想；要不断积累，不断改进。哪一家公司不是积累了这么多年，曲曲折折地走下来的？

那么，咱们再来看看国内应该需要什么，怎么发展吧。纯属个人观点，得罪了谁别骂我！
我一直表示会支持国内自主研发属于中国特色的工具。国内这些法证软件研发公司都不错，都不断地努力着，努力想做一套属于自己国家的适用工具。从研发上看，厦门美亚、上海磐石、上海华依都不错，我向这些公司里面努力工作的技术人员们敬礼。

其实，这些公司都在琢磨怎么才能有中国特色的工具，并努力积累着。只有充分掌握文件系统结构和数据特征，才能做出好的法证工具。在基础不足的情况下，无法超越其他国家的大牌法证工具的情况下，先对一些简单的数据分析，并使一些工作简单化未尝不是一个好的开端。现在各种各样的数据这么多，没有一个软件能够做到包揽所有的事。那么先把别人做不了、没想到、不屑做的事情做一做，不也是给法证技术的一个推动吗？Flyfiresl兄所说不错，我们的工具在深层次上可能没有那些国外软件功能全、效率高，但对于普及一些基本操作，并让一些特有的分析工作简单化还是有价值的。

国内软件怎么做，我看有几点应该考虑：
第一、符合国际化的操作方法和标准；
第二、符合中国语言的特点和处理习惯；
第三、具备对中国特有格式数据的处理能力；
第四、操作简便，能得到用户普遍的喜爱和支持；
第五、基本达到国际流行软件的分析能力；
第六、升级快，技术支持好；

为什么这么说呢？
第一，我们的电子证据相关法律一定会出台，法律标准自认会与国际其他国家电子证据法律有共通之处，那么分析工具的处理结果自然要具备各种国际数据分析软件的基本功能相似，要经得起第三方数据分析软件的检验。总不能所我的软件说一个文件的什么时间建立的，而别的软件都说不是。这只是打一个比方。当然我们的软件不会这么差。我说的是一个基本的标准。具体这个标准是什么，还要看看法律和法证专家们的意见。但无论如果，相同的分析结果都是必须的。

第二，中国语言有自身的特点，用词标准和习惯各地方言习惯、甚至老人和年轻人都不一样。这与其他语言相比要复杂了许多。因此针对中文语言完全可以做出与别的国家不同的工具。怎么样研究中文的特点和规律，也需要有头脑的人去考虑了。同时，针对中国特殊的文件格式也是可以再深入研究研究的，那么多共享软件，免费工具，都有自己的格式。只对中国所有软件的哈希值积累好了都可以卖钱了。哈哈，我有头脑吧，就是没时间和精力做:-）

第三，工具是让人使用的。使用的人多了自然就成了标准了。关键是你怎么让别人喜欢。这些需要开发公司、作者们好好考虑了。互相诋毁，互相拆台是发展不起来的，自己的风格和特色才是让人接受的主要理由。

第四嘛，不妨学学ILOOK，但iLook仅限执法部门使用，普通人使不了，见不到。但执法部门也在使。不过iLook有国家支持，是免费的，估计国内开发者不愿意做赔钱的买卖。但是如果政府支持....? 不过让某家公司的产品成为政府的标准似乎......？对了，Guidance公司的Encase不是也是公司的产品嘛！再说，国家那么多项目，让尊敬的许老师牵个头做一做带头人不是挺好的吗？哪天找许老师建议一下！

最后，回应一下Flyfiresl的第一贴：
我认为成为模块化，插件化的产品，只能由一个公司才能够研究出来。就像Encase，将VFS变成模块，PDE变成模块、EDS做成模块，软件写保护做成模块。但这样一来，增加了一些功能，却没有显著的提高。他一样不能对iPhone做分析，不能对电子邮件关系进行图形化现实，不能解决口令问题。

最近看了一下北京天宇宁的方案，还是挺全的。可以根据需要配合或组合。他们将实现共通功能的需求最简化，讲究软硬件配合和提高效率，功能基本都涵盖到了。所以我同意Flyfiresl的观点，把需求搞清楚，借鉴一下国际品牌软件、设备的功能，把功能搞清楚，这样才能够知道那个工具适合自己，什么时候购买什么东西，买那些东西组合一起才是有价值的，否则买了一大堆回来当摆设，浪费国家和老板们的钱，才是大问题。

仅以此文献给关心国内计算机法证技术发展的热心人！ Sprite

CCFC 2008 第四届中国计算机法证技术峰会 演讲幻灯PPT下载

实在不好意思，早已经第四届中国计算机法证技术峰会的演讲幻灯上传到网站了，忘了将下载链接发布了。暂时先在这里发布一下，近日修改WWW.CHINA-FORENSIC.COM的下载链接。





www.china-forensic.com/downloads/2008/ccfc2008-1-xurs.ppt 3.8mb
www.china-forensic.com/downloads/2008/CCFC2008-2-PaulJackson-En.ppt (下载后改扩展名为pptx) 2.53mb
www.china-forensic.com/downloads/2008/ccfc2008-3-sprite-cn.ppt 8.24mb
www.china-forensic.com/downloads/2008/ccfc2008-4-marcgoodman-part1-cn.ppt 2mb
www.china-forensic.com/downloads/2008/ccfc2008-4-marcgoodman-part2-cn.ppt 1mb
www.china-forensic.com/downloads/2008/ccfc2008-5-f-response-cn.ppt 1mb
www.china-forensic.com/downloads/2008/ccfc2008-6-asrdata-en.ppt 713k
www.china-forensic.com/downloads/2008/CCFC2008-7-ForensicAccounting-CN.ppt 2.7mb
www.china-forensic.com/downloads/2008/CCFC2008-8-Elcomsoft-en.ppt (下载后改扩展名为pptx) 1.34mb
www.china-forensic.com/downloads/2008/ccfc2008-9-Intella-en.ppt 6.7mb

Final Data 3.0 专业版与 X-Ways forensics 15 数据恢复效果测试

阅读最佳图文效果全文>>

这两天测试FinalData 3.0专业版的过程中，忽然想到了以前一直希望做的一件事，就是对比一下各个数据恢复软件、法证工具的各自优势。因此利用1GB的一个U盘作了一个测试， 保存了一些文件，在全部删除，分别利用FinalData 3.0专业版和X-Ways Forensics 15.2进行恢复，看看那个软件恢复的效果好。
不过，利用X-Ways Forensics和Finaldata比较，实在有些不够公平。FinalData只是一个几千元的民用小软件，只是进行数据恢复的，而X-Ways Forensics是专业的法证软件，法证功能强出不少。不过，好在这个测试只是对数据恢复功能的，别的功能暂不比较。等下次有时间，把 FinalForensics 3.0和X-Ways Forensics好好比较一下，再和Encase 6比较一下，看看其他方面的差别。
现在，看看我的测试结果吧。

1、在这个测试中，为了比较两个软件对删除文件、删除目录的恢复效果，我在u盘中复制了几个目录和一些文件。其中包含有word文档、excel文档、 jpeg图片、outlook express电子邮件等。同时为了比较对丢失文件的恢复功能，没有全部擦除u盘，因此原来的盘中还包含一些图片、视频、写字板文件。通过下图，可以看到 Finaldata 3.0专业版找到的文件和原始的目录结构。

2、同时利用Finaldata 3.0和X-Ways Forensics对该盘进行扫描，发现到丢失的目录和文件。两个软件发现的目录和文件完全相同。原始目录名丢失，无法恢复，但目录中的文件名称均可正常 显示。FinalData 能够以原始图标显示各种文件，看上去效果比X-Ways Forensics好一些。

