计算机取证技术

国内计算机法证软件发展之我见- 回复网友Flyfiresl的贴

2009-03-09T06:40:00.000-07:00

2009-03-09 18:46

网友评论：
1
flyfiresl
2009-03-08
20:52 回复
 删除
我以为真正意义的“计算机取证综合解决方案”应该是一个模块化、组件化的方案或系列产品。实战中有针对性的组合使用。否则从研究还是从装备上来说似乎投入都比较大。毕竟涉及面太广了
。这可能也是目前虽然有需求，但还缺少真正产品的原因。如您所说，现在我们还是应该把我们的需求弄清，立足现有的产品，把它功能、特点、原理吃透，同时结合实际的应用，精选我们的方案，并未今后设计、研发我们自己的产品打好基础。

2
flyfiresl
2009-03-08
21:08 回复
 删除
最近我测试了几款快速取证分析软件。如FM2008……。感觉目前这类软件的特点和不足同样突出。易用性和发现问题、可疑的速度提高了，但似乎深层次分析和处理复杂问题的功能被削弱了。不知您对这类软件的评价和其今后发展前景有何看法。

看了网友Flyfiresl的评论，感觉的确应该考虑考虑国内计算机法证软件的发展方向。
在说国内软件发展问题之前，我想先和大家一起讨论一下国外的几个软件的发展过程，看看通过他们这些软件的发展经历，对国内计算机法证软件有没有借鉴作用。
先看看第一个取证软件Expert Witness。Andrew Rosen在最开始研究电子证据是，并不知道该编制一个什么样的法证软件。他结合执法部门的需求，一点点地积累，反复与执法部门研究各种需求和功能，最终编制除了第一个法证工具。这个软件通过不断地发展，完善，到Encase 4.0版本的时候已经非常优秀了。这个软件被越来越多的执法部分采用，最后竟然成为了美国的一种标准。只要是Encase证据文件格式，法院就会认可，律师们也不会提出更多的问题。但是如果拿出另外一种证据文件格式，专家证人就不得不向法官和律师解释为什么要使用其他的取证软件和证据文件格式。因此，为了避免麻烦，美国的民间服务机构和律师们都建议使用E01和DD证据文件，就是因为他们已经成了美国公认的标准，数据分析人员也都接受了这个标准，甚至具有EnCE资质的人员似乎都成了计算机法证专业人员的代名词。虽然很多人员很不理解为什么一家公司的产品和培训证书竟然能成为成了法律认可的标准和专业人员资质，但这毕竟已经成为了现实，你想不接受都不成。好在这目前只是美国的方式，只有和美国、英国法律打交道的专业人员才不得不努力争取这个资质，如果中国法律也认可这个标准，那么Guidance公司还不美坏了！所以我认为这是一个不可能的事情，中国绝对不会这样。

接下来我们再看看Winhex和X-ways。德国小伙子Stefan最早做Winhex的时候只是因为缺少好的十六进制编辑器和内存编辑器，满足不了他的一些需求。这个软件在磁盘编辑、十六进制编辑方面非常优秀，并一直以专业十六进制编辑器和数据恢复工具而闻名。知道有一天Stefan突然看到了计算机法证的需求，他才突然明白了自己的发展方向，将他改变为X-Ways Forensics，成了今天在世界上赫赫有名的法证工具。这个软件的发展时间并不长，因为这个工具处理数据有很多种方法(way)，那么有多少种呢？x种，很多种。所以才叫X-Ways。X-Ways 的发展路线是突出易用性和效率，同时尽可能地接受大家提出的改进意见，因此被各国用户认可，发展速度非常快。X-Ways的更新速度是有名的，几乎每个月都有升级版本，而且软件的基本操作方法没有改变，你只要学会之后，可以一直使用下去。这一点上，不想大牌法证软件公司，升级需要漫长的时间，而且升级后让你觉得不知道该怎样使用了。不过也不能怪这些大公司，他们要通过培训挣钱呀，使用方法不变谁还去交钱培训呀！培训费才是大公司关注的呀！从X-Ways身上学到的是敬业、执着和认真。你看看Stefan的网站，简单地很，他不关注这些虚的东西，还是实力最重要啊。

再看看FTK，这个软件其实最初非常不错，曾经一度被称为处理电子邮件最好的工具。FTK对文件分类的处理非常好，对电子邮件的索引和搜索也非常好，特别是文件预览功能在当初也是最好的。如果当初支持中文好一些的话，早在国内火了。但是不知道AccessData公司的策略是谁制定的，好长时间一直不见升级，升级之后却带来了2.0这么一个庞大的家伙。国际各国专业人士都对这个软件不满意，近期据说有了一些新的变化，这点需要网友DUXC来说说了。他们翻译了FTK的所有材料，应该对FTK很有了解。从FTK身上，可以明白：产品一定要适应市场的需要，否则功能再强也不能发展长久，错失先机。

还可以看看FinalData。FinalData在中国出名，都是因为这个软件易用性好，操作简单，数据恢复能力强。但由于FinalData几年前的代理商把韩国总公司给骗了一把，让FinalData对中国望而却步。先不说这点了，但FinalData采用了和Winhex一样的策略，将他们对数据的深入研究转化为了一个新的产品FinalForensics，做出了一套专业的法证工具。FinalData 2.0和FinalData 3.0本身就是依据文件签名进行数据恢复的，因此直接转为取证软件相当简单。在这点上基础还是非常雄厚的，从1999年到2009年，经过10年的积蓄已经足够了。FinalData用足了他的优势，将文件分类简单化，将数据恢复简单化，将韩国本土特殊类型文件支持得够好，这样，FinlaData既有了自己的特点，又有了进军国际化的资本，自然会有自己的发展空间。所以，FinalData带给我们的是：充分发挥自身的原有优势，将简单易用做到底，将韩国特有数据支持好，自然会有发展。

好了，说了这么多国外的软件，差不多了。从这些软件的发展来看，各有成败，很难说走那种模式是最成功的。但从中可以借鉴的，就是一定要发挥自己的优势，并坚持下去；要听从用户和使用者的建议，为客户着想；要不断积累，不断改进。哪一家公司不是积累了这么多年，曲曲折折地走下来的？

那么，咱们再来看看国内应该需要什么，怎么发展吧。纯属个人观点，得罪了谁别骂我！
我一直表示会支持国内自主研发属于中国特色的工具。国内这些法证软件研发公司都不错，都不断地努力着，努力想做一套属于自己国家的适用工具。从研发上看，厦门美亚、上海磐石、上海华依都不错，我向这些公司里面努力工作的技术人员们敬礼。

其实，这些公司都在琢磨怎么才能有中国特色的工具，并努力积累着。只有充分掌握文件系统结构和数据特征，才能做出好的法证工具。在基础不足的情况下，无法超越其他国家的大牌法证工具的情况下，先对一些简单的数据分析，并使一些工作简单化未尝不是一个好的开端。现在各种各样的数据这么多，没有一个软件能够做到包揽所有的事。那么先把别人做不了、没想到、不屑做的事情做一做，不也是给法证技术的一个推动吗？Flyfiresl兄所说不错，我们的工具在深层次上可能没有那些国外软件功能全、效率高，但对于普及一些基本操作，并让一些特有的分析工作简单化还是有价值的。

国内软件怎么做，我看有几点应该考虑：
第一、符合国际化的操作方法和标准；
第二、符合中国语言的特点和处理习惯；
第三、具备对中国特有格式数据的处理能力；
第四、操作简便，能得到用户普遍的喜爱和支持；
第五、基本达到国际流行软件的分析能力；
第六、升级快，技术支持好；

为什么这么说呢？
第一，我们的电子证据相关法律一定会出台，法律标准自认会与国际其他国家电子证据法律有共通之处，那么分析工具的处理结果自然要具备各种国际数据分析软件的基本功能相似，要经得起第三方数据分析软件的检验。总不能所我的软件说一个文件的什么时间建立的，而别的软件都说不是。这只是打一个比方。当然我们的软件不会这么差。我说的是一个基本的标准。具体这个标准是什么，还要看看法律和法证专家们的意见。但无论如果，相同的分析结果都是必须的。

第二，中国语言有自身的特点，用词标准和习惯各地方言习惯、甚至老人和年轻人都不一样。这与其他语言相比要复杂了许多。因此针对中文语言完全可以做出与别的国家不同的工具。怎么样研究中文的特点和规律，也需要有头脑的人去考虑了。同时，针对中国特殊的文件格式也是可以再深入研究研究的，那么多共享软件，免费工具，都有自己的格式。只对中国所有软件的哈希值积累好了都可以卖钱了。哈哈，我有头脑吧，就是没时间和精力做:-）

第三，工具是让人使用的。使用的人多了自然就成了标准了。关键是你怎么让别人喜欢。这些需要开发公司、作者们好好考虑了。互相诋毁，互相拆台是发展不起来的，自己的风格和特色才是让人接受的主要理由。

第四嘛，不妨学学ILOOK，但iLook仅限执法部门使用，普通人使不了，见不到。但执法部门也在使。不过iLook有国家支持，是免费的，估计国内开发者不愿意做赔钱的买卖。但是如果政府支持....? 不过让某家公司的产品成为政府的标准似乎......？对了，Guidance公司的Encase不是也是公司的产品嘛！再说，国家那么多项目，让尊敬的许老师牵个头做一做带头人不是挺好的吗？哪天找许老师建议一下！

最后，回应一下Flyfiresl的第一贴：
我认为成为模块化，插件化的产品，只能由一个公司才能够研究出来。就像Encase，将VFS变成模块，PDE变成模块、EDS做成模块，软件写保护做成模块。但这样一来，增加了一些功能，却没有显著的提高。他一样不能对iPhone做分析，不能对电子邮件关系进行图形化现实，不能解决口令问题。

最近看了一下北京天宇宁的方案，还是挺全的。可以根据需要配合或组合。他们将实现共通功能的需求最简化，讲究软硬件配合和提高效率，功能基本都涵盖到了。所以我同意Flyfiresl的观点，把需求搞清楚，借鉴一下国际品牌软件、设备的功能，把功能搞清楚，这样才能够知道那个工具适合自己，什么时候购买什么东西，买那些东西组合一起才是有价值的，否则买了一大堆回来当摆设，浪费国家和老板们的钱，才是大问题。

仅以此文献给关心国内计算机法证技术发展的热心人！ Sprite

CCFC 2008 第四届中国计算机法证技术峰会演讲幻灯PPT下载

2009-03-03T19:52:00.000-08:00

实在不好意思，早已经第四届中国计算机法证技术峰会的演讲幻灯上传到网站了，忘了将下载链接发布了。暂时先在这里发布一下，近日修改WWW.CHINA-FORENSIC.COM的下载链接。

www.china-forensic.com/downloads/2008/ccfc2008-1-xurs.ppt 3.8mb
www.china-forensic.com/downloads/2008/CCFC2008-2-PaulJackson-En.ppt (下载后改扩展名为pptx) 2.53mb
www.china-forensic.com/downloads/2008/ccfc2008-3-sprite-cn.ppt 8.24mb
www.china-forensic.com/downloads/2008/ccfc2008-4-marcgoodman-part1-cn.ppt 2mb
www.china-forensic.com/downloads/2008/ccfc2008-4-marcgoodman-part2-cn.ppt 1mb
www.china-forensic.com/downloads/2008/ccfc2008-5-f-response-cn.ppt 1mb
www.china-forensic.com/downloads/2008/ccfc2008-6-asrdata-en.ppt 713k
www.china-forensic.com/downloads/2008/CCFC2008-7-ForensicAccounting-CN.ppt 2.7mb
www.china-forensic.com/downloads/2008/CCFC2008-8-Elcomsoft-en.ppt (下载后改扩展名为pptx) 1.34mb
www.china-forensic.com/downloads/2008/ccfc2008-9-Intella-en.ppt 6.7mb

Final Data 3.0 专业版与 X-Ways forensics 15 数据恢复效果测试

2009-02-20T03:05:00.000-08:00

阅读最佳图文效果全文>>

这两天测试FinalData 3.0专业版的过程中，忽然想到了以前一直希望做的一件事，就是对比一下各个数据恢复软件、法证工具的各自优势。因此利用1GB的一个U盘作了一个测试，保存了一些文件，在全部删除，分别利用FinalData 3.0专业版和X-Ways Forensics 15.2进行恢复，看看那个软件恢复的效果好。
不过，利用X-Ways Forensics和Finaldata比较，实在有些不够公平。FinalData只是一个几千元的民用小软件，只是进行数据恢复的，而X-Ways Forensics是专业的法证软件，法证功能强出不少。不过，好在这个测试只是对数据恢复功能的，别的功能暂不比较。等下次有时间，把 FinalForensics 3.0和X-Ways Forensics好好比较一下，再和Encase 6比较一下，看看其他方面的差别。
现在，看看我的测试结果吧。