3、转至另外一个丢失的目录，即196936目录，数据仍然一样。

4、在本例中，Excel文件共有6份，两个软件全部成功恢复。

5、对于pdf文件恢复，FinalData恢复回5个文件，而X-Ways Forensics 恢复回6个。经查看，X-Ways Forensics多恢复的文件中，有一个文件无法察看。其余文件均相同。

6、比较有意思的是对Word文件的恢复了。下面我们好好看一看。
通过下图，我们可以看到X-Ways Forensics软件正在预览显示一个Word文件，内容为案例文件说明。在X-ways Forensics中，这个文件没有自己的文件名，是X-Ways 通过文件签名从未分配空间搜索出来的，并自动给他分配的一个文件名。
而在FinalData 3.0中，这个内容相同的文件却有一个中文的文件名。而这个文件也是从未分配空间搜索出来的，本身不应该具有文件名了。这是怎么回事呢？难道 FinalData能够从别的地方发现文件名？从文件名这点上，FinalData还是比较不错的。

7、继续看下一个word文件。FinalData同样给另一个文件重新命名为JUJUMAO.doc。如果看看前面的Finaldata恢复的 excel文件，我们也可以发现Excel文件也都被重新命名了。进一步查看了一下这些文件的属性信息，发现JUJUMAO是这个文件的作者，Ghost 也是文件的作者，而案例文件说明是文件属性中的标题。原来FinalData可以根据文件属性自动给文件命名，可以直观地通过文件名知道恢复回文件的一些 信息。有助于区分文件。

8、下面的这个图片就能够说明问题了。察看FinalData 3.0的恢复结果，发现比X-Ways Forensics少了一个文件。这个u盘是我老师的，而且u盘以前被格式化过，这一篇文章被删除了很久了。X-Ways Forensics通过文件签名将他找了出来。但是FinalData没有把它找出来。这可是FinalData的失误了。通过扇区查了一下这个文件，文 件头保存的很好，不应找不出来呀？

9、用Finaldata 将所有的doc文件全部列出来，总计33个。

10、而用X-Ways Fornesics将所有的doc文件列出来，总计26个。数量要比FinalData少。
对比发现，FinalData发现的文件数量虽然多，但是有重复。不知道是否同时存在文件的副本，FinalData将副本全部恢复回来了？

11、FinalData对于Office文件的破损率可以进行检测，如果破损率低，可以在恢复同时进行格式修复。

12、FinalData专业版具有电子邮件恢复功能。通过启动电子邮件恢复，可以将磁盘中的Outlook Express和Ms Outlook的邮件自动找回来。本例中，我直接选择了其中的收件箱，并通过“恢复选定邮件”功能察看邮件。

13、FinalData自动把dbx邮箱打开，可以直接察看邮箱中的邮件。这个功能可真是不错。几千元的软件具有这种功能可是非常不错了。这都是上万元的法证软件才有的功能呀！Encase都不能这么察看邮件吧。

14、可以更清楚地察看邮件内容和邮件原始内容。并以eml格式将文件保存出来。非常好的功能。

15、但是X-Ways Foensics没有发现出u盘中的视频文件，而FinalData却将视频文件找了出来。X-Ways 怎么能够出现这样的失误呢？


小结：

今天，通过这个测试，可以大致有如下结论：
1、两个软件在数据恢复功能方面，各有优势，也各有不足。X-Ways Forensics 通过文件签名方式多发现了一份Word文件，FinalData多发现了视频文件。看来不能完全迷信某一个软件，一定要配合使用。以后再多做一些测试，看看有没有新的发现。

2、FinalData的操作简单，基本不用学习，对于普通用户更容易使用。而X-Ways Forensics要能够熟练操作，达到上述结果，至少需要学习1天吧。

3、FinalData作为一个民用软件，具有上述功能，还可以对电子邮件、数据库、Index.dat上网纪录进行察看，的确是超值。而X-Ways Forensics和其他法证工具也不具备对数据库的分析处理和恢复功能。看来FinalData 3.0专业版值得计算机取证人士使用。

VFC 1.2.4.3 虚拟磁盘/镜像加载仿真工具测试

查看本文：百度博客“图文版”

对于磁盘镜像、Encase证据文件、dd镜像文件，有些时候调查员希望能够利用第三方工具对证据文件进行分析，因此Mount Image Pro， Smart Mount这类的镜像文件加载工具就非常有用了。他们可以把镜像文件重新虚拟为逻辑磁盘或物理磁盘，可以通过Windows直接察看其中的内容，或使用FinalData 3.0，Winhex15.2 这类的数据恢复、磁盘编辑工具对其中的删除数据进行恢复。

但有些时候，调查员不满足于仅仅通过浏览器的方式察看磁盘和证据文件内容，而希望通过虚拟机加载镜像文件中的操作系统，以察看Windows启动的过程，这时候VFC这种虚拟仿真工具就非常有用了。


VFC是英国MD5公司推出的一个虚拟仿真工具，可以利用VMware Player加载物理硬盘，也可以配合Smart Mount或Mount Image Pro，首先将镜像文件加载为虚拟的硬盘，然后再利用VFC和VMplayer进行虚拟启动。这个工具使用非常简单，效果也不错。


1、使用VFC，首先需要安装VMware DiskMount和VMware Player。

2、启动VFC后，插入软件锁，即可看到软件正式版的界面。当前最新版本为VFC 1.2.4.3。调用物理磁盘，可以选择Physical/Mounted Disk。Mounted Disk就是被Mount Image Pro或Smart Mount加载的证据文件镜像。


3、可以看到当前系统中可以发现的物理磁盘，选择所需要的磁盘即可。

4、选择的物理磁盘内包含有多个分区，选择需要利用VMware加载的可引导分区。

5、选择Generate Virtual Machine，利用VFC创建一个虚拟机文件。

6、虚拟机创建成功后，Launch Virtual Machine按钮变为可用，选择Launch Virtual Machine。

7、VmWare Player启动，加载vfc所创建的证据文件/物理磁盘虚拟机，可看到系统状态。

利用Smart Mount和Mount Image Pro，不会改变原是证据文件内容。而直接利用物理磁盘，则有可能造成数据改变。因此建议使用虚拟加载软件，而不要直接对证据硬盘进行操作。

Final Forensics 3.0 中文版基本功能预览

很多人都听说到了FinalData公司推出了新的专业法证分析工具FinalForensics 3.0，但是没有多少人见过这个软件的真正界面。最近，基本完成了汉化工作，还有一些小问题需要检查，但基本不影响正常使用。下面把主要的功能给大家介绍一下。

查看图文版

1、启动画面，显示软件版本
2、创建案件，输入案件信息
3、添加需要分析的物理设备，选择数据分析方式。
也可以打开以下几种格式证据文件：
4、开始扫描磁盘数据，查找删除的数据，进行文件类型、签名分析等。
进一步扫描
5、分析结果，显示出分析结果，包括各种类型文件数量、分类结果。
6、通过文件签名真实类型过滤文件
7、FinalForensics 分析本机内存储的重要类型文件
8、解析压缩文件，并可以查看压缩文件内数据
9、对本机内即时通讯历史纪录进行分析，直接察看数据内容。
10、分析Ie历史记录
11、关键词搜索

12、
13、

X-Ways Forensics 中的文件签名库和文件类型库

有朋友问"无法调用15.2版中的File Type Categories.txt"的解决方法。由于不知道他出现问题的具体情况，所以没有办法准确解答。

图文版: X-Ways Forensics 中的文件签名库和文件类型库

关于文件签名库的更详细说明，请看本人撰写的X-Ways Forensics /winhex 高级应用:理解文件签名库和文件类型库


目前X-Ways Forensics 15.2版本下，文件签名库和文件类型库有了区别。特别是文件签名库被区分为File Type Signatures Search.txt，(“通过文件签名搜索并恢复文件”时使用)和File Type Signatures Check Only.txt，（用于“依据文件签名校验文件真实类型”）。