1、在这个测试中，为了比较两个软件对删除文件、删除目录的恢复效果，我在u盘中复制了几个目录和一些文件。其中包含有word文档、excel文档、 jpeg图片、outlook express电子邮件等。同时为了比较对丢失文件的恢复功能，没有全部擦除u盘，因此原来的盘中还包含一些图片、视频、写字板文件。通过下图，可以看到 Finaldata 3.0专业版找到的文件和原始的目录结构。

2、同时利用Finaldata 3.0和X-Ways Forensics对该盘进行扫描，发现到丢失的目录和文件。两个软件发现的目录和文件完全相同。原始目录名丢失，无法恢复，但目录中的文件名称均可正常显示。FinalData 能够以原始图标显示各种文件，看上去效果比X-Ways Forensics好一些。

3、转至另外一个丢失的目录，即196936目录，数据仍然一样。

4、在本例中，Excel文件共有6份，两个软件全部成功恢复。

5、对于pdf文件恢复，FinalData恢复回5个文件，而X-Ways Forensics 恢复回6个。经查看，X-Ways Forensics多恢复的文件中，有一个文件无法察看。其余文件均相同。

6、比较有意思的是对Word文件的恢复了。下面我们好好看一看。
通过下图，我们可以看到X-Ways Forensics软件正在预览显示一个Word文件，内容为案例文件说明。在X-ways Forensics中，这个文件没有自己的文件名，是X-Ways 通过文件签名从未分配空间搜索出来的，并自动给他分配的一个文件名。
而在FinalData 3.0中，这个内容相同的文件却有一个中文的文件名。而这个文件也是从未分配空间搜索出来的，本身不应该具有文件名了。这是怎么回事呢？难道 FinalData能够从别的地方发现文件名？从文件名这点上，FinalData还是比较不错的。

7、继续看下一个word文件。FinalData同样给另一个文件重新命名为JUJUMAO.doc。如果看看前面的Finaldata恢复的 excel文件，我们也可以发现Excel文件也都被重新命名了。进一步查看了一下这些文件的属性信息，发现JUJUMAO是这个文件的作者，Ghost 也是文件的作者，而案例文件说明是文件属性中的标题。原来FinalData可以根据文件属性自动给文件命名，可以直观地通过文件名知道恢复回文件的一些信息。有助于区分文件。

8、下面的这个图片就能够说明问题了。察看FinalData 3.0的恢复结果，发现比X-Ways Forensics少了一个文件。这个u盘是我老师的，而且u盘以前被格式化过，这一篇文章被删除了很久了。X-Ways Forensics通过文件签名将他找了出来。但是FinalData没有把它找出来。这可是FinalData的失误了。通过扇区查了一下这个文件，文件头保存的很好，不应找不出来呀？

9、用Finaldata 将所有的doc文件全部列出来，总计33个。

10、而用X-Ways Fornesics将所有的doc文件列出来，总计26个。数量要比FinalData少。
对比发现，FinalData发现的文件数量虽然多，但是有重复。不知道是否同时存在文件的副本，FinalData将副本全部恢复回来了？

11、FinalData对于Office文件的破损率可以进行检测，如果破损率低，可以在恢复同时进行格式修复。

12、FinalData专业版具有电子邮件恢复功能。通过启动电子邮件恢复，可以将磁盘中的Outlook Express和Ms Outlook的邮件自动找回来。本例中，我直接选择了其中的收件箱，并通过“恢复选定邮件”功能察看邮件。

13、FinalData自动把dbx邮箱打开，可以直接察看邮箱中的邮件。这个功能可真是不错。几千元的软件具有这种功能可是非常不错了。这都是上万元的法证软件才有的功能呀！Encase都不能这么察看邮件吧。

14、可以更清楚地察看邮件内容和邮件原始内容。并以eml格式将文件保存出来。非常好的功能。

15、但是X-Ways Foensics没有发现出u盘中的视频文件，而FinalData却将视频文件找了出来。X-Ways 怎么能够出现这样的失误呢？

小结：

今天，通过这个测试，可以大致有如下结论：
1、两个软件在数据恢复功能方面，各有优势，也各有不足。X-Ways Forensics 通过文件签名方式多发现了一份Word文件，FinalData多发现了视频文件。看来不能完全迷信某一个软件，一定要配合使用。以后再多做一些测试，看看有没有新的发现。

2、FinalData的操作简单，基本不用学习，对于普通用户更容易使用。而X-Ways Forensics要能够熟练操作，达到上述结果，至少需要学习1天吧。

3、FinalData作为一个民用软件，具有上述功能，还可以对电子邮件、数据库、Index.dat上网纪录进行察看，的确是超值。而X-Ways Forensics和其他法证工具也不具备对数据库的分析处理和恢复功能。看来FinalData 3.0专业版值得计算机取证人士使用。

VFC 1.2.4.3 虚拟磁盘/镜像加载仿真工具测试

2009-02-18T16:30:00.000-08:00

查看本文：百度博客“图文版”

对于磁盘镜像、Encase证据文件、dd镜像文件，有些时候调查员希望能够利用第三方工具对证据文件进行分析，因此Mount Image Pro， Smart Mount这类的镜像文件加载工具就非常有用了。他们可以把镜像文件重新虚拟为逻辑磁盘或物理磁盘，可以通过Windows直接察看其中的内容，或使用FinalData 3.0，Winhex15.2 这类的数据恢复、磁盘编辑工具对其中的删除数据进行恢复。

但有些时候，调查员不满足于仅仅通过浏览器的方式察看磁盘和证据文件内容，而希望通过虚拟机加载镜像文件中的操作系统，以察看Windows启动的过程，这时候VFC这种虚拟仿真工具就非常有用了。

VFC是英国MD5公司推出的一个虚拟仿真工具，可以利用VMware Player加载物理硬盘，也可以配合Smart Mount或Mount Image Pro，首先将镜像文件加载为虚拟的硬盘，然后再利用VFC和VMplayer进行虚拟启动。这个工具使用非常简单，效果也不错。

1、使用VFC，首先需要安装VMware DiskMount和VMware Player。

2、启动VFC后，插入软件锁，即可看到软件正式版的界面。当前最新版本为VFC 1.2.4.3。调用物理磁盘，可以选择Physical/Mounted Disk。Mounted Disk就是被Mount Image Pro或Smart Mount加载的证据文件镜像。

3、可以看到当前系统中可以发现的物理磁盘，选择所需要的磁盘即可。

4、选择的物理磁盘内包含有多个分区，选择需要利用VMware加载的可引导分区。

5、选择Generate Virtual Machine，利用VFC创建一个虚拟机文件。

6、虚拟机创建成功后，Launch Virtual Machine按钮变为可用，选择Launch Virtual Machine。

7、VmWare Player启动，加载vfc所创建的证据文件/物理磁盘虚拟机，可看到系统状态。

利用Smart Mount和Mount Image Pro，不会改变原是证据文件内容。而直接利用物理磁盘，则有可能造成数据改变。因此建议使用虚拟加载软件，而不要直接对证据硬盘进行操作。

Final Forensics 3.0 中文版基本功能预览

2009-02-16T19:12:00.000-08:00

很多人都听说到了FinalData公司推出了新的专业法证分析工具FinalForensics 3.0，但是没有多少人见过这个软件的真正界面。最近，基本完成了汉化工作，还有一些小问题需要检查，但基本不影响正常使用。下面把主要的功能给大家介绍一下。

查看图文版

1、启动画面，显示软件版本
2、创建案件，输入案件信息
3、添加需要分析的物理设备，选择数据分析方式。
也可以打开以下几种格式证据文件：
4、开始扫描磁盘数据，查找删除的数据，进行文件类型、签名分析等。
进一步扫描
5、分析结果，显示出分析结果，包括各种类型文件数量、分类结果。
6、通过文件签名真实类型过滤文件
7、FinalForensics 分析本机内存储的重要类型文件
8、解析压缩文件，并可以查看压缩文件内数据
9、对本机内即时通讯历史纪录进行分析，直接察看数据内容。
10、分析Ie历史记录
11、关键词搜索

12、
13、

X-Ways Forensics 中的文件签名库和文件类型库

2009-02-16T19:00:00.000-08:00

有朋友问"无法调用15.2版中的File Type Categories.txt"的解决方法。由于不知道他出现问题的具体情况，所以没有办法准确解答。

图文版: X-Ways Forensics 中的文件签名库和文件类型库

关于文件签名库的更详细说明，请看本人撰写的X-Ways Forensics /winhex 高级应用:理解文件签名库和文件类型库

目前X-Ways Forensics 15.2版本下，文件签名库和文件类型库有了区别。特别是文件签名库被区分为File Type Signatures Search.txt，(“通过文件签名搜索并恢复文件”时使用)和File Type Signatures Check Only.txt，（用于“依据文件签名校验文件真实类型”）。

File Type Categories.txt是用于解释文件扩展名的所属文件类型和分类的，如doc，表示为Office办公文档，属于“文字处理类”。此文件内容原本是英文的，用户可以自行翻译。只是注意不要破坏原有的文件格式就可以了。修改后，需要重新启动才可以调用修改后的File Type Categories.txt文件。

WinHex /X-Ways Forensics 预定义了各种文件签名类型，用户可以修改已经定义好的文件类型，也可以添加自己定义的文件类型。

可以修改 "File Type Signatures Search.txt"中的定义值，也可以是其他的同样格式的文件，名称为 "File Type Signatures *.txt"。修改的文件签名库或文件类型库可以同样被正常加载，也可以防止在升级时被新版本的文件覆盖。只有文件名中包含 "search"，才可以用于文件签名的搜索，否则只能用于磁盘快照中的文件签名校验。目前版本15.2可以支持 4096 个文件签名定义 (1024 个可用于搜索)。

如果你修改了这些文件，一定要以原始文件格式保存，不要仅仅以普通文本格式保存，必须以tab分隔符的文本格式保存，否则X-Ways Forenscis会无法识别文件格式和其中的文件扩展名定义。

X-Ways Forensics / Winhex 快速入门

2009-02-16T18:57:00.000-08:00

这个快速入门本人已经写完很久了，准备随着新版本推出逐步更新, 加入一些最新功能介绍。喜欢X-Ways Forensics的朋友们可以关注一下。

图文版:X-Ways Forensics/Winhex 快速入门

第一章配置软件

X-way Forensics软件可以通过setup.exe安装配置后使用，也可以通过运行xwforensics.exe直接使用。具体使用方法可根据用户习惯来选择。但通常来说，直接运行最为方便。

软件使用中，保存有X-way Forensics软件临时文件和案例文件的分区将作为默认的数据输出路径，即只有该分区被允许写入数据。因此，在选择X-way Forensics软件使用分区时，需要考虑好下一步数据分析的实际情况。建议选择容量较大，数据较少的分区。

使用软件前，请预先X-ways目录下建立如下三个文件夹，分别用于保存案例文件、镜像文件和临时文件。文件夹名称也可自定义。

Mount Image Pro V2.6 测试

2009-02-16T18:49:00.000-08:00

图文版见:Sprite's Baidu Blog

2009-02-16 12:38

澳大利亚GetData公司推出的Mount Image Pro目前已经到了2.6版。新版本比过去的版本更加好用。这个软件主要用于加载多种格式的证据文件/镜像文件，以便用户可以使用第三方工具对数据进行进一步分析/恢复删除等操作。下面简单演示一下，大家可以了解一下MIP2 这个工具的基本使用方法。

1、软件启动，可以看到MIP的软件logo

2、没有软件狗的情况下，软件显示为试用/评估版

3、插入软件狗后，无需重新启动软件，直接变为正式版。

4、点击Mount可以直接选择镜像文件。目前支持的镜像格式有Encase、Smart、DD镜像、ISO镜像。

选择镜像文件，本例为Encase E01镜像文件。

5、选择加载选项（盘符等），即可成功加载镜像文件。

6、也可能同时加载多个镜像文件。
需要浏览镜像中的数据，可以选择某个镜像文件，点击鼠标右键，选择Explore，即可通过Windows 打开该镜像。

7、可以看到每一个镜像文件中的信息，包含镜像创建时间、创建工具软件等。

8、卸载镜像，选择鼠标右键，unmount image或unmount all 即可。

9、软件信息

这个软件就是这个简单。感兴趣的朋友可以下载一个演示版试用一下。

SAFE boot disk----基于Windows的取证光盘即将推出

2009-02-16T18:48:00.000-08:00

SAFE boot disk----基于Windows的取证光盘即将推出
2009-02-17 10:42

ForensicSoft公司 (http://www.forensicsoft.com) 近日发布了 SAFE 法证证启动光盘，据其称是世界上第一个基于Windows的具有写保护功能的启动光盘。正式版本将于2009年3月份开始发售，现在可以下载并测试BETA版 SAFE 启动光盘，下载地址：http://www.forensicsoft.com.

SAFE 启动光盘可以启动所有基于Intel架构的计算机，并从物理层上对所有内置硬盘实施写保护。启动光盘的功能不仅仅是防止自动加载硬盘，或以只读模式加载硬盘，而是具备像Helix或其他Linux "法证" 启动光盘一样的功能。用户可以通过一键操作，即可启动或取消写保护功能。

SAFE 基于正版Windows (Windows PE 2.0)，可以运行各种您常用的 Windows 取证工具，如FTK， EnCase， X-Ways，FinalForensics等等。可以对各种RAID 服务器、笔记本计算机、工作站硬盘进行磁盘镜像，速度可达4GB/分钟。想象一下，您将不再因为缺少RAID控制器的驱动而无法获取RAID阵列数据，也可以直接将数据直接获取至 NTFS 或压缩格式 NTFS分区中，不再因必须将数据写入FAT32、EXT2 或其他 Linux 文件系统而烦恼。

Windows 驱动程序 The most common problem with 基于Linux系统的启动光盘的最常见的问题，就是通常不包括RAID阵列和其他磁盘控制器的驱动。有时即便有了驱动程序，很多非LINUX用户也很难自行将驱动程序添加到自己的Linux启动光盘中。现在，Windows驱动已经基本包含了所有 Intel架构的 RAID 和磁盘控制器。SAFE 可以加载所有已有的 Windows 驱动，并可以在需要的时候通过很简单的方法安装其他的 Windows 驱动。.

支持NTFS 文件系统 DOS 或 Linux OS 启动光盘都无法将镜像文件写入采用NTFS文件系统的硬盘，因此调查员不得不将磁盘镜像写入FAT32分区中。利用SAFE，调查员可以可充分利用大容量NTFS分区和大文件的优势。同时利用NTFS分区，SAFE 还可以节省调查员的大量时间和精力。

SAFE 写保护技术具有防止软件写操作的SAFE Block XP已经内置在 SAFE 启动光盘中。这意味着在利用SAFE启动光盘启动计算机的过程中，所有与该计算机连接的磁盘、闪存都被自动实施写保护。而且，这是一种真正的写保护措施，而不是像其他Linux启动光盘采用的逻辑只读或防止磁盘自动加载方式。

启动后，如果调查员希望将证据文件镜像写入至一个磁盘，可以简单地解除所需磁盘的写保护，但同时可保证其他磁盘继续处于写保护状态中。如果调查员只是需要预览或进行关键词搜索，那么您无序改变任何选项，启动后所有存储介质都将一直处于写保护状态中。

使用熟悉的Windows法证工具很多法证调查员不得不使用Linux 启动光盘来完成一些法证需要，而且不得不使用 DD、 DCFLDD、 MD5SUM、 SHA1SUM 和很多其他不熟悉、不喜欢的 Linux 工具。现在利用 SAFE 启动光盘，调查员可以使用他们在 Windows 环境中喜爱的各种法证工具。

案件日志. SAFE 内置了日志功能，可以创建调查员的工作日志，包含系统属性和所执行的各种操作步骤。

内置工具. SAFE的 Windows环境中已经内置了一些工具，可以用于浏览、查看、预览，同时包含一些简单的法证功能。

FinalData 3.0 数据恢复工具汉化结束

2009-02-09T18:32:00.000-08:00

去年峰会后，开始帮助Finaldata公司翻译最新的数据恢复软件Finaldata 3.0。这个软件大家应该是非常熟悉了。使用之后，感觉很像一个简单的计算机取证软件，因为它增加的数据的预览功能，可以在恢复数据前对图片、ppt、文本等进行察看，确定恢复的文件是否可以读取、有没有被破坏。

图文版：察看作者百度博客

经典的界面没有什么变化，但是功能有所增强，支持了Vista下的数据恢复，支持的文件格式、种类更多，速度也有所提升。对于一个几百、几千元的数据恢复工具来说，这已经非常不错了。

最新的Finaldata目前有几个版本：标准版、企业版、企业网络版、专业版。现在，几个版本已经都翻译结束了，应该不久就会上市了。

又完成了一个众所周知的工具的汉化，希望能对国内用户有所帮助。

FinalData 3.0功能演示

一，安装

二、运行

Finaldata 3.0以向导方式帮助用户进行数据恢复、电子邮件恢复、文件修复等工作，操作更加简单。

三、恢复删除/丢失的数据

四、文件过滤，可以定义显示所有文件，还是显示特定类型的文件

五、文件预览，可以预先察看选择恢复数据的内容

六、Office 文档修复

七、恢复删除的电子邮件，目前支持多种格式邮箱

八、高级数据恢复，传统的Finaldata界面

查看本图片原文:请访问作者Baibu' Blog

Sprite's Baidu Blog

俄罗斯电子邮件分析工具：Outlook Express Analyzer 和 Outlook Analyzer Pro

2009-02-09T18:31:00.000-08:00

这是俄罗斯的朋友Yuri发布的新的电子邮件解析工具。这两个工具名为 Belkasoft Outlook Express Analyzer 和 Belkasoft Outlook Analyzer Pro。区别在于第一个只能分析 Outlook Express邮件，第二个可以用于打开 Outlook 2003/2007 、Outlook Express邮件。

利用这两个工具，也无需安装 Outlook 和 Outlook Express，也无需邮箱帐户名和口令即可直接打开PST和DBX邮件。此工具不需要任何写操作，因此如果进行法证分析，可以直接与各种写保护配合使用。同时，软件带有 Encase 驱动支持。

需要了解更多的信息，可以从 http://belkasoft.com/boa/en/Outlook_Analyzer.asp. 下载免费试用版。

新增的Outlook 分析功能可以支持Outlook附件的导出。如果一封信中带有附件，那么这封信的图标被显示为曲别针，和Outlook 的标准显示方式一样。分析附件，可以直接右键点击此封邮件，并选择默认的软件打开附件进行查看，也可以将所有邮件导出，这样所有附件都会保存到相应的文件夹中。

目前，这两个工具已经被加入 Belkasoft Forensic Studio 套装中，可以处理各种类型的即时通讯、多种浏览器历史纪录、和Outlook 2003/2007 、Outlook Express邮件。这样看来，这款俄罗斯法证分析工具已经越来越成熟了，可以帮助数据分析师们进行法证分析。

CFC电子数据分析师培训课程第五章数据获取 - 在线获取(F-Response)

2009-01-31T20:24:00.000-08:00

第五章数据获取 – 在线获取(F-Response)

察看图文版

所谓在线取证，就是在计算机处于开机状态下的取证方法。一般这种状态下，为了保证证据的完整性，应该尽量避免去运行额外的程序，以免使操作系统下注册表、内存、临时文件中的数据发生更改。但近年来，由于在线取证日趋重要，很多时候无法像早年国外文章所描述的那样：拔掉计算机电源，然后实施硬盘完整镜像。现在，一旦将运行状态的计算机关闭，往往会失去很多重要的内存数据、加密分区数据。更何况局域网服务器、互联网服务器都不能够随意关闭的。因此，现在很多公司都在重点研究在线取证方法。

F-Response是一个能够与众多取证软件配合使用的在线取证工具软件。它通过局域网络连接远程的计算机，帮助专业人员有效地实施在线取证、分析、数据恢复和电子证据披露。F-Response是一个专利产品，它提供了一种通过企业局域网络的证据采集、固定和分析方法，可有效提高并增强计算机取证的工作效率和能力。

F-Response易于使用，价格低廉，可有效节省宝贵的时间和旅途花费。它可以全面提高计算机法证人员已有“武器装备”的能力，使所有取证工具都能具备网络取证功能。借助于企业的 VPN虚拟网络，调查员甚至可以通过国际互联网来直接进行远程取证分析。F-Response 无须复杂的培训，任何人员不用30分钟即可完全掌握软件使用方法，并可立即与他们早已熟悉的取证工具如X-Ways Forensics、FTK Imager、Smart、MacForensicsLab等法证工具软件配合，实现对企业局域网内的任意一台或所有计算机进行调查，进行在线分析和取证。目前该软件分三个版本：

F-Response Field Kit 法证版允许一个调查员同时对一台计算机实施调查取证。

F-Response Consultant 调查版以图形界面目标代码方式在被调查的计算机上执行客户端程序，允许一个调查员同时对一定数量的计算机实施调查取证。

F-Response Enterprise 企业版采用命令行或图形界面目标代码方式，在每个被检查的计算机上执行，允许对整个企业局域网内的任意数量计算机同时实施调查取证。

说到在线取证，还要说说F-Response与目前常见的在线取证工具的区别。

目前常见的在线取证工具，都是在嫌疑人的计算机中直接运行取证软件，可以自动获取内存、注册表中的数据。同时也可以通过取证软件，实现对硬盘的完整镜像。此种方法缺点在于可能造成内存中、硬盘中过多的信息被覆盖，影响取证效果。通过，在运行的系统下获取镜像，还有可能造成系统死机，破坏证据的完整性。

F-Response 在线取证方式，是通过网络连接两台计算机或局域网内的更多计算机，将任意一台计算机的硬盘或其他存储介质，以物理磁盘的方式显示到调查员计算机中，在调查员计算机中直接运行任意分析工具或镜像工具，实现对嫌疑硬盘数据的完整获取。这种方法是最为理想的，而且仅在嫌疑计算机中占用极少的内存，不会造成死机等问题。F-Response将是未来几年计算机法证领域中的一个亮点。

现在，X-Ways Forensics已经与F-response结合了，Smart也与F-response结合了，连苹果机下，都可以与MacForensicsLab配合使用。这样一来，面对Windows, MacOS, Linux三种操作系统，只要具有F-Response单机版，都可以成功实现在线取证。

第一节获取运行的Windows计算机硬盘及内存数据

在嫌疑计算机上插入“加密狗”，插入保存有f-response-fk.exe程序的光盘或USB闪存。此时软件显示出目标机的主IP地址(此机IP地址为101.101.101.177)。输入TCP端口号（通常为3260），并设置一个8位用户名和14位密码。用户名中最好不包括大写字母，本例中输入的用户名为aaaaaaaa，口令为11111111111111。

2、在取证计算机安装并运行iSCSI Initiator软件。

在General选项卡中点击Change，重新设置登录目标计算机所需的用户名（这里输入刚才指定的用户名aaaaaaaa）。

3、点击OK后，iSCSI Initiator属性对话框中出现修改后的计算机登录名aaaaaaaa。

4、打开iSCSI Initiator的Discovery选项卡，点击Add按钮，输入此前出现的目标计算机的IP地址101.101.101.177和端口号3260。

5、点击Add Target Portal窗口中的Advanced按钮后出现Advanced Settings选项卡，勾选CHAP logon information选项，并输入14位密码。

6、按确定键返回，此时iSCSI Initiator属性的Discovery选项卡中会显示目标计算机的IP地址和端口号。

7、此时Targets选项卡中出现了目标计算机的名称及状态，此时目标机为非活动状态。点击Log On按钮出现Log On To Target窗口。

8、点击Log On To Target窗口中的Advanced按钮后出现Advanced Settings选项卡，勾选CHAP logon information选项，并输入14位密码。

9、按确定键返回，之后目标计算机的状态变为连接状态，目标机与取证机连接成功。

10、在取证计算机中已经可以访问目标机硬盘。图中分区G、H、I、J为目标硬盘，分区K为证据硬盘。

11、此时可以使用取证分析软件对目标机进行取证。现在我们使用X-ways取证软件抓取目标机硬盘的镜像，测试其获取速度。打开X-ways后添加储存设备，选择目标计算机的物理驱动器，此处显示硬盘大小为149G。