File Type Categories.txt是用于解释文件扩展名的所属文件类型和分类的，如doc，表示为Office办公文档，属于“文字处理类”。此文件内容原本是英文的，用户可以自行翻译。只是注意不要破坏原有的文件格式就可以了。修改后，需要重新启动才可以调用修改后的File Type Categories.txt文件。


WinHex /X-Ways Forensics 预定义了各种文件签名类型，用户可以修改已经定义好的文件类型，也可以添加自己定义的文件类型。


可以修改 "File Type Signatures Search.txt"中的定义值，也可以是其他的同样格式的文件，名称为 "File Type Signatures *.txt"。修改的文件签名库或文件类型库可以同样被正常加载，也可以防止在升级时被新版本的文件覆盖。只有文件名中包含 "search"，才可以用于文件签名的搜索，否则只能用于磁盘快照中的文件签名校验。目前版本15.2可以支持 4096 个文件签名定义 (1024 个可用于搜索)。

如果你修改了这些文件，一定要以原始文件格式保存，不要仅仅以普通文本格式保存，必须以tab分隔符的文本格式保存，否则X-Ways Forenscis会无法识别文件格式和其中的文件扩展名定义。

X-Ways Forensics / Winhex 快速入门

这个快速入门本人已经写完很久了，准备随着新版本推出逐步更新, 加入一些最新功能介绍。喜欢X-Ways Forensics的朋友们可以关注一下。

图文版:X-Ways Forensics/Winhex 快速入门


第一章 配置软件


X-way Forensics软件可以通过setup.exe安装配置后使用，也可以通过运行xwforensics.exe直接使用。具体使用方法可根据用户习惯来选择。但通常来说，直接运行最为方便。

软件使用中，保存有X-way Forensics软件临时文件和案例文件的分区将作为默认的数据输出路径，即只有该分区被允许写入数据。因此，在选择X-way Forensics软件使用分区时，需要考虑好下一步数据分析的实际情况。建议选择容量较大，数据较少的分区。

使用软件前，请预先X-ways目录下建立如下三个文件夹，分别用于保存案例文件、镜像文件和临时文件。文件夹名称也可自定义。

Mount Image Pro V2.6 测试

图文版见:Sprite's Baidu Blog

2009-02-16 12:38

澳大利亚GetData公司推出的Mount Image Pro目前已经到了2.6版。新版本比过去的版本更加好用。这个软件主要用于加载多种格式的证据文件/镜像文件，以便用户可以使用第三方工具对数据进行进一步分析/恢复删除等操作。下面简单演示一下，大家可以了解一下MIP2 这个工具的基本使用方法。

1、软件启动，可以看到MIP的软件logo

2、没有软件狗的情况下，软件显示为试用/评估版

3、插入软件狗后，无需重新启动软件，直接变为正式版。

4、点击Mount可以直接选择镜像文件。目前支持的镜像格式有Encase、Smart、DD镜像、ISO镜像。


选择镜像文件，本例为Encase E01镜像文件。


5、选择加载选项（盘符等），即可成功加载镜像文件。


6、也可能同时加载多个镜像文件。
需要浏览镜像中的数据，可以选择某个镜像文件，点击鼠标右键，选择Explore，即可通过Windows 打开该镜像。


7、可以看到每一个镜像文件中的信息，包含镜像创建时间、创建工具软件等。

8、卸载镜像，选择鼠标右键，unmount image或unmount all 即可。

9、软件信息

这个软件就是这个简单。感兴趣的朋友可以下载一个演示版试用一下。

SAFE boot disk----基于Windows的取证光盘即将推出

SAFE boot disk----基于Windows的取证光盘即将推出
2009-02-17 10:42

ForensicSoft公司 (http://www.forensicsoft.com) 近日发布了 SAFE 法证证启动光盘，据其称是世界上第一个基于Windows的具有写保护功能的启动光盘。正式版本将于2009年3月份开始发售，现在可以下载并测试BETA版 SAFE 启动光盘，下载地址：http://www.forensicsoft.com.



SAFE 启动光盘可以启动所有基于Intel架构的计算机，并从物理层上对所有内置硬盘实施写保护。启动光盘的功能不仅仅是防止自动加载硬盘，或以只读模式加载硬盘，而是具备像Helix或其他Linux "法证" 启动光盘一样的功能。用户可以通过一键操作，即可启动或取消写保护功能。

SAFE 基于正版Windows (Windows PE 2.0)，可以运行各种您常用的 Windows 取证工具，如FTK， EnCase， X-Ways，FinalForensics等等。可以对各种RAID 服务器、笔记本计算机、工作站硬盘进行磁盘镜像，速度可达4GB/分钟。想象一下，您将不再因为缺少RAID控制器的驱动而无法获取RAID阵列数据，也可以直接将数据直接获取至 NTFS 或压缩格式 NTFS分区中，不再因必须将数据写入FAT32、EXT2 或其他 Linux 文件系统而烦恼。


Windows 驱动程序 The most common problem with 基于Linux系统的启动光盘的最常见的问题，就是通常不包括RAID阵列和其他磁盘控制器的驱动。有时即便有了驱动程序，很多非LINUX用户也很难自行将驱动程序添加到自己的Linux启动光盘中。现在，Windows驱动已经基本包含了所有 Intel架构的 RAID 和磁盘控制器。SAFE 可以加载所有已有的 Windows 驱动，并可以在需要的时候通过很简单的方法安装其他的 Windows 驱动。.

支持NTFS 文件系统 DOS 或 Linux OS 启动光盘都无法将镜像文件写入采用NTFS文件系统的硬盘，因此调查员不得不将磁盘镜像写入FAT32分区中。利用SAFE，调查员可以可充分利用大容量NTFS分区和大文件的优势。同时利用NTFS分区，SAFE 还可以节省调查员的大量时间和精力。

SAFE 写保护技术 具有防止软件写操作的SAFE Block XP已经内置在 SAFE 启动光盘中。这意味着在利用SAFE启动光盘启动计算机的过程中，所有与该计算机连接的磁盘、闪存都被自动实施写保护。而且，这是一种真正的写保护措施，而不是像其他Linux启动光盘采用的逻辑只读或防止磁盘自动加载方式。

启动后，如果调查员希望将证据文件镜像写入至一个磁盘，可以简单地解除所需磁盘的写保护，但同时可保证其他磁盘继续处于写保护状态中。如果调查员只是需要预览或进行关键词搜索，那么您无序改变任何选项，启动后所有存储介质都将一直处于写保护状态中。

使用熟悉的Windows法证工具 很多法证调查员不得不使用Linux 启动光盘来完成一些法证需要，而且不得不使用 DD、 DCFLDD、 MD5SUM、 SHA1SUM 和很多其他不熟悉、不喜欢的 Linux 工具。现在利用 SAFE 启动光盘，调查员可以使用他们在 Windows 环境中喜爱的各种法证工具。


案件日志. SAFE 内置了日志功能，可以创建调查员的工作日志，包含系统属性和所执行的各种操作步骤。

内置工具. SAFE的 Windows环境中已经内置了一些工具，可以用于浏览、查看、预览，同时包含一些简单的法证功能。

FinalData 3.0 数据恢复工具汉化结束

去年峰会后，开始帮助Finaldata公司翻译最新的数据恢复软件Finaldata 3.0。这个软件大家应该是非常熟悉了。使用之后，感觉很像一个简单的计算机取证软件，因为它增加的数据的预览功能，可以在恢复数据前对图片、ppt、文本等进行察看，确定恢复的文件是否可以读取、有没有被破坏。

图文版：察看作者百度博客


经典的界面没有什么变化，但是功能有所增强，支持了Vista下的数据恢复，支持的文件格式、种类更多，速度也有所提升。对于一个几百、几千元的数据恢复工具来说，这已经非常不错了。