12、加载硬盘后创建磁盘镜像，选择输出镜像的路径和文件名，开始获取镜像，速度约为每分钟1.2G。

13、获取完成后在Targets选项卡中选择Details按钮，在Identifier下勾选标识符，点击Log off。此时若没有完全断开对目标机的操作将不能断开连接，并显示警告信息。

14、操作全部结束后，点击Target属性对话框中的Log Off按钮，标识符将会自动消失，与目标计算机的连接完全断开，操作结束。这时可以点击目标机程序的Stop按钮。

15、取出光盘或卸载USB闪存。在线获取全部结束。

某些时候需要在获取数据前首先进行关键词搜索，以判定嫌疑计算机是否包含与案件相关的证据。具体操作方法清参考后面章节

恢复丢失的口令，解决数据保护问题的简便方法

2009-01-04T22:09:00.000-08:00

近些年，“信息时代”、“信息技术”和“信息如何统治世界”等字眼一直充斥着我们的耳朵，因此很多人觉得信息就是一切。但是，这又意味着什么呢？信息本身重要么？我认为不完全是这样。我们需要信息来帮助我们进行决策，这才是真正重要的问题。因此在任何商业环境下，获取信息的多少与是否完整都会给我们在竞争中带来优势。

毫无疑问，很多时候我们的注意力都集中在对信息的保护上。当今的软件和硬件提供了很多限制访问信息和防止信息泄露的方法：有控制访问信息和权限的工具，有为了防止攻击设计的系统、备份程序和防病毒程序等。
但是，对于所有用户而言，最简单易用的方法还是使用密码对数据进行保护。密码可以防止非授权的用户访问系统、文档和数据库。众所周知，在信息链中，人是最薄弱的环节—使用密码保护也不例外。人很容易忘记密码，这是很正常的，这取决于计算机使用者需要记忆的密码数量。但是，如果由于某些原因忘记了密码，这就意味着无法访问数据。

拒绝访问…
销售、现金周转、客户数据库、会计和管理报告、分析报告和预测等数据，所有这些都是成功经营公司和制定战略决策的重要信息。通常，这类信息都有密码保护。这对任何公司而言都是基本的安全策略。但是，如果急需访问一些数据，却发现不知道密码怎么办？这类情况并不鲜见。

首先，您可能会忘记密码。您没有将密码写下，因为您认为可以通过一些简单的联想记住密码。比如：最喜欢的食物和您的出生日期。您不会忘记生日，但是最喜欢的食物就是另外一回事了。在去克利特岛度假之后，您的脑海中所想的可能全是希腊沙拉，但是“希腊沙拉”可不会帮您访问系统。

曾经某位销售经理决定实现自己的梦想而到西藏游览90天，她离开公司却没有将浏览文件的密码告知他人。但此时公司业务遇到了危机：客户要求公司如果无法立即付款就要终止合同！但是您所以无法联系到远在西藏的销售经理，也并不知道合同中所列的价目和细节。这种情况在您的公司中是不是也发生过？

有时，某些雇员会因为一些经济原因或者为竞争对手工作而被解雇。在这种情况下，他们不会主动告知相关文档的密码。如果您迫切需要处理这些文档，就会出现问题：只有取得了密码，您才可以获取信息开始今天的工作任务。

如何解决这些密码难题？
自从发明加密技术以来，丢失密码就是一个很大的问题。软件开发者一直致力于解决这个问题。如今市场上已经有了一些密码恢复软件。我们来看看这些软件破解密码的方法。对于初学者，我们要先了解一下密码的不同类型以及在搜索密码时可能有帮助的信息。

通常情况下，一个密码会包含如下符号：26个小写字母（a到z），26个大写字母（A到Z），10个数字（0到9），和33个其它字符（!@#$%^,等）。我们可以使用这95个字符的任意组合作为密码。

此外，对于人类心理学的了解对搜索密码有很大的帮助。尽管为了加强密码的可靠性有很多限制（如对密码的长度限制等），但是很多用户都无视这些最基本的原则，一再暴露上文提到的“弱点”，即：人的因素。

大多数密码由使用者的母语字母和符号组成。有些“蠕虫病毒”所窃取的数据通常与使用者的个人生活有关：出生年月、宠物的名字、电话号码或者银行卡号码等。一些人可能仅仅将旧的密码做了一些小的修改形成新的密码，这也是大多数人修改密码的方法。人们通常将密码写在桌上或者将其储存在计算机中的一个文件夹内，这种做法使得密码保护完全失去了作用。结果是，只要了解基本的密码规则（允许使用的符号和规定的长度），并对使用者有一些了解，就可以轻松的了解到一个未知的密码。各种密码恢复软件就是使用了这种技术。

我们可以采用的方法……
目前，通过软件搜索密码的主要方法有：简单扫描、掩码扫描、字典攻击、加密密钥扫描（可能比暴力扫描所产生的密码变体要少）和所谓的彩虹表攻击。在某些情况下，其它类型的密码恢复只能打开文件，这种密码恢复被称为纯文本攻击（基于已知的内容）。我们来详细了解一下各种方法。

暴力破解
暴力破解方法非常简单：程序会尝试所有可能的字符组合来找到正确的密码。可以限定搜索内容：如密码字符的数量，定义允许使用的字符类型（字母、数字或其它符号），甚至可以指定密码的第一个字符。
使用暴力破解方法重新获取密码所需的时间取决于密码的长度、所使用的不同符号、计算机的性能和使用密码保护的文件的种类。

在不尝试所有可能的组合的情况下，可能会很快找到密码。但是，您不能完全依靠这种偶然的情况。如果使用普通电脑，暴力破解方法可能需要几年的时间。这是最浪费劳动力的方法。因此只有在没有其它替代方法的情况下我们才会推荐这个方法。

掩码扫描
如果您是创建密码的人，您可以通过使用掩码大大缩小搜索参数来重新取得密码。您可能会记得密码的位数或者某些特定的字符。任何信息都加速解密都会有所所帮助。

例如：您记得密码中只使用了数字和小写字母。这就是说可以在搜索中排除其它特殊字符和大写字母。如果您知道某些字符在密码中的位置也会有所帮助。例如：您知道密码有10位字符，第一位是字母“a”且后四位字符是2007，那么您可以输入“a?????2007”作为搜索模板。未知的字符使用问号表示。

使用掩码意味着软件可以减少测试可能的组合，这样找到正确密码所需的时间会大大缩短。但是，通常我们几乎不知道关于密码的任何信息。因此我们无法使用掩码扫描。另一方面，还有另外一种效果很好的方法可以获取密码。

字典攻击
如果您知道密码中可能使用的单词或者名称，这时可以使用字典搜索。事实上很多人会在密码中使用常用的单词。通常，这些单词包括：“open,” “access,” “password,”等。因为记忆单词比记忆随机组合的字母和数字要简单得多。事实上，忘记这类密码同样简单。这类密码的获取相对容易。

但是要到哪里找到这类字典呢（或者是更为精确的字母列表）？字典可能会包含在软件中。另外的方法就是通过网络—FTP服务器通常包含常用字的列表、按主题分类的列表（动物、足球队…）、缩略语等。另一种可能就是用户编写了自己特有的列表。

这种方法的优点很明显。用户作为密码输入的单词列表通常很有限而且不会超过100，000个。现在的计算机处理100，000种字符变体不成问题。应该优先使用这种方法。

彩虹表攻击

我们知道，影响获取密码最关键的因素就是所需要的时间。我们知道使用暴力破解方法会校验每种可能的组合，对于复杂的密码而言，这样会耗费很长的时间。可能会花费几个月甚至几年的时间才能取得密码，在大多数时候我们都不会考虑这种方法。

因此，我们发明了彩虹表攻击的方法。这种方法使用预先计算的方法来搜索密码。人们考虑使用预先计算的查找表进行搜索来替代大量占用CPU的计算。查找表适用于从内存中提取数据比创建数据要简单得多的情况。
彩虹表攻击采用对某一特殊的字符序列预先计算出的变体进行搜索。在使用暴力方法排出一个密码所需的时间内，我们可以获得一些查找表，以很高的概率在所检测的范围内查找密码可以节省上千倍的时间。

彩虹表的大小比一般的查找表要小得多—一般的查找表大小为TB级，彩虹表为GB级。所减少的大小取决于最优化程度。不得不说，辨认密码的可能性减少时，获取密码所需的时间会增加。例如：在使用7位包含字母和数字符号的彩虹表时（需要大约1周时间来创建彩虹表），彩虹攻击可以在最多20-30秒的时间内获取任意由7位字母或数字组成的密码。直接输入不同密码组合的方法可能会需要超过24小时的时间。这种方法的优势显而易见。

因为编辑制作彩虹表需要花费大量的时间，因此彩虹表的成本大大增加，造成价格昂贵，目前主要应用于企业和政府部分中。

做出正确的决定
毫无疑问，快速恢复密码的软件很有用处，每个执法部门、系统管理员都需要一份这样的工具软件。您需要什么样的密码恢复软件呢？

功能和效果
首先，要看开发者声称的密码恢复功能。这是决定软件功能最重要的标准。能否成功的获取密码取决于受保护的文档类型和计算机性能。此外，由于对安全性越来越警惕，用户们会创建更安全的密码。但是，对于某些类型的密码和文档，软件开发人员会保证99%的成功率。

运行环境和支持版本
其次，要了解软件所支持的操作系统、应用程序版本、文件格式、所支持的语言和代码。我们无法预测所要破解的Word和Acrobat是什么版本，更不用说字符集了（例如：中文或阿拉伯字符）。还要了解软件需要多久的时间可以适应新版本的应用程序。无法支持Office 2007的软件是没有用的。

解密速度
我们需要考虑的另一件事是获取密码所需的时间。当然，根据计算机性能的不同，所需的时间也会有所不同。但是，软件制造商一般会给出平均时间数据。我们必须要知道时间单位，是分钟、天、周还是月。

分布式运算能力
最后，我们要了解软件是否支持分布式密码获取。分布式方法需要利用本地计算机和远程计算机所组成的整个计算机组进行。这种方法也可以应用在密码破解上。对于某些文档和应用程序，我们可以非常快速地获取密码（如：保存在本机上的ICQ或者GoogleTalk的密码）但对于PGP等构建体系非常完善的密码，因此只能使用分布式方法进行破解。

这些是选择密码恢复软件的几个主要标准。

分布式密码解决方案
在讨论恢复复杂密码时我们已经提到分布式计算方法。ElcomSoft公司的分布式密码恢复软件可以充分发挥可以联网计算机的性能。

这个软件可以解决Microsoft Office、Microsoft Money、Microsoft OneNote、Adobe Acrobat、Intuit Quicken、Lotus Notes创建的任何文档的密码、Windows 2000/XP/2003/Vista登陆口令密码、PGP密钥（*.skr）和PGP Dishk（*.pgd）破解等。

这个软件包含三个组件：服务器组件、代理组件和控制台组件。服务器组件安装在网络中的一台计算机上，用来控制密码恢复的进程。代理组件安装在网络中的任意计算机上，用来测试服务器产生的密码。控制台组件安装在网络中的任意计算机上，用来控制服务器和恢复进程或者添加新的任务及查看统计信息。

配合Elcomsoft研发的最新GPU密码解决方案，配合NVIDIA显卡，单机解密速度可提升几十倍。对于企业和政府部门，还可以使用个人超级计算机，每台计算机多大960个核的运算能力，再联机进行分布式运算，解密速度将无与伦比。

盘点2008国际计算机取证发展状况

2009-01-04T00:00:00.000-08:00

2007年末，应邀撰写了“国外电子证据及计算机取证发展状况”一文，对国际目前的状况进行了简短的评价。回顾2008年，看到此状况仍未有明显改变。值2009年初之际，对2008年国际发展状况盘点一二，并期望2009年能有一个更大的发展。

一、与电子证据相关的硬件产品发展速度减慢
美国、英国，是开展电子证据研究最早的国家，国际目前广泛应用的计算机法证硬件产品约有80%产自美国、英国。2003-2006年间，是国际电子证据相关硬件产品发展最为鼎盛的时期，各种硬盘复制机速度从1.8GB到3GB不断攀升，写保护接口从单一的IDE硬盘接口，到SCSI、SATA、USB、火线种类层出不穷，PC、MAC、Linux平台下的取证设备越来越多。取证分析计算机各式各样，出现了皮箱型、工控型，服务器型等。这些产品的大量出现，对国际计算机法证技术的发展起到了极大的推动作用。但自2006年开始，国际各国计算机法证相关硬件产品发展速度渐缓，除简单的升级换代之外，没有什么更有创意的新产品出现。

冷清了一两年之后，我们看看有什么新的发展：
1.硬盘复制设备：Logicube公司推出了SuperSonix，一个应有于IT界的硬盘克隆工具，速度可达6GB。这个设备对于调查行业来说可以算个福音，对法证界还无法使用。但是Logicube在民间应用之后，应该很快就推出法证版的型号了。可以期待一下。

2.写保护设备：ICS 公司推出了Super DriveLock写保护设备，具有全面的接口，外观设计和实际功能都很不错。特别是最新的eSATA接口可以明显提高速度。

3.2008年,DataExpert推出的硬盘修复诊断破解设备、效率源推出的DC指南针都比较有特色，对计算机取证人员所遇到的故障硬盘有很大的帮助作用。
4.俄罗斯Elcomsoft推出的GPU解密加速产品也是对冷清的解密市场一剂强心针。北京天宇宁公司将俄罗斯Elcomsoft推荐的个人超级计算引入国内，将密码破解水平提升到一个全新的水平。设想一下：拥有960个核心的强大的并行处理能力，计算性能可达PC的250倍。这是一种什么样的计算能力呀！

不过大家也要清醒地认识到：不是所有的解密软件都可以利用到个人超级计算机的解密能力，只有支持专门支持GPU运算的软件才能够发挥出这种计算机的强大性能。而目前也仅有将GPU解密运算的发明者Elcomsoft公司才能够提供这种解密能力。

二、法证分析软件层出不穷
与硬件发展缓慢相对应，国际电子证据分析软件产品却如雨后春笋一般，涌现了很多优秀的产品。老牌法证工具的代表是Encase和FTK，这两个软件已经发展了若干年，基本成了计算机法证的代名词。美国Guidance公司的Encase软件这两年发展劲头不错，从4.0、5.0到6.0版，差不多每年推出一个版本。相比之下，美国AccessData公司的FTK的进展可就相对慢了许多。FTK 2.0版各国用户苦苦等了快2年，终于问世了，但这个庞大的系统对计算机的要求也实在有些高，使得很多用户很难适应。

最近几年，国际上先后推出了一系列的计算机法证分析工具，如德国X-ways公司的X-Ways Forensics，韩国FINALData公司推出的FINALForensics，澳大利亚的NuixForensicDestop。从欧洲、美国、澳大利亚这些计算机法证技术的先进国家来说，这些软件的出现可以说明显推动了冷清的市场。

国内用户可能很多人都知道Winhex这个数据恢复和十六进制编辑器。由于电子证据研究离不开二进制、十六进制，也离不开数据恢复，因此Winhex的作者Stefan将这个产品进一步开发成计算机法证工具。由于其强大的数据恢复功能、灵活的数据编辑能力，快速的升级服务，X-ways Forensics立刻在世界各地受到热烈欢迎。

Nuix Forensic Desktop更是一个不可多得的数据分析工具，它将关注点放在各行业最为重要、最为复杂的电子邮件及办公文档的分析处理上，不仅能够直接搜索、察看电子邮件和附件内容，更可以通过图形方式展示不同用户之间的信件联络关系，加上其出色的多语言支持能力，该软件已经成为名副其实的法证工具。

三、在线取证工具成为热门话题
最近结识了F-Response的作者Matthew Shannon，并与几个组员一起测试了F-Response这个软件后，发现Matthew先生研制的这款新工具的确有独到之处。看了几名国外著名专家的博客，都对这个软件有高度的评价。简单来说，这个软件是一个在线取证工具的一个突破，他让过去遥不可及的Encase Enterprise企业版具备的功能，成为了任何一个法证工具软件都可以实现的功能。而且实现的价格还极为低廉。

现在，X-Ways Forensics已经与F-response结合了，Smart也与F-response结合了，连苹果机下，都可以与MacForensicsLab结合。这样一来，面对Windows, MacOS, Linux三种操作系统，只要具有F-Response单机版，都可以成功实现在线取证。

说到在线取证，还要说说F-Response与目前常见的在线取证工具的区别。所谓在线取证，就是在计算机处于开机状态下的取证方法。一般这种状态下，为了保证证据的完整性，应该尽量避免去运行额外的程序，以免使操作系统下注册表、内存、临时文件中的数据发生更改。但近年来，由于在线取证日趋重要，很多时候无法向早年国外专家所讲的一样，拔掉计算机电源，然后实施硬盘完整镜像。一旦关机往往会失去很多重要的内存数据、加密分区数据。因此，现在很多人都在重点研究在线取证工具。

目前常见的在线取证工具，都是在嫌疑人的计算机中直接运行取证软件，并自动获取内存、注册表中的数据。同时也可以通过取证软件，实现对硬盘的完整镜像。但此种方法缺点在于可能造成内存中、硬盘中过多的信息被覆盖，影响取证效果。通过，在运行的系统下获取镜像，将有可能造成系统死机，破坏证据的完整性。

F-Response 的方式，是通过网络连接两台计算机或局域网内的更多计算机，将任意一台计算机的硬盘或其他存储介质，以物理磁盘的方式显示到调查员计算机中，在调查员计算机中直接运行任意分析工具或镜像工具，实现对嫌疑硬盘数据的完整获取。这种方法是最为理想的，而且仅在嫌疑计算机中占用极少的内存，不会造成死机等问题。F-Response绝对将是2009年中国计算机法证领域中的一个亮点。大家可以访问http://www.f-response.com/ 去了解更多的情况。

四、计算机法证领域逐步拓宽----手机取证成关注
从多年来主要关注的PC、互联网、局域网，到今天的MAC、数码相机、手机和iPod，电子证据的研究领域已经越来越广泛。2007年开始，世界计算机法证界最热的大概就是三个话题：手机和MAC和Vista。

当今社会，计算机虽然已经非常普及，但也只能平均几个人才能拥有一台，但手机的拥有量和更新换代速度却令人叹为观止，一个普通人的一生中可能会拥有10余部甚至几十部手机。如此大的拥有量、如此快的更新速度和其中可能发现的各种电子证据，让世界各国个行业不得不必须全力应对。值得一提的是厦门美亚柏科、上海盘石公司、韩国FinalData公司，都针对亚洲地区手机型号开展研究，这些研究成果不在欧美国家之下。

FinalData公司开发的Final Mobile Forensics 软件一上市，就得到美国联邦调查局等机构的关注，并得到的相关执法部门的认可。目前，该软件在美国、日本、韩国开始销售。

最近看到两篇关于iPhone手机取证的资料。iPhone是目前比较新的手机，受到了国内外用户的普遍喜爱。对这个设备的取证问题一直到的各国专业人士的关注。

第一篇是MobilEdit! Forensics的报道。目前MOBILedit!已经可以支持第一代的iPhone了。在他们的论坛中有一篇关于“关于如果连接Apple iPhone”的文章。大家可以参考一下：
在连接iPhone之前，请检查是否已经在计算机中安装了Apple iTunes软件。最新版本的软件可以从http://www.apple.com/itunes/ 下载。连接好iPhone和PC的连接线后，运行MOBILedit!，选择"File" 菜单中"Settings..." ，选择"Ports" 页中的"iPhone device" 项。点击"OK" 键开始设备检测。目前软件仅支持第一代iPhone。COMPELSON公司在对第一代iPhone增加更多功能支持的同时，也将进一步开发对更新型号的iPhone手机的支持。

第二篇，是从MacLockPick II的软件介绍中看到的。刚刚于10月1日正式发布的MacLockPick II增加了很多的功能，不仅增加了对Windows的支持，还支持对 Apple iPhone的信息收集。在对iPhone的支持方面，MacLockPick II目前可以收集存储于Apple iPhone手机和其他使用Apple Mobile Sync 软件的Windows或Mac OS X 操作系统计算机中数据信息，目前可以获取的信息包括：
1、拨出电话、已结来电记录，包括电话号码、通话时长，日期、时间。
2、发送和接收的短信息，包括电话号码，短信内容和具体时间。
3、IMEI 码- 移动通信国际识别码（通常打印在手机电池下面的机身上）
4、TMSI 码- 临时移动用户识别号，
5、IMSI 码- 国际移动用户识别码，保存于 SIM 卡中。
6、国际漫游状态 - 手机是否当前设定为漫游状态
7、偏爱号码 - 快速拨号，包含姓名和号码
8、Safari State Documents - 浏览器当前打开的页面
9、Safari History - 浏览器访问过的页面
10、Safari Bookmarks - 所有标记的页面
11、记事本记录
12、通讯簿
13、邮件账户
从上述两个最新的法证工具来看，国外各个专业公司对iPhone都非常重视。但从上面两个公司来比较，相信MacLockPick II会更胜一筹。MacLockPick II的作者Marko与苹果公司有很好的关系，他从去年就开始关注iPhone的研究。特别是MaclockPick II可以从运行的Windows和MacOS计算机中调取曾经保存过的iPhone的同步记录，此功能毫无疑问将是一个亮点。

最新的iPhone取证工具要算Wolf了。这是一个专注于苹果iPhone取证分析的一个专业工具，最新版刚刚发布不久。这个工具应该是一个最专业的iPhone分析工具了。测试之后，感到功能极强。分析来看该软件在2009年应该会有不俗的表现。

五、多平台将是计算机法证工具的发展趋势
从近年来国际市场上出现的多种工具，可以很有意思的发现，能够同时针对Windows, MacOS, Linux三个平台的取证、分析工具种类越来越多。这是不是标志着，多平台是计算机法证工具的流行趋势呢？

Windows Vista作为世界软件巨头Microsoft推出的换代操作系统，令世界瞩目。虽然这种轰动不像当初从Dos过渡到Windows 3.0时那样巨大，但由于Vista系统可能会对电子证据产生的影响，使法证界专家不敢掉以轻心。目前各国专家都在对Vista系统的取证分析开展研究。

Mac作为另类时尚一直只是少数人的热爱，但自推出双核、双系统概念之后，大量Windows用户也加入到Mac的阵营。几年前，各国计算机法证专家还在发愁如何有效分析Mac数据，但今年，作为Mac数据分析技术的领跑者，美国SubrosaSoft公司将具有数据恢复、获取和分析工能的MacForensicsLab推到的国际舞台。与此同时，可以同时搭载Mac、PC数据分析软件的Macbook和Mac Pro，更成为计算机法证领域创新和高性能的代表。

MacForensicsLab最早只能在MacOS环境下使用，但不到一年，Marko就推出了Windows和Linux版本。“一个跨平台的工具，您唯一的工具”，就是他们提出来的。先不说MacForensicsLab在功能上与其他取证分析工具有何差距，仅凭跨平台一点，就可以说他们领先一步。

接下来，我们再看看F-Response。它不是一个单独的取证工具，但却是一个可以配合任何取证工具，并扩展各种取证工具网络取证功能的一个软件。F-Response刚刚推出了Linux版本下的工具，可以配合Smart实现对使用Linux操作系统开机运行状态下的计算机硬盘完整获取。至此，它实现了对开机运行着Windows, MacOS 和Linux三种操作系统计算机的全面取证。有了这样一个工具，调查员已经不用对嫌疑计算机可能使用的不同操作系统而担心了。

那么Linux环境下使用什么分析工具呢？ Smart近一年发展迅速。该软件的作者Andrew Rosen是国际计算机法证领域的知名专家，他开发了第一个计算机法证工具Expert Witness，后来演变为今天国际公认的计算机法证著名软件EnCase。有人也称Andrew为Encase之父。他开发的Smart，的确有其独到之处。国际上有句说法：“Smart people don't use Encase”。一语双关。使用Smart的人，也都是“聪明的人”。从他的代表作品，您就完全可以想象出Smart是什么样的工具。除了Linux版本，Andrew也推出了Windows下的相应版本。目前只差MacOS版本了。

再看看取证工具。ForensicsMatter的Peter Mercer开发了一套光盘启动工具，简称OSI。这个工具主要适用于关机状态的计算机实施镜像获取。一般的光盘启动工具，对于使用Windows、Linux系统的PC机，甚至Intel架构的MacBook都非常容易，但对于PPC架构的苹果机，这些启动光盘就失效了。而Peter的OSI工具中同时包含了2张光盘，您用完全一样的操作方法，就可以实现对PPC和INTEL架构这两种不同类型计算机的数据获取，而且兼容性非常好。这应当是目前支持多平台的数据获取工具的杰出代表了。