最新的Finaldata目前有几个版本：标准版、企业版、企业网络版、专业版。现在，几个版本已经都翻译结束了，应该不久就会上市了。

又完成了一个众所周知的工具的汉化，希望能对国内用户有所帮助。


FinalData 3.0功能演示

一，安装

二、运行

Finaldata 3.0以向导方式帮助用户进行数据恢复、电子邮件恢复、文件修复等工作，操作更加简单。

三、恢复删除/丢失的数据


四、文件过滤，可以定义显示所有文件，还是显示特定类型的文件


五、文件预览，可以预先察看选择恢复数据的内容

六、Office 文档修复

七、恢复删除的电子邮件，目前支持多种格式邮箱

八、高级数据恢复，传统的Finaldata界面

查看本图片原文:请访问作者Baibu' Blog

Sprite's Baidu Blog

俄罗斯电子邮件分析工具：Outlook Express Analyzer 和 Outlook Analyzer Pro

这是俄罗斯的朋友Yuri发布的新的电子邮件解析工具。这两个工具名为 Belkasoft Outlook Express Analyzer 和 Belkasoft Outlook Analyzer Pro。区别在于第一个只能分析 Outlook Express邮件，第二个可以用于打开 Outlook 2003/2007 、Outlook Express邮件。

利用这两个工具，也无需安装 Outlook 和 Outlook Express，也无需邮箱帐户名和口令即可直接打开PST和DBX邮件。此工具不需要任何写操作，因此如果进行法证分析，可以直接与各种写保护配合使用。同时，软件带有 Encase 驱动支持。

需要了解更多的信息，可以从 http://belkasoft.com/boa/en/Outlook_Analyzer.asp. 下载免费试用版。

新增的Outlook 分析功能可以支持Outlook附件的导出。如果一封信中带有附件，那么这封信的图标被显示为曲别针，和Outlook 的标准显示方式一样。分析附件，可以直接右键点击此封邮件，并选择默认的软件打开附件进行查看，也可以将所有邮件导出，这样所有附件都会保存到相应的文件夹中。

目前，这两个工具已经被加入 Belkasoft Forensic Studio 套装中，可以处理各种类型的即时通讯、多种浏览器历史纪录、和Outlook 2003/2007 、Outlook Express邮件。这样看来，这款俄罗斯法证分析工具已经越来越成熟了，可以帮助数据分析师们进行法证分析。

CFC电子数据分析师培训课程 第五章 数据获取 - 在线获取(F-Response)

第五章 数据获取 – 在线获取(F-Response)

察看图文版


所谓在线取证，就是在计算机处于开机状态下的取证方法。一般这种状态下，为了保证证据的完整性，应该尽量避免去运行额外的程序，以免使操作系统下注册表、内存、临时文件中的数据发生更改。但近年来，由于在线取证日趋重要，很多时候无法像早年国外文章所描述的那样：拔掉计算机电源，然后实施硬盘完整镜像。现在，一旦将运行状态的计算机关闭，往往会失去很多重要的内存数据、加密分区数据。更何况局域网服务器、互联网服务器都不能够随意关闭的。因此，现在很多公司都在重点研究在线取证方法。

F-Response是一个能够与众多取证软件配合使用的在线取证工具软件。它通过局域网络连接远程的计算机，帮助专业人员有效地实施在线取证、分析、数据恢复和电子证据披露。F-Response是一个专利产品，它提供了一种通过企业局域网络的证据采集、固定和分析方法，可有效提高并增强计算机取证的工作效率和能力。

F-Response易于使用，价格低廉，可有效节省宝贵的时间和旅途花费。它可以全面提高计算机法证人员已有“武器装备”的能力，使所有取证工具都能具备网络取证功能。借助于企业的 VPN虚拟网络 ，调查员甚至可以通过国际互联网来直接进行远程取证分析。F-Response 无须复杂的培训，任何人员不用30分钟即可完全掌握软件使用方法，并可立即与他们早已熟悉的取证工具如X-Ways Forensics、FTK Imager、Smart、MacForensicsLab等法证工具软件配合，实现对企业局域网内的任意一台或所有计算机进行调查，进行在线分析和取证。目前该软件分三个版本：


F-Response Field Kit 法证版允许一个调查员同时对一台计算机实施调查取证。


F-Response Consultant 调查版以图形界面目标代码方式在被调查的计算机上执行客户端程序，允许一个调查员同时对一定数量的计算机实施调查取证。


F-Response Enterprise 企业版采用命令行或图形界面目标代码方式，在每个被检查的计算机上执行，允许对整个企业局域网内的任意数量计算机同时实施调查取证。



说到在线取证，还要说说F-Response与目前常见的在线取证工具的区别。

目前常见的在线取证工具，都是在嫌疑人的计算机中直接运行取证软件，可以自动获取内存、注册表中的数据。同时也可以通过取证软件，实现对硬盘的完整镜像。此种方法缺点在于可能造成内存中、硬盘中过多的信息被覆盖，影响取证效果。通过，在运行的系统下获取镜像，还有可能造成系统死机，破坏证据的完整性。

F-Response 在线取证方式，是通过网络连接两台计算机或局域网内的更多计算机，将任意一台计算机的硬盘或其他存储介质，以物理磁盘的方式显示到调查员计算机中，在调查员计算机中直接运行任意分析工具或镜像工具，实现对嫌疑硬盘数据的完整获取。这种方法是最为理想的，而且仅在嫌疑计算机中占用极少的内存，不会造成死机等问题。F-Response将是未来几年计算机法证领域中的一个亮点。

现在，X-Ways Forensics已经与F-response结合了，Smart也与F-response结合了，连苹果机下，都可以与MacForensicsLab配合使用。这样一来，面对Windows, MacOS, Linux三种操作系统，只要具有F-Response单机版，都可以成功实现在线取证。







第一节 获取运行的Windows计算机硬盘及内存数据



在嫌疑计算机上插入“加密狗”，插入保存有f-response-fk.exe程序的光盘或USB闪存。此时软件显示出目标机的主IP地址(此机IP地址为101.101.101.177)。输入TCP端口号（通常为3260），并设置一个8位用户名和14位密码。用户名中最好不包括大写字母，本例中输入的用户名为aaaaaaaa，口令为11111111111111。




2、在取证计算机安装并运行iSCSI Initiator软件。

在General选项卡中点击Change，重新设置登录目标计算机所需的用户名（这里输入刚才指定的用户名aaaaaaaa）。


3、点击OK后，iSCSI Initiator属性对话框中出现修改后的计算机登录名aaaaaaaa。






4、打开iSCSI Initiator的Discovery选项卡，点击Add按钮，输入此前出现的目标计算机的IP地址101.101.101.177和端口号3260。






5、点击Add Target Portal窗口中的Advanced按钮后出现Advanced Settings选项卡，勾选CHAP logon information选项，并输入14位密码。




6、按确定键返回，此时iSCSI Initiator属性的Discovery选项卡中会显示目标计算机的IP地址和端口号。



7、此时Targets选项卡中出现了目标计算机的名称及状态，此时目标机为非活动状态。点击Log On按钮出现Log On To Target窗口。



8、点击Log On To Target窗口中的Advanced按钮后出现Advanced Settings选项卡，勾选CHAP logon information选项，并输入14位密码。



9、按确定键返回，之后目标计算机的状态变为连接状态，目标机与取证机连接成功。




10、在取证计算机中已经可以访问目标机硬盘。图中分区G、H、I、J为目标硬盘，分区K为证据硬盘。




11、此时可以使用取证分析软件对目标机进行取证。现在我们使用X-ways取证软件抓取目标机硬盘的镜像，测试其获取速度。打开X-ways后添加储存设备，选择目标计算机的物理驱动器，此处显示硬盘大小为149G。