通过上面的简单说明，我们可以看到应用在多平台之上的取证分析工具，以及可以适应多平台取证需求的工具越来越多，这给计算机法证人员带来了很大的便利。世界在不断进步，计算机技术在不断进步，计算机法证工具也在不断进步。计算机犯罪有可能是各种各样的情况，而打击高科技犯罪更需要各种各样的利剑。

六、硬件方式的只读锁与写保护软件
在民事和刑事调查中，读取或分析硬盘或其他移动存储中的数据时，保留原始文件内容和时间戳是非常关键的，这也是保持证据原始性的一个要求。但很多人没有意识到，将硬盘或移动存储设备连接到计算机上使用时，会造成硬盘中的数据更改。因此要保证证据的原始性，必须要使用写保护设备。律师行、调查公司或其他电子证据服务机构，应该和专业计算机法证机构一样，更应该注意这一点。大家都知道，读取刻录在光盘中的证据数据时不会发生数据更改的情况。但是，应该注意的是，在将证据文件刻录到光盘的时候，却会改变原始证据文件的时间戳。

现在市场上有很多硬件设备可以实现硬件写保护功能。如果需要使用硬件写保护设备，目前市场上有：Tableau 、WeibeTech、ICS Drive Lock、Disk Jockey PRO Forensic Edition 等。而一些新开发出的软件的软件写保护方案能够提供更有效、更易用、更快速的解决方法。如软件写保护工具，可以选用 Safe Block XP。

当使用选购硬件写保护设备时，你可能会发现你不得不考虑到各种存储介质，比如不同类型的硬盘接口，USB闪存（优盘）、闪存卡、火线硬盘等等。这些加在一起需要上万元了。相比起来，我认为选用软件写保护方法，如 Safe Block XP ，可能会更加理想。Safe Block XP这种软件方式价格相比便宜很多，可以运行于 Windows XP 中，允许用户对各种存储介质添加只读保护。此外，Safe Block XP 可以明显增强数据拷贝、镜像和哈希校验的速度。软件方式可以使用计算机本身的各种接口，而硬件写保护设备目前主要局限于USB和火线接口。

七、数据恢复与数据法证恢复
计算机法证和数据恢复，我们暂不去在这里考究哪个概念涉及的领域更多，况且这两项技术本身也是密不可分的。数据恢复是一个发展非常快，需要非常大，技术性很强的产业，每一个个人可能都会涉及到数据恢复的需求。而计算机法证是一项专业性非常强的技术，不是每一个普通人都可以涉及到的。我们可以暂时将计算机法证技术中涉及到的数据恢复技术成为“数据法证恢复”。相信不用多久，数据法证恢复服务将在国内越来越多。

近日有机会与国内计算机数据恢复产业的领头人“效率源科技”的梁总进行了技术探讨，之后对中国数据恢复产业的发展非常欣喜。这个中国专业数据恢复机构所开发的产品，已经被几十个国家上千家数据恢复专业人士所使用，且声誉超过国外其他同类竞争产品。这效率源的产品，使国外数据恢复同行离不开中国技术，也将中国数据恢复技术的能力在世界上得到了展示。因此，我真心希望效率源技术更加成熟，规模进一步扩大，将中国的技术能力和信誉全方位地展示。

而中国的计算机法证技术和产品何时能够也在国际上脱颖而出？
效率源最新推出了Data Compass™ 数据指南针高智能化的多功能计算机法证专业硬件设备。测试了该设备后发现，最让人吃惊的是利用DC能够获取出那些连计算机都无法识别的故障硬盘中的数据，而且更可以从坏道严重的硬盘中读取出更多的数据。这种功能的设备一般只有在专业的数据恢复公司才可以进行，国际计算机法证专业人士普遍都无法做到。这可是完全的国货呀！相信这种既是只读锁，又是超级数据恢复设备的小设备，很快就会在国际计算机法证领域中推广开。

八、期待综合解决方案

面对如此众多的工具，计算机法证人员需要使用什么才能更有效、更全面地完成打击高科技犯罪的任务呢？
近日，温习到邓老的“名言”---不管黑猫、白猫，能抓老鼠就是好猫。豁然开朗。

中国计算机取证技术需要发展，但我们也不用总是苦恼自己没有全面的好工具。国内的研究人员也在努力，而且已经有了不俗的成绩。那么在等待中国自主的法证工具普及的同时，用几年国外的工具，学习学习也是好的呀。关键是要有能力把各种工具的功能掌握好，把精髓搞明白。

因此，我看“计算机取证综合解决方案”还是需要的。这是什么呢？实际就是一个“工具精选”。就是采用跨平台、多系统、全方位、多功能、流程化的设计理念，将PC、MAC、Linux；单机、在线、网络；取证、分析、查看；硬盘、内存、闪存；破解、修复、恢复集于一体，用最少软件的最精功能实现计算机取证的全部需要。只要组合合理，作用有效，就是好方案。

结束语
世界各国电子证据技术研究和发展，带动了中国计算机法证技术的发展。中国电子证据法规和行业的发展，也吸引着世界各国的眼球。目前在亚太地区，中国香港、中国台湾、韩国、日本、新加坡等地区，计算机法证技术发展非常迅速。特别是在中国香港，HTCIA高科技犯罪调查协会亚太区分会、ACFE国际反欺诈调查官协会香港分会、ISFS资讯保安及鉴证公会香港分会等民间机构，有效推动了该地区的计算机法证技术的发展。而国内，作为唯一一个计算机法证民间团队，中国计算机法证技术研究会联络了香港地区各专业协会及国际计算机法证技术主要国家的知名公司、专家、学者，为推动计算机法证技术的国际交流起到了桥梁和纽带作用。随着“中国计算机法证机术峰会”的逐步成熟和“HTCIA国际高科技犯罪调查协会培训年会”的引入，相信国内专业人士将能够更全面地了解国内外计算机法证技术的发展，从而有效提高执法部门、民间服务机构打击高科技犯罪、白领犯罪、商业欺诈的能力。

Intella Vs. Nuix Forensics Desktop 电子邮件分析工具简述

2008-12-23T18:38:00.000-08:00

说到电子邮件分析，目前很多工具都声称具有电子邮件处理的功能。实际上，基本上说来，每个法证分析工具都多多少少支持电子邮件的解析。从我个人观点来看，目前在对电子邮件的处理方式上，所有法证软件基本采取了两种方式：

第一种方式，是对客户端邮箱进行拆解，就是将Outlook，Outlook express，Foxmail等电子邮件客户端软件的邮箱文件pst,dbx,box中的邮件解释出来，形成单独的文件进行察看。

目前Encase,X-ways Forensics, FinalForensics,Paraben Email Examiner都可以实现这一功能。邮件拆解后，可以通过各个软件的分析、过滤、搜索功能对邮件数据进行察看、搜索特定文字。至于搜索能力的强弱，就要看分析工具对语言的支持能力了。个人来说，我非常喜欢X-Ways的邮件拆析能力。毕竟它可以恢复出删除的电子邮件客户端，并从未分配空间中查找残留的邮件信息。此外，最新出现的Final Forensics 3.0也是一个非常好的工具，他已经闻名多年，且经过几年的不断增强提高，数据恢复能力不可小视。连其民用的恢复工具 FinalDATA 3.0版都增添了电子邮件的恢复功能，你说他对邮件的处理上实力如何？

第二种方式就是对邮件进行索引搜索。
目前典型的是Nuix Forensics Desktop(即fbi Desktop)，Intella和FTK。这种软件主要对邮件进行处理，多数不具备数据恢复能力。对于删除的邮件客户端文件的恢复，需要借助X-Ways Forensics或FinalData,FinalForensics了。但是，Nuix和Intella终究是专门对电子邮件的分析工具，在电子邮件的处理能力上别的软件真是无法比拟。这种软件基于对邮箱文件的解析，然后索引。索引的时间根据邮箱文件大小有所差别，可能会几十分钟或几个小时，但数据索引之后，即可快速地进行搜索，毋须等待。FTK这个软件我不想多评述，因为5年前我一直认为FTK是最好的电子邮件分析工具(对于英文邮件)，但2.0版实在是让人无法接受，索引速度，运行效率都是很不理想。据说AccessData目前已经意识到了这个问题，正在改进。等新版本推出的时候再说他吧。

峰会和香港培训年会后，很多朋友都询问 Nuix和Intella的差别，并且均对Intella报以极大的期望。这两个汉化和测试都是我做的，我本人对这两个软件的发展非常关注。这里我简单地对两个软件的差别和能力进行一下对比。

1.邮箱支持能力
从支持的邮箱种类来说，目前Nuix还是占上风的，支持的邮件种类多于Intella.
Nuix可以支持Outlook, Outlook Express, Lotus Notes, Exchange, Foxmail等等。
Intella目前可以支持Outlook, Outlook Express, Lotus Notes.中文版将支持Foxmail。

虽然支持种类有差别，但是，对于企业调查来说，主要需要的是Outlook和Notes，对于民间应用来说已经足够了。对于中国用户来说，都支持Foxmail，也没有什么差别。因此很多公司都对Intella有足够的兴趣。

2.索引能力
英文索引不用说了，这时他们开发邮件时的主要测试和日后的使用环境。对于中文索引来看，二者不分高下。目前ForensicsMatter官方网站只发布了支持英文索引的Intella测试版本，中文版我还在测试中，对外没有发布。但搜索中文能力非常好，中文用户完全可以放心。

3.搜索过滤方式
应该说后起之秀Intella主要的竞争目标就是Nuix Fornesics Desktop，所以在搜索方式上Intella进行了充分的优化。Intella可以通过左侧选单来进行所需的过滤操作。比如搜索发件人，收件人，通过时间段、通过元数据（如文档作者、制作公司）、文件类型等等，很方便。
而在Nuix中，这些需要在搜索栏中以语句的方式来实现。虽然结果可以实现，但终究复杂了一点。

4.图形化显示
两个软件都是图形化显示电子邮件关联的典型代表。
Nuix主要通过电子邮件的收发件人之间的联系显示邮件关系，即邮件地址之间的关系。显示出的关系图可以清楚地表明包含关键词的邮件之间的来往关系和次数。
Intella主要通过包含关键词的数据显示关键词之间的关系，即那些文件中包含了特定关键词，利用多个关键词的与、或关系生成的视图来快速定位所需关注的右键或数据。
举一个例子：如果对一个目录中的Office文件（不是邮件）进行索引分析，搜索的关键词后，Nuix将无法显示出图形关系，因为这些数据不是邮件，没有联络关系。而Intella仍然可以显示出图形和个关键词之间的关系。但是如果搜索的关键词在邮件的附件中，Nuix可以告诉你那封邮件中包含这个附件和关键词，并以图形显示出邮件的往来关系；而Intella同样可以告诉你这个关键词出现的次数和在那个邮件附件中，邮件的关系需要进一步查看才可以清楚。这就是两个软件的典型差别。

5.价格
两个软件都具有很强的邮件处理功能。那么选择哪个就需要看看性价比了。这也是为什么很多国外用户不选择Nuix而期待Intella的原因了。Nuix完全版要十多万，而Intella只需要三万多。有几个公司能够愿意花费十多万来购买一套软件？除非他的需求只有Nuix能够解决。当然对于需要分析企业的Exchang邮件和需要将分析结果和专用法律软件结合的用户来说，他们愿意使用Nuix。

Nuix为了降低软件使用门槛，特意推出了三邮箱和单邮箱版本。即一次只能够分析一个或三个邮箱。对于处理Outlook邮箱来说应该说足够了，所有邮件都在一个pst或ost文件中。但对于包含收件箱、发件箱、废件箱以及草稿箱的dbx文件或Foxmail来说，三邮箱版一样无法解决问题。

而Intella则没有邮箱数量的处理限制。你可以利用它处理任意多的数据。

总结：
以上简单评价的几个不同的电子邮件分析工具。我没有任何倾向性。这两个软件都非常不错。其实最好是结合起来一起使用。每个软件都有自己的优势，怎么说也不会有两个完全一模一样的软件。那样的话就要出现版权纠纷了。具体使用那个工具，要根据公司的需求，公司的资金和业务情况来选择。国外都需要软件分析结果能够被第三方软件的检验，几个工具同时使用，相互检验一下也是好的。