12、加载硬盘后创建磁盘镜像，选择输出镜像的路径和文件名，开始获取镜像，速度约为每分钟1.2G。




13、获取完成后在Targets选项卡中选择Details按钮，在Identifier下勾选标识符，点击Log off。此时若没有完全断开对目标机的操作将不能断开连接，并显示警告信息。



14、操作全部结束后，点击Target属性对话框中的Log Off按钮，标识符将会自动消失，与目标计算机的连接完全断开，操作结束。这时可以点击目标机程序的Stop按钮。





15、取出光盘或卸载USB闪存。在线获取全部结束。

某些时候需要在获取数据前首先进行关键词搜索，以判定嫌疑计算机是否包含与案件相关的证据。具体操作方法清参考后面章节

恢复丢失的口令，解决数据保护问题的简便方法

近些年，“信息时代”、“信息技术”和“信息如何统治世界”等字眼一直充斥着我们的耳朵，因此很多人觉得信息就是一切。但是，这又意味着什么呢？信息本身重要么？我认为不完全是这样。我们需要信息来帮助我们进行决策，这才是真正重要的问题。因此在任何商业环境下，获取信息的多少与是否完整都会给我们在竞争中带来优势。

毫无疑问，很多时候我们的注意力都集中在对信息的保护上。当今的软件和硬件提供了很多限制访问信息和防止信息泄露的方法：有控制访问信息和权限的工具，有为了防止攻击设计的系统、备份程序和防病毒程序等。
但是，对于所有用户而言，最简单易用的方法还是使用密码对数据进行保护。密码可以防止非授权的用户访问系统、文档和数据库。众所周知，在信息链中，人是最薄弱的环节—使用密码保护也不例外。人很容易忘记密码，这是很正常的，这取决于计算机使用者需要记忆的密码数量。但是，如果由于某些原因忘记了密码，这就意味着无法访问数据。

拒绝访问…
销售、现金周转、客户数据库、会计和管理报告、分析报告和预测等数据，所有这些都是成功经营公司和制定战略决策的重要信息。通常，这类信息都有密码保护。这对任何公司而言都是基本的安全策略。但是，如果急需访问一些数据，却发现不知道密码怎么办？这类情况并不鲜见。

首先，您可能会忘记密码。您没有将密码写下，因为您认为可以通过一些简单的联想记住密码。比如：最喜欢的食物和您的出生日期。您不会忘记生日，但是最喜欢的食物就是另外一回事了。在去克利特岛度假之后，您的脑海中所想的可能全是希腊沙拉，但是“希腊沙拉”可不会帮您访问系统。

曾经某位销售经理决定实现自己的梦想而到西藏游览90天，她离开公司却没有将浏览文件的密码告知他人。但此时公司业务遇到了危机：客户要求公司如果无法立即付款就要终止合同！但是您所以无法联系到远在西藏的销售经理，也并不知道合同中所列的价目和细节。这种情况在您的公司中是不是也发生过？

有时，某些雇员会因为一些经济原因或者为竞争对手工作而被解雇。在这种情况下，他们不会主动告知相关文档的密码。如果您迫切需要处理这些文档，就会出现问题：只有取得了密码，您才可以获取信息开始今天的工作任务。

如何解决这些密码难题？
自从发明加密技术以来，丢失密码就是一个很大的问题。软件开发者一直致力于解决这个问题。如今市场上已经有了一些密码恢复软件。我们来看看这些软件破解密码的方法。对于初学者，我们要先了解一下密码的不同类型以及在搜索密码时可能有帮助的信息。

通常情况下，一个密码会包含如下符号：26个小写字母（a到z），26个大写字母（A到Z），10个数字（0到9），和33个其它字符（!@#$%^,等）。我们可以使用这95个字符的任意组合作为密码。

此外，对于人类心理学的了解对搜索密码有很大的帮助。尽管为了加强密码的可靠性有很多限制（如对密码的长度限制等），但是很多用户都无视这些最基本的原则，一再暴露上文提到的“弱点”，即：人的因素。

大多数密码由使用者的母语字母和符号组成。有些“蠕虫病毒”所窃取的数据通常与使用者的个人生活有关：出生年月、宠物的名字、电话号码或者银行卡号码等。一些人可能仅仅将旧的密码做了一些小的修改形成新的密码，这也是大多数人修改密码的方法。人们通常将密码写在桌上或者将其储存在计算机中的一个文件夹内，这种做法使得密码保护完全失去了作用。结果是，只要了解基本的密码规则（允许使用的符号和规定的长度），并对使用者有一些了解，就可以轻松的了解到一个未知的密码。各种密码恢复软件就是使用了这种技术。

我们可以采用的方法……
目前，通过软件搜索密码的主要方法有：简单扫描、掩码扫描、字典攻击、加密密钥扫描（可能比暴力扫描所产生的密码变体要少）和所谓的彩虹表攻击。在某些情况下，其它类型的密码恢复只能打开文件，这种密码恢复被称为纯文本攻击（基于已知的内容）。我们来详细了解一下各种方法。

暴力破解
暴力破解方法非常简单：程序会尝试所有可能的字符组合来找到正确的密码。可以限定搜索内容：如密码字符的数量，定义允许使用的字符类型（字母、数字或其它符号），甚至可以指定密码的第一个字符。
使用暴力破解方法重新获取密码所需的时间取决于密码的长度、所使用的不同符号、计算机的性能和使用密码保护的文件的种类。

在不尝试所有可能的组合的情况下，可能会很快找到密码。但是，您不能完全依靠这种偶然的情况。如果使用普通电脑，暴力破解方法可能需要几年的时间。这是最浪费劳动力的方法。因此只有在没有其它替代方法的情况下我们才会推荐这个方法。

掩码扫描
如果您是创建密码的人，您可以通过使用掩码大大缩小搜索参数来重新取得密码。您可能会记得密码的位数或者某些特定的字符。任何信息都加速解密都会有所所帮助。

例如：您记得密码中只使用了数字和小写字母。这就是说可以在搜索中排除其它特殊字符和大写字母。如果您知道某些字符在密码中的位置也会有所帮助。例如：您知道密码有10位字符，第一位是字母“a”且后四位字符是2007，那么您可以输入“a?????2007”作为搜索模板。未知的字符使用问号表示。

使用掩码意味着软件可以减少测试可能的组合，这样找到正确密码所需的时间会大大缩短。但是，通常我们几乎不知道关于密码的任何信息。因此我们无法使用掩码扫描。另一方面，还有另外一种效果很好的方法可以获取密码。

字典攻击
如果您知道密码中可能使用的单词或者名称，这时可以使用字典搜索。事实上很多人会在密码中使用常用的单词。通常，这些单词包括：“open,” “access,” “password,”等。因为记忆单词比记忆随机组合的字母和数字要简单得多。事实上，忘记这类密码同样简单。这类密码的获取相对容易。

但是要到哪里找到这类字典呢（或者是更为精确的字母列表）？字典可能会包含在软件中。另外的方法就是通过网络—FTP服务器通常包含常用字的列表、按主题分类的列表（动物、足球队…）、缩略语等。另一种可能就是用户编写了自己特有的列表。

这种方法的优点很明显。用户作为密码输入的单词列表通常很有限而且不会超过100，000个。现在的计算机处理100，000种字符变体不成问题。应该优先使用这种方法。

彩虹表攻击

我们知道，影响获取密码最关键的因素就是所需要的时间。我们知道使用暴力破解方法会校验每种可能的组合，对于复杂的密码而言，这样会耗费很长的时间。可能会花费几个月甚至几年的时间才能取得密码，在大多数时候我们都不会考虑这种方法。