Belkasoft Forensic IM Analyzer 即时聊天记录分析工具

2008-12-23T17:00:00.000-08:00

俄罗斯Belkasoft公司CEO Yuri Gubanov先生给我来信，推荐他们研制的Forensic IM Analyzer工具。使用了一下，发现这个软件非常地简单，可对计算机中各种即时通讯工具进行检测，并直接读取聊天纪录，效果非常不错。该软件目前可以支持ICQ (97a 至ICQ6各版本), Microsoft MSN/LiveMessenger, Skype, Yahoo! Messenger, MySpace IM, &RQ, Miranda, SIM, QIP, Google Hello, Trillian, QQ 和 AIM，适应面很广。利用该软件，可自动搜索硬盘中保存的历史纪录，且无需口令既可打开。配合Smart Mount等工具，可以直接加载磁盘镜像，并对镜像文件中的数据进行分析。

从这些工具来看，世界各国的计算机法证专家们真是努力呀。以前不知道俄罗斯在计算机法证方面的进展，现在看来他们的确还是有一些积累的，除了密码破解方面是强项，法证技术方面也一样不逊色。

测试版可从以下地址下载：http://belkasoft.com/bfia/en/download.asp

了解软件使用方法，可观看视频讲解：http://belkasoft.com/bfia/en/How_To_Use_Product.asp

这个视频中的故事大概是这样的：

大家好！我是一名 Neverland 警署的计算机法证调查官。我正在调查的是一起非常复杂的案件。案件是这样的：一家最大的糖果制造厂被抢劫了，我们找到了嫌疑犯，名字叫做Sweetieslover。但是，没有明确的证据证明他参加了这起抢劫案，我们只知道他的名字。通过对他的计算机中的文档、电子邮件进行检查，发现他似乎是完全无辜的。我最后的希望就是对他的聊天纪录进行分析了，其他法证专家们推荐我使用Belkasoft公司研制的 Forensic IM Analyzer聊天记录分析工具。

现在看看我是怎么利用这个软件工作的。左边窗口，可以看到三个选项，已安装的聊天工具、发现的聊天工具和搜索结果。'已安装的聊天工具' 似乎对我这起案件没有什么用处，因为我需要做的是对一块证据硬盘进行分析，获取的硬盘被通过Encase加载后，以网络硬盘的方式连接在我的计算机上。

首先，我要判定嫌疑人究竟使用了那种聊天工具。通过对Program Files目录进行分析，发现里面包含 Yahoo! Messenger。好，那就看看里面有什么记录信息吧。嗯...看来仅仅通过察看目录和文件发现不了什么有用的东西。不过没关系，我手里有处理即时通讯记录的专业工具。

我从新回到IM Analyzer聊天记录分析工具，找到“发现的聊天工具”中的“Yahoo messenger”，点击鼠标右键，选择'打开此聊天软件历史记录'。然后，通过浏览器找到Program Files文件夹。

好了，加入了历史记录，这时只要使用“读取历史记录”，就可以直接察看记录了。哈哈，不少记录呀！需要看的东西可真不少呀！能不能缩小查看的范围呢？当然能，可以将那些没有聊天记录的信息隐藏掉。选择右键，“隐藏没有聊天记录的联系人”。再看看，记录仍然不少。在导出聊天记录的空闲时间里，还是先来杯咖啡吧！

察看了2个小时了
真是见鬼，还没有什么重要的线索。只是从他老婆的聊天记录中得知，老婆对她老公不是那么全心全意的，不过这是其他的事情，与本案无关吧。

是不是有些东西通过我的手动分析没有发现呢？还是让 Belkasoft Forensic IM Analyzer软件搜索为我搜索一下历史记录吧！从菜单中，我使用了'搜索IM记录'选项。

这个工具可以使用多种选项。可以搜索硬盘、移动设备、光盘和网络驱动器。但由于我搜索的网络驱动器，因此我需要使用“搜索网络驱动器”选项。我需要看看有没有其他的聊天软件，各种格式的聊天记录都可能会有用。根据硬盘大小不同，搜索的时间可能是几秒钟，或者是二、三十分钟。

看看，软件果然帮我发现到了我没有注意到的，QQ 聊天记录。QQ 聊天工具在中国非常普及，有些Neverlandiands人也使用它。

狡猾的嫌疑犯将QQ 聊天记录保存到了一个其它的位置，但是分析工具自动找到了他。QQ 历史记录总是加密的，IM Analyzer在这里就非常有用了。

现在搜索这个新的历史记录，看看有什么内容与sweets有关。通过察看历史记录可以看到，有些联系人的聊天记录比Yahoo中的纪录还要多。

首先，搜索一下"cookies"这个词，这可以通过菜单中的“搜索历史记录”来实现。这个人似乎喜欢cookies，有很多的搜索结果。接下来，搜索一下'sweets'，嗯，还是很多结果。比如，她的总是说“Hi, sweetie”。但这些结果对我的调查没有什么帮助。还有什么词能与"sweets"相近呢？软件允许我调用“关键词列表”。我有一个词库包含许多词汇的近义词。通过搜索，发现'candies'这个词在聊天记录中被使用过。但是搜索结果还是很多。我是不是该使用'steal candies'这个词呢？这可能是嫌疑人可能会说、会做的。但搜索这个词后，没有任何结果。对了，这两个词可能并不是连续出现的，如果Steal这个词与candies这个词之间有其他字符呢？可能中间有4、5、6个单词呢？

可以利用软件提供的“通过正则表达式搜索”功能。先输入steal，然后后面可能会有几个数字、符号或空格，最后是candies.

真棒，找到了一个记录。发送者是Mr. Sweetieslover ，接收者是Mr. Evil。就是他。

好了，调查分析结束了，我该把这些发现结果提供给其他部门的伙伴了。他们不是计算机的专家，但都是证据和文字分析的专家。我只需要把这些记录导出为Html格式，刻录到光盘上就可以了。我只想导出和Mr. Evil的聊天记录，通过点击“选择的联系人”，然后选择目标文件夹，导出。导出的数据里包含聊天对象和聊天时间。

好了，我的工作结束了。如果没有这个软件，我真不知道我怎么才能完成这个案件的调查。谢谢Belkssoft.

专业的iPhone 法证分析工具

2008-12-21T23:47:00.000-08:00

香港HTCIA培训年会中，Sixth Legion公司为我演示了他们最新开发的iPhone Forensics工具。这个软件叫
WOLF，是一个专门针对iPhone手机中的数据进行获取和分析的工具，运行于苹果机MacOS系统下。WOLF可以获取当前所有iPhone手机信息中的数据，包括：手机内数据，如联系人，呼叫纪录，短信息，上网纪录，照片，音乐和视频。据该公司CEO介绍，WOLF 还是目前唯一可以获取加密保护的iPhone手机中的工具。

目前WOLF可以支持iPhone 2G 和 iPhone 3G - 固件版本 1.0, 1.0.1, 1.0.2, 1.1.1, 1.1.2, 1.1.3, 1.1.4, 2.0, 2.0.1, 2.0.2, 2.1)

此外，WOLF还可以分析硬盘中保存的iPhone同步纪录。这些记录通常是被加密的，无法利用其他工具察看。利用此工具，iPhone的法证分析将不再是问题。

Intella 最新的电子邮件分析工具

2008-12-21T23:42:00.000-08:00

澳大利亚ForensicsMatter公司CEO Peter Mercer先生在第四届计算机法证技术峰会和香港Htcia培训年会期间，向世界同步展示了其最新研发的苹果/PC取证工具OSI和Intella电子邮件分析工具，可见他对中国市场的重视程度。

参加研习会的听众无不对其快速的索引技术和中文电子邮件的快速分析、过滤、检索能力而感叹。
Intella支持Outlook,Outlook Express, Lotus Notes。可以进行中文字符索引，搜索，效果理想。我已经向Peter提出加入对Foxmail邮箱的支持，并即将开始对Intella进行汉化。不用几个月，国内就可以得到中文版的Intella。

需要试用该软件（此下载版本不支持中文索引。2周左右即会有新版本出现），请访问http://www.vound-software.com/download.php

关于计算机法证研究会的情况

2008-12-02T20:53:00.000-08:00

我一直希望计算机法证技术峰会能够成为一个平台，为国内计算机法证爱好者提供一些新的信息和知识。所以坚信需要把这个会坚持下去，并取得更多专家和学者的支持。今年的峰会，许榕生老师非常支持，不仅亲自进行演讲，还让更多的相关行业的朋友积极地参与，非常感动。许老师是计算机法证行业的前辈，他对国内外的发展现状和趋势非常地了解，并针对此行业在国内的发展做出了很大的努力，不愧为大学者，领军人物。

有些朋友想加入取证组。我把取证组的情况在此说明：

中国计算机取证技术研究组成立于2005年。
2008年正式在香港注册，并更名为中国计算机法证技术研究会。

本研究会是专注于计算机法证领域研究的技术研究民间团体，宗旨是：推动中国计算机法证技术与国际接轨、融合及广泛交流，促进相关领域技术发展和知识普及。

中国计算机法证技术研究会坚持以非商业化的方式、从中立的角度致力于国内计算机法证相关领域的建设和完善，并为与计算机法证相关的专业人员、司法界人士以及技术爱好者提供学习和讨论的专业平台，推动国内计算机法证相关技术、方法、法律、法规和标准等方面的全面进步和发展。

中国计算机法证技术峰会是中国计算机法证技术研究会的主要活动之一，自2005年起创办至今，已成功举办了四届。该峰会是高层次、新视角的国际学术、技术交流年度盛会，旨在推动国内外计算机法证先进技术的发展，推广技术经验和促进计算机法证人员、司法界以及相关行业专业人士之间的相互交流。峰会围绕计算机法证的相关技术、法律法规、数据恢复、数据分析与处理、取证勘察等方面展开议题，取得了很大成功。参会人员除国内相关执法部门、司法界人士外，还吸纳了律师行、会计行、金融业、教育行业、咨询调查机构、IT信息安全人士以及更多国家和地区的专家学者，峰会已经逐步由国内的专业会议转变为国际性的会议。参加研习培训人员有机会学习到各种世界最先进的计算机法证软、硬件使用技巧，掌握更多的高水平实际应用技能，并与国际专业讲师进行直接地交流。峰会在一定程度上推动了国内外计算机法证先进技术的研究与发展。

研究会将对发展会员情况进行探讨，决定之后再行公布。敬请将来关注官方网站：http://www.china-forensic.com

数据恢复与数据法证恢复

2008-10-17T01:37:00.001-07:00

计算机法证和数据恢复，我们不去考究哪个领域更大，但这两项技术是密不可分的。数据恢复是一个发展非常快，需要非常大，技术性很强的产业。计算机法证技术不是每一个普通人都可以涉及到的，而数据恢复可能会涉及到每一个人。

近日有机会与国内计算机数据恢复产业的领头人“效率源”梁总进行了技术探讨，之后对中国数据恢复产业的发展非常欣喜。这个中国专业数据恢复机构所开发的产品，已经被几十个国家上千家数据恢复专业人士所使用，且声誉超过国外其他同类竞争产品。这效率源的产品，使国外数据恢复同行离不开中国技术，也将中国数据恢复技术的能力在世界上得到了展示。因此，我真心希望效率源技术更加成熟，规模进一步扩大，将中国的技术能力和信誉全方位地展示。

而中国的计算机法证技术和产品何时能够也在国际上脱颖而出？在探讨法证与数据恢复技术的同时，与梁总交换了一些想法。梁总提出的“效率源数据安全解决方案”也让我由衷欣喜。其跨平台、多系统、全方位、多功能、流程化的设计理念，将PC、MAC、Linux；单机、在线、网络；取证、分析、查看；硬盘、内存、闪存；破解、修复、恢复集于一体，仅用几个模块即可实现全部功能。听似大而空，过分追求全能，但实际简单易用，互相配合，环环相扣，合情合理。这与我所了解的国际发展趋势和需求完全相符，也是我希望看到的东西。无论是自主知识产权，或是融入其他产品的必要功能，但仅仅使用几个小小的模块，就可以解决计算机法证实践中所涉及的所有问题，终究是一大跨越。梁总称其为“效率源第五代数据解决方案”，可见其在法证恢复领域所作出了不懈的努力。

在邀请之下，效率源将在今年的计算机法证技术峰会中，对这个解决方案进行全面描述。各位爱好者届时将对此“第五代”解决方案有个全面的了解。

只读锁与写保护软件

2008-10-08T18:19:00.000-07:00

在民事和刑事调查中，读取或分析硬盘或其他移动存储中的数据时，保留原始文件内容和时间戳是非常关键的，这也是保持证据原始性的一个要求。但很多人没有意识到，将硬盘或移动存储设备连接到计算机上使用时，会造成硬盘中的数据更改。因此要保证证据的原始性，必须要使用写保护设备。