因此，我们发明了彩虹表攻击的方法。这种方法使用预先计算的方法来搜索密码。人们考虑使用预先计算的查找表进行搜索来替代大量占用CPU的计算。查找表适用于从内存中提取数据比创建数据要简单得多的情况。
彩虹表攻击采用对某一特殊的字符序列预先计算出的变体进行搜索。在使用暴力方法排出一个密码所需的时间内，我们可以获得一些查找表，以很高的概率在所检测的范围内查找密码可以节省上千倍的时间。

彩虹表的大小比一般的查找表要小得多—一般的查找表大小为TB级，彩虹表为GB级。所减少的大小取决于最优化程度。不得不说，辨认密码的可能性减少时，获取密码所需的时间会增加。例如：在使用7位包含字母和数字符号的彩虹表时（需要大约1周时间来创建彩虹表），彩虹攻击可以在最多20-30秒的时间内获取任意由7位字母或数字组成的密码。直接输入不同密码组合的方法可能会需要超过24小时的时间。这种方法的优势显而易见。

因为编辑制作彩虹表需要花费大量的时间，因此彩虹表的成本大大增加，造成价格昂贵，目前主要应用于企业和政府部分中。

做出正确的决定
毫无疑问，快速恢复密码的软件很有用处，每个执法部门、系统管理员都需要一份这样的工具软件。您需要什么样的密码恢复软件呢？

功能和效果
首先，要看开发者声称的密码恢复功能。这是决定软件功能最重要的标准。能否成功的获取密码取决于受保护的文档类型和计算机性能。此外，由于对安全性越来越警惕，用户们会创建更安全的密码。但是，对于某些类型的密码和文档，软件开发人员会保证99%的成功率。

运行环境和支持版本
其次，要了解软件所支持的操作系统、应用程序版本、文件格式、所支持的语言和代码。我们无法预测所要破解的Word和Acrobat是什么版本，更不用说字符集了（例如：中文或阿拉伯字符）。还要了解软件需要多久的时间可以适应新版本的应用程序。无法支持Office 2007的软件是没有用的。

解密速度
我们需要考虑的另一件事是获取密码所需的时间。当然，根据计算机性能的不同，所需的时间也会有所不同。但是，软件制造商一般会给出平均时间数据。我们必须要知道时间单位，是分钟、天、周还是月。

分布式运算能力
最后，我们要了解软件是否支持分布式密码获取。分布式方法需要利用本地计算机和远程计算机所组成的整个计算机组进行。这种方法也可以应用在密码破解上。对于某些文档和应用程序，我们可以非常快速地获取密码（如：保存在本机上的ICQ或者GoogleTalk的密码）但对于PGP等构建体系非常完善的密码，因此只能使用分布式方法进行破解。

这些是选择密码恢复软件的几个主要标准。

分布式密码解决方案
在讨论恢复复杂密码时我们已经提到分布式计算方法。Elcom­Soft公司的分布式密码恢复软件可以充分发挥可以联网计算机的性能。

这个软件可以解决Microsoft Office、Microsoft Money、Microsoft OneNote、Adobe Acrobat、Intuit Quicken、Lotus Notes创建的任何文档的密码、Windows 2000/XP/2003/Vista登陆口令密码、PGP密钥（*.skr）和PGP Dishk（*.pgd）破解等。

这个软件包含三个组件：服务器组件、代理组件和控制台组件。服务器组件安装在网络中的一台计算机上，用来控制密码恢复的进程。代理组件安装在网络中的任意计算机上，用来测试服务器产生的密码。控制台组件安装在网络中的任意计算机上，用来控制服务器和恢复进程或者添加新的任务及查看统计信息。

配合Elcomsoft研发的最新GPU密码解决方案，配合NVIDIA显卡，单机解密速度可提升几十倍。对于企业和政府部门，还可以使用个人超级计算机，每台计算机多大960个核的运算能力，再联机进行分布式运算，解密速度将无与伦比。

盘点2008国际计算机取证发展状况

2007年末，应邀撰写了“国外电子证据及计算机取证发展状况”一文，对国际目前的状况进行了简短的评价。回顾2008年，看到此状况仍未有明显改变。值2009年初之际，对2008年国际发展状况盘点一二，并期望2009年能有一个更大的发展。

一、与电子证据相关的硬件产品发展速度减慢
美国、英国，是开展电子证据研究最早的国家，国际目前广泛应用的计算机法证硬件产品约有80%产自美国、英国。2003-2006年间，是国际电子证据相关硬件产品发展最为鼎盛的时期，各种硬盘复制机速度从1.8GB到3GB不断攀升，写保护接口从单一的IDE硬盘接口，到SCSI、SATA、USB、火线种类层出不穷，PC、MAC、Linux平台下的取证设备越来越多。取证分析计算机各式各样，出现了皮箱型、工控型，服务器型等。这些产品的大量出现，对国际计算机法证技术的发展起到了极大的推动作用。但自2006年开始，国际各国计算机法证相关硬件产品发展速度渐缓，除简单的升级换代之外，没有什么更有创意的新产品出现。

冷清了一两年之后，我们看看有什么新的发展：
1.硬盘复制设备：Logicube公司推出了SuperSonix，一个应有于IT界的硬盘克隆工具，速度可达6GB。这个设备对于调查行业来说可以算个福音，对法证界还无法使用。但是Logicube在民间应用之后，应该很快就推出法证版的型号了。可以期待一下。

2.写保护设备：ICS 公司推出了Super DriveLock写保护设备，具有全面的接口，外观设计和实际功能都很不错。特别是最新的eSATA接口可以明显提高速度。

3.2008年,DataExpert推出的硬盘修复诊断破解设备、效率源推出的DC指南针都比较有特色，对计算机取证人员所遇到的故障硬盘有很大的帮助作用。
4.俄罗斯Elcomsoft推出的GPU解密加速产品也是对冷清的解密市场一剂强心针。北京天宇宁公司将俄罗斯Elcomsoft推荐的个人超级计算引入国内，将密码破解水平提升到一个全新的水平。设想一下：拥有960个核心的强大的并行处理能力，计算性能可达PC的250倍。这是一种什么样的计算能力呀！

不过大家也要清醒地认识到：不是所有的解密软件都可以利用到个人超级计算机的解密能力，只有支持专门支持GPU运算的软件才能够发挥出这种计算机的强大性能。而目前也仅有将GPU解密运算的发明者Elcomsoft公司才能够提供这种解密能力。


二、法证分析软件层出不穷
与硬件发展缓慢相对应，国际电子证据分析软件产品却如雨后春笋一般，涌现了很多优秀的产品。老牌法证工具的代表是Encase和FTK，这两个软件已经发展了若干年，基本成了计算机法证的代名词。美国Guidance公司的Encase软件这两年发展劲头不错，从4.0、5.0到6.0版，差不多每年推出一个版本。相比之下，美国AccessData公司的FTK的进展可就相对慢了许多。FTK 2.0版各国用户苦苦等了快2年，终于问世了，但这个庞大的系统对计算机的要求也实在有些高，使得很多用户很难适应。

最近几年，国际上先后推出了一系列的计算机法证分析工具，如德国X-ways公司的X-Ways Forensics，韩国FINALData公司推出的FINALForensics，澳大利亚的NuixForensicDestop。从欧洲、美国、澳大利亚这些计算机法证技术的先进国家来说，这些软件的出现可以说明显推动了冷清的市场。

国内用户可能很多人都知道Winhex这个数据恢复和十六进制编辑器。由于电子证据研究离不开二进制、十六进制，也离不开数据恢复，因此Winhex的作者Stefan将这个产品进一步开发成计算机法证工具。由于其强大的数据恢复功能、灵活的数据编辑能力，快速的升级服务，X-ways Forensics立刻在世界各地受到热烈欢迎。

Nuix Forensic Desktop更是一个不可多得的数据分析工具，它将关注点放在各行业最为重要、最为复杂的电子邮件及办公文档的分析处理上，不仅能够直接搜索、察看电子邮件和附件内容，更可以通过图形方式展示不同用户之间的信件联络关系，加上其出色的多语言支持能力，该软件已经成为名副其实的法证工具。

三、在线取证工具成为热门话题
最近结识了F-Response的作者Matthew Shannon，并与几个组员一起测试了F-Response这个软件后，发现Matthew先生研制的这款新工具的确有独到之处。看了几名国外著名专家的博客，都对这个软件有高度的评价。简单来说，这个软件是一个在线取证工具的一个突破，他让过去遥不可及的Encase Enterprise企业版具备的功能，成为了任何一个法证工具软件都可以实现的功能。而且实现的价格还极为低廉。

现在，X-Ways Forensics已经与F-response结合了，Smart也与F-response结合了，连苹果机下，都可以与MacForensicsLab结合。这样一来，面对Windows, MacOS, Linux三种操作系统，只要具有F-Response单机版，都可以成功实现在线取证。

说到在线取证，还要说说F-Response与目前常见的在线取证工具的区别。所谓在线取证，就是在计算机处于开机状态下的取证方法。一般这种状态下，为了保证证据的完整性，应该尽量避免去运行额外的程序，以免使操作系统下注册表、内存、临时文件中的数据发生更改。但近年来，由于在线取证日趋重要，很多时候无法向早年国外专家所讲的一样，拔掉计算机电源，然后实施硬盘完整镜像。一旦关机往往会失去很多重要的内存数据、加密分区数据。因此，现在很多人都在重点研究在线取证工具。

目前常见的在线取证工具，都是在嫌疑人的计算机中直接运行取证软件，并自动获取内存、注册表中的数据。同时也可以通过取证软件，实现对硬盘的完整镜像。但此种方法缺点在于可能造成内存中、硬盘中过多的信息被覆盖，影响取证效果。通过，在运行的系统下获取镜像，将有可能造成系统死机，破坏证据的完整性。

F-Response 的方式，是通过网络连接两台计算机或局域网内的更多计算机，将任意一台计算机的硬盘或其他存储介质，以物理磁盘的方式显示到调查员计算机中，在调查员计算机中直接运行任意分析工具或镜像工具，实现对嫌疑硬盘数据的完整获取。这种方法是最为理想的，而且仅在嫌疑计算机中占用极少的内存，不会造成死机等问题。F-Response绝对将是2009年中国计算机法证领域中的一个亮点。大家可以访问http://www.f-response.com/ 去了解更多的情况。

四、计算机法证领域逐步拓宽----手机取证成关注
从多年来主要关注的PC、互联网、局域网，到今天的MAC、数码相机、手机和iPod，电子证据的研究领域已经越来越广泛。2007年开始，世界计算机法证界最热的大概就是三个话题：手机和MAC和Vista。

当今社会，计算机虽然已经非常普及，但也只能平均几个人才能拥有一台，但手机的拥有量和更新换代速度却令人叹为观止，一个普通人的一生中可能会拥有10余部甚至几十部手机。如此大的拥有量、如此快的更新速度和其中可能发现的各种电子证据，让世界各国个行业不得不必须全力应对。值得一提的是厦门美亚柏科、上海盘石公司、韩国FinalData公司，都针对亚洲地区手机型号开展研究，这些研究成果不在欧美国家之下。

FinalData公司开发的Final Mobile Forensics 软件一上市，就得到美国联邦调查局等机构的关注，并得到的相关执法部门的认可。目前，该软件在美国、日本、韩国开始销售。

最近看到两篇关于iPhone手机取证的资料。iPhone是目前比较新的手机，受到了国内外用户的普遍喜爱。对这个设备的取证问题一直到的各国专业人士的关注。

第一篇是MobilEdit! Forensics的报道。目前MOBILedit!已经可以支持第一代的iPhone了。在他们的论坛中有一篇关于“关于如果连接Apple iPhone”的文章。大家可以参考一下：
在连接iPhone之前，请检查是否已经在计算机中安装了Apple iTunes软件。最新版本的软件可以从http://www.apple.com/itunes/ 下载。 连接好iPhone和PC的连接线后，运行MOBILedit!，选择"File" 菜单中"Settings..." ，选择"Ports" 页中的"iPhone device" 项。点击"OK" 键开始设备检测。目前软件仅支持第一代iPhone。COMPELSON公司在对第一代iPhone增加更多功能支持的同时，也将进一步开发对更新型号的iPhone手机的支持。

第二篇，是从MacLockPick II的软件介绍中看到的。刚刚于10月1日正式发布的MacLockPick II增加了很多的功能，不仅增加了对Windows的支持，还支持对 Apple iPhone的信息收集。在对iPhone的支持方面，MacLockPick II目前可以收集存储于Apple iPhone手机和其他使用Apple Mobile Sync 软件的Windows或Mac OS X 操作系统计算机中数据信息，目前可以获取的信息包括：
1、拨出电话、已结来电记录，包括电话号码、通话时长，日期、时间。
2、发送和接收的短信息，包括电话号码，短信内容和具体时间。
3、IMEI 码- 移动通信国际识别码（通常打印在手机电池下面的机身上）
4、TMSI 码- 临时移动用户识别号，
5、IMSI 码- 国际移动用户识别码，保存于 SIM 卡中。
6、国际漫游状态 - 手机是否当前设定为漫游状态
7、偏爱号码 - 快速拨号，包含姓名和号码
8、Safari State Documents - 浏览器当前打开的页面
9、Safari History - 浏览器访问过的页面
10、Safari Bookmarks - 所有标记的页面
11、记事本记录
12、通讯簿
13、邮件账户
从上述两个最新的法证工具来看，国外各个专业公司对iPhone都非常重视。但从上面两个公司来比较，相信MacLockPick II会更胜一筹。MacLockPick II的作者Marko与苹果公司有很好的关系，他从去年就开始关注iPhone的研究。特别是MaclockPick II可以从运行的Windows和MacOS计算机中调取曾经保存过的iPhone的同步记录，此功能毫无疑问将是一个亮点。

最新的iPhone取证工具要算Wolf了。这是一个专注于苹果iPhone取证分析的一个专业工具，最新版刚刚发布不久。这个工具应该是一个最专业的iPhone分析工具了。测试之后，感到功能极强。分析来看该软件在2009年应该会有不俗的表现。

五、多平台将是计算机法证工具的发展趋势
从近年来国际市场上出现的多种工具，可以很有意思的发现，能够同时针对Windows, MacOS, Linux三个平台的取证、分析工具种类越来越多。这是不是标志着，多平台是计算机法证工具的流行趋势呢？

Windows Vista作为世界软件巨头Microsoft推出的换代操作系统，令世界瞩目。虽然这种轰动不像当初从Dos过渡到Windows 3.0时那样巨大，但由于Vista系统可能会对电子证据产生的影响，使法证界专家不敢掉以轻心。目前各国专家都在对Vista系统的取证分析开展研究。

Mac作为另类时尚一直只是少数人的热爱，但自推出双核、双系统概念之后，大量Windows用户也加入到Mac的阵营。几年前，各国计算机法证专家还在发愁如何有效分析Mac数据，但今年，作为Mac数据分析技术的领跑者，美国SubrosaSoft公司将具有数据恢复、获取和分析工能的MacForensicsLab推到的国际舞台。与此同时，可以同时搭载Mac、PC数据分析软件的Macbook和Mac Pro，更成为计算机法证领域创新和高性能的代表。

MacForensicsLab最早只能在MacOS环境下使用，但不到一年，Marko就推出了Windows和Linux版本。“一个跨平台的工具，您唯一的工具”，就是他们提出来的。先不说MacForensicsLab在功能上与其他取证分析工具有何差距，仅凭跨平台一点，就可以说他们领先一步。

接下来，我们再看看F-Response。它不是一个单独的取证工具，但却是一个可以配合任何取证工具，并扩展各种取证工具网络取证功能的一个软件。F-Response刚刚推出了Linux版本下的工具，可以配合Smart实现对使用Linux操作系统开机运行状态下的计算机硬盘完整获取。至此，它实现了对开机运行着Windows, MacOS 和Linux三种操作系统计算机的全面取证。有了这样一个工具，调查员已经不用对嫌疑计算机可能使用的不同操作系统而担心了。

那么Linux环境下使用什么分析工具呢？ Smart近一年发展迅速。该软件的作者Andrew Rosen是国际计算机法证领域的知名专家，他开发了第一个计算机法证工具Expert Witness，后来演变为今天国际公认的计算机法证著名软件EnCase。有人也称Andrew为Encase之父。他开发的Smart，的确有其独到之处。国际上有句说法：“Smart people don't use Encase”。一语双关。使用Smart的人，也都是“聪明的人”。从他的代表作品，您就完全可以想象出Smart是什么样的工具。除了Linux版本，Andrew也推出了Windows下的相应版本。目前只差MacOS版本了。

再看看取证工具。ForensicsMatter的Peter Mercer开发了一套光盘启动工具，简称OSI。这个工具主要适用于关机状态的计算机实施镜像获取。一般的光盘启动工具，对于使用Windows、Linux系统的PC机，甚至Intel架构的MacBook都非常容易，但对于PPC架构的苹果机，这些启动光盘就失效了。而Peter的OSI工具中同时包含了2张光盘，您用完全一样的操作方法，就可以实现对PPC和INTEL架构这两种不同类型计算机的数据获取，而且兼容性非常好。这应当是目前支持多平台的数据获取工具的杰出代表了。

通过上面的简单说明，我们可以看到应用在多平台之上的取证分析工具，以及可以适应多平台取证需求的工具越来越多，这给计算机法证人员带来了很大的便利。世界在不断进步，计算机技术在不断进步，计算机法证工具也在不断进步。计算机犯罪有可能是各种各样的情况，而打击高科技犯罪更需要各种各样的利剑。


六、硬件方式的只读锁与写保护软件
在民事和刑事调查中，读取或分析硬盘或其他移动存储中的数据时，保留原始文件内容和时间戳是非常关键的，这也是保持证据原始性的一个要求。但很多人没有意识到，将硬盘或移动存储设备连接到计算机上使用时，会造成硬盘中的数据更改。因此要保证证据的原始性，必须要使用写保护设备。律师行、调查公司或其他电子证据服务机构，应该和专业计算机法证机构一样，更应该注意这一点。大家都知道，读取刻录在光盘中的证据数据时不会发生数据更改的情况。但是，应该注意的是，在将证据文件刻录到光盘的时候，却会改变原始证据文件的时间戳。

现在市场上有很多硬件设备可以实现硬件写保护功能。如果需要使用硬件写保护设备，目前市场上有：Tableau 、WeibeTech、ICS Drive Lock、Disk Jockey PRO Forensic Edition 等。而一些新开发出的软件的软件写保护方案能够提供更有效、更易用、更快速的解决方法。如软件写保护工具，可以选用 Safe Block XP。

当使用选购硬件写保护设备时，你可能会发现你不得不考虑到各种存储介质，比如不同类型的硬盘接口，USB闪存（优盘）、闪存卡、火线硬盘等等。这些加在一起需要上万元了。相比起来，我认为选用软件写保护方法，如 Safe Block XP ，可能会更加理想。Safe Block XP这种软件方式价格相比便宜很多，可以运行于 Windows XP 中，允许用户对各种存储介质添加只读保护。此外，Safe Block XP 可以明显增强数据拷贝、镜像和哈希校验的速度。软件方式可以使用计算机本身的各种接口，而硬件写保护设备目前主要局限于USB和火线接口。

七、数据恢复与数据法证恢复
计算机法证和数据恢复，我们暂不去在这里考究哪个概念涉及的领域更多，况且这两项技术本身也是密不可分的。数据恢复是一个发展非常快，需要非常大，技术性很强的产业，每一个个人可能都会涉及到数据恢复的需求。而计算机法证是一项专业性非常强的技术，不是每一个普通人都可以涉及到的。我们可以暂时将计算机法证技术中涉及到的数据恢复技术成为“数据法证恢复”。相信不用多久，数据法证恢复服务将在国内越来越多。

近日有机会与国内计算机数据恢复产业的领头人“效率源科技”的梁总进行了技术探讨，之后对中国数据恢复产业的发展非常欣喜。这个中国专业数据恢复机构所开发的产品，已经被几十个国家上千家数据恢复专业人士所使用，且声誉超过国外其他同类竞争产品。这效率源的产品，使国外数据恢复同行离不开中国技术，也将中国数据恢复技术的能力在世界上得到了展示。因此，我真心希望效率源技术更加成熟，规模进一步扩大，将中国的技术能力和信誉全方位地展示。

而中国的计算机法证技术和产品何时能够也在国际上脱颖而出？
效率源最新推出了Data Compass™ 数据指南针高智能化的多功能计算机法证专业硬件设备。测试了该设备后发现，最让人吃惊的是利用DC能够获取出那些连计算机都无法识别的故障硬盘中的数据，而且更可以从坏道严重的硬盘中读取出更多的数据。这种功能的设备一般只有在专业的数据恢复公司才可以进行，国际计算机法证专业人士普遍都无法做到。这可是完全的国货呀！相信这种既是只读锁，又是超级数据恢复设备的小设备，很快就会在国际计算机法证领域中推广开。

八、期待综合解决方案

面对如此众多的工具，计算机法证人员需要使用什么才能更有效、更全面地完成打击高科技犯罪的任务呢？
近日，温习到邓老的“名言”---不管黑猫、白猫，能抓老鼠就是好猫。豁然开朗。

中国计算机取证技术需要发展，但我们也不用总是苦恼自己没有全面的好工具。国内的研究人员也在努力，而且已经有了不俗的成绩。那么在等待中国自主的法证工具普及的同时，用几年国外的工具，学习学习也是好的呀。关键是要有能力把各种工具的功能掌握好，把精髓搞明白。

因此，我看“计算机取证综合解决方案”还是需要的。这是什么呢？实际就是一个“工具精选”。就是采用跨平台、多系统、全方位、多功能、流程化的设计理念，将PC、MAC、Linux；单机、在线、网络；取证、分析、查看；硬盘、内存、闪存；破解、修复、恢复集于一体，用最少软件的最精功能实现计算机取证的全部需要。只要组合合理，作用有效，就是好方案。

结束语
世界各国电子证据技术研究和发展，带动了中国计算机法证技术的发展。中国电子证据法规和行业的发展，也吸引着世界各国的眼球。目前在亚太地区，中国香港、中国台湾、韩国、日本、新加坡等地区，计算机法证技术发展非常迅速。特别是在中国香港，HTCIA高科技犯罪调查协会亚太区分会、ACFE国际反欺诈调查官协会香港分会、ISFS资讯保安及鉴证公会香港分会等民间机构，有效推动了该地区的计算机法证技术的发展。而国内，作为唯一一个计算机法证民间团队，中国计算机法证技术研究会联络了香港地区各专业协会及国际计算机法证技术主要国家的知名公司、专家、学者，为推动计算机法证技术的国际交流起到了桥梁和纽带作用。随着“中国计算机法证机术峰会”的逐步成熟和“HTCIA国际高科技犯罪调查协会培训年会”的引入，相信国内专业人士将能够更全面地了解国内外计算机法证技术的发展，从而有效提高执法部门、民间服务机构打击高科技犯罪、白领犯罪、商业欺诈的能力。