律师行、调查公司或其他电子证据服务机构，应该和专业计算机法证机构一样，更应该注意这一点。大家都知道，读取刻录在光盘中的证据数据时不会发生数据更改的情况。但是，应该注意的是，在将证据文件刻录到光盘的时候，却会改变原始证据文件的时间戳。

现在市场上有很多硬件设备可以实现硬件写保护功能。更有一些新开发出的软件的软件写保护方案能够提供更有效、更易用、更快速的解决方法。

如果需要使用硬件写保护设备，目前市场上有：Tableau 、WeibeTech、ICS Drive Lock、Disk Jockey PRO Forensic Edition 等。

软件写保护工具，可以选用 Safe Block XP。

当选购硬件写保护设备时，你可能会发现你不得不考虑到各种存储介质，比如不同类型的硬盘接口，USB闪存（优盘）、闪存卡、火线硬盘等等。这些加在一起需要上万元了。

相比起来，我认为选用软件写保护方法，如 Safe Block XP ，可能会更加理想。Safe Block XP这种软件方式价格相比便宜很多，可以运行于 Windows XP 中，允许用户对各种存储介质添加只读保护。此外，Safe Block XP 可以明显增强数据拷贝、镜像和哈希校验的速度。

软件方式可以使用计算机本身的各种接口，而硬件写保护设备目前主要局限于USB和火线接口。

有关 iPhone 手机取证工具的资料

2008-10-05T18:44:00.000-07:00

十一假期，看到两篇关于iPhone的资料。iPhone是目前比较新的手机，受到了国内外用户的普遍喜爱。相信这个题目大家都会感兴趣的。

第一篇是MobilEdit Forensics的，目前MOBILedit!已经可以支持第一代的iPhone了。在他们的论坛中有一篇关于“关于如果连接Apple iPhone”的文章。大家可以参考一下。

在连接iPhone之前，请检查是否已经在计算机中安装了Apple iTunes软件。最新版本的软件可以从http://www.apple.com/itunes/ 下载。
连接好iPhone和PC的连接线后，运行MOBILedit!，选择"File" 菜单中"Settings..." ，选择"Ports" 页中的"iPhone device" 项。点击"OK" 键开始设备检测。
目前软件仅支持第一代iPhone。COMPELSON公司在对第一代iPhone增加更多功能支持的同时，也将进一步开发对更新型号的iPhone手机的支持

第二篇，是从MacLockPick II的软件介绍中看到的。刚刚于10月1日正式发布的MacLockPick II增加了很多的功能，不仅增加了对Windows的支持，还支持对 Apple iPhone的信息收集。在对iPhone的支持方面，MacLockPick II目前可以收集存储于Apple iPhone手机和其他使用Apple Mobile Sync 软件的Windows或Mac OS X 操作系统计算机中数据信息，目前可以获取的信息包括：

1、拨出电话、已结来电记录，包括电话号码、通话时长，日期、时间。
2、发送和接收的短信息，包括电话号码，短信内容和具体时间。
3、IMEI 码- 移动通信国际识别码（通常打印在手机电池下面的机身上）
4、TMSI 码- 临时移动用户识别号，
5、IMSI 码- 国际移动用户识别码，保存于 SIM 卡中。
6、国际漫游状态 - 手机是否当前设定为漫游状态
7、偏爱号码 - 快速拨号，包含姓名和号码
8、Safari State Documents - 浏览器当前打开的页面
9、Safari History - 浏览器访问过的页面
10、Safari Bookmarks - 所有标记的页面
11、记事本记录
12、通讯簿
13、邮件账户

从上述两个最新的法证工具来看，国外各个专业公司对iPhone都非常重视。但从上面两个公司来比较，相信MacLockPick II会更胜一筹。作者Marko与苹果公司有很好的关系，去年起就在关注iPhone的研究。特别是MaclockPick可以从运行的Windows和MacOS计算机中调取iPhone的同步记录，就算iPhone不在也没关系。

多平台将是计算机法证工具的发展趋势

2008-09-23T05:12:00.001-07:00

从近年来国际市场上出现的多种工具，可以很有意思的发现，能够同时针对Windows, MacOS, Linux三个平台的取证、分析工具种类越来越多。这是不是标志着，多平台是计算机法证工具的流行趋势呢？

我们先来看看MacForensicsLab。美国SubRosasoft公司推出的MacForensicsLab最早只能在MacOS环境下使用，但不到一年，Marko就推出了Windows和Linux版本。“一个跨平台的工具，您唯一的工具”，就是他们提出来的。先不说MacForensicsLab在功能上与其他取证分析工具有何差距，仅凭跨平台一点，就可以说他们领先一步。

接下来，我们看看F-Response。这不是一个取证工具，但却是一个可以配合任何取证工具，并扩展各种取证工具网络取证功能的一个软件。上周，F-Response推出了Linux版本，可以配合Smart实现对使用Linux操作系统开机运行状态下的计算机硬盘完整获取。至此，它实现了对开机运行着Windows, MacOS 和Linux三种操作系统计算机的全面取证。有了这样一个工具，调查员已经没有什么可以担心的了。

那么Linux环境下使用什么分析工具呢？Smart for Linux，新一代的计算机法证工具。作者是开发了Expert Witness的Andrew Rosen, Encase 之父。从他的代表作品，您就完全可以想象出Smart是什么样的工具。除了Linux版本，Andrew也推出了Windows下的相应版本。目前只差MacOS版本了。

再看看取证工具。ForensicsMatter的Peter Mercer开发了一套光盘启动工具，简称OSI。这个工具主要适用于关机状态的计算机实施镜像获取。对于使用Windows、Linux系统，甚至Intel架构的MacBook都非常容易，但对于PPC架构的苹果机，光盘启动就不是那么容易了。Peter的工具中同时包含了2张光盘，您用完全一样的操作方法，就可以实现对不同类型计算机的数据获取，而且兼容性非常好。这也是多平台数据获取的一个杰出代表了。

通过上面的简单说明，我们可以看到应用在多平台之上的取证分析工具，以及可以适应多平台取证需求的工具越来越多，这给计算机法证人员带来了很大的便利。世界在不断进步，计算机技术在不断进步，计算机法证工具也在不断进步。计算机犯罪有可能是各种各样的情况，而打击高科技犯罪更需要各种各样的利剑。

SmartMount 将是一个最好的镜像加载工具

2008-09-23T03:58:00.000-07:00

Encase 之父，Andraw Rosen 推出的Smart软件非常优秀。最近，他又开发了一个镜像加载工具SmartMount。

这个工具对各种镜像文件的支持种类很多，包括DD镜像、Encase/Expert Wittness 的E01格式镜像，VMWare Disk 的vmdk镜像，苹果的dmg镜像，Smart for Linux格式镜像。同 WinVDK 或 Mount Image Pro比较，效果非常理想，加载速度很快。当SmartMount软件正式版推出后，相信它将使市场上最全面的一个镜像加载工具。

希望试用的朋友，可以从http://www.asrdata.com/SmartMount/下载试用版。

国外电子证据及计算机法证技术发展近况

2008-09-22T21:34:00.000-07:00

国外电子证据及计算机法证技术发展近况
Sprite

国外在电子证据方面的发展状况究竟如何呢？我们可以通过国外民间机构在计算机法证方面的研究了解到一些情况。

目前，对于电子数据的研究，主要有几个不同术语：E-Discovery和Computer Forensics、Digital Forensics、Cyber Forensics，这些不同的术语，可以看出电子数据主要涉及重要数据的发现、分析、证明和揭示几个环节。

在国际各国，电子证据的主要应用单位是军队、警察、海关、反贪、金融、税务、律师、保险等部门。这些部门虽然是最主要的应用部门，但是由于各个行业涉及到计算机、局域网、互联网的高科技犯罪、商业欺诈、白领犯罪等行为越来越多，因此越来越多的咨询顾问公司、商业调查机构、会计师行、私人调查公司开始从事电子证据服务。下面，从几个方面来看国外计算机法证和电子证据研究的状况。

1．与电子证据相关的硬件产品发展速度减慢
美国、英国，是开展电子证据研究最早的国家，国际目前广泛应用的计算机法证硬件产品约有80%产自美国、英国。近3-5年间，是国际电子证据研究硬件产品发展最为鼎盛的时期，从各种硬盘复制机速度从1.8GB到3GB不断攀升，写保护接口从单一的IDE硬盘接口，到SCSI、SATA、USB、火线种类层出不穷，PC、MAC、Linux平台下的取证设备越来越多。取证分析计算机各式各样，出现了皮箱型、工控型，服务器型等。这些产品的大量出现，对国际计算机法证技术的发展起到了极大的推动作用。但自2006年开始，国际各国计算机法证相关硬件产品发展速度渐缓，除简单的升级换代之外，没有什么更有创意的新产品出现。

2．法证分析软件层出不穷
与硬件发展缓慢相对应，国际电子证据分析软件产品却如雨后春笋一般，涌现了很多优秀的产品。老牌法证工具的代表是Encase和FTK，这两个软件已经发展了若干年，基本成了计算机法证的代名词。美国Guidance公司的Encase软件这两年发展劲头不错，从4.0、5.0到6.0版，差不多每年推出一个版本。相比之下，美国AccessData公司的FTK的进展可就相对慢了许多。FTK 2.0版各国用户苦苦等了快2年，终于问世了。这个庞大的系统对计算机的要求也实在有些高。

最近1年来，国际上最有发展潜质的要算得上是德国X-ways公司的X-ways Forensics和澳大利亚Nuix公司的fbi Forensic Desktop了。从欧洲、美国、澳大利亚这些计算机法证技术的一流国家来说，这两个软件的出现可以说明显推动了冷清的市场。国内用户可能很多人都知道Winhex这个数据恢复和十六进制编辑器。由于电子证据研究离不开二进制、十六进制，也离不开数据恢复，因此Winhex的作者Stefan将这个产品进一步开发成计算机法证工具。由于其强大的数据恢复功能、灵活的数据编辑能力，快速的升级服务，X-ways Forensics立刻在世界各地受到热烈欢迎。

而fbi Forensic Desktop更是一个不可多得的数据分析工具，它将关注点放在各行业最为重要、最为复杂的电子邮件及办公文档的分析处理上，不仅能够直接搜索、察看电子邮件和附件内容，更可以通过图形方式展示不同用户之间的信件联络关系，加上其出色的多语言支持能力，fbi已经成为名副其实的法证工具。

3．计算机法证领域逐步拓宽
从多年来主要关注的PC、互联网、局域网，到今天的MAC、数码相机、手机和iPod，电子证据的研究领域已经越来越广泛。2007年开始，世界计算机法证界最热的大概就是三个话题：手机和MAC和Vista。

当今社会，计算机虽然已经非常普及，但也只能平均几个人才能拥有一台，但手机的拥有量和更新换代速度却令人叹为观止，一个普通人的一生中可能会拥有10余部甚至几十部手机。如此大的拥有量、如此快的更新速度和其中可能发现的各种电子证据，让世界各国个行业不得不必须全力应对。值得一提的是中国上海盘石公司、厦门美亚柏科、韩国FinalData公司，都针对亚洲地区手机型号开展研究，这些研究成果不在欧美国家之下。韩国FinalData公司开发的FinalMobileForensics一上市，就得到美国联邦调查局等机构的关注，经测试，得到的相关部门的认可。目前，该软件在美国、日本、韩国开始销售。

Windows Vista作为世界软件巨头Microsoft推出的换代操作系统，令世界瞩目。虽然这种轰动不像当初从Dos过渡到Windows 3.0时那样巨大，但由于Vista系统可能会对电子证据产生的影响，使法证界专家不敢掉以轻心。目前各国专家都在对Vista系统的取证分析开展研究。

Mac作为另类时尚一直只是少数人的热爱，但自推出双核、双系统概念之后，大量Windows用户也加入到Mac的阵营。几年前，各国计算机法证专家还在发愁如何有效分析Mac数据，但今年，作为Mac数据分析技术的领跑者，美国SubrosaSoft公司将具有数据恢复、获取和分析工能的MacForensicsLab推到的国际舞台。与此同时，可以同时搭载Mac、PC数据分析软件的Macbook和Mac Pro，更成为今年计算机法证领域创新和高性能的代表。

Linux下的Smart近一年发展迅速。该软件的作者Andrew Rosen是国际计算机法证领域的知名专家，他开发了第一个计算机法证工具Expert Witness，后来演变为今天国际公认的计算机法证著名软件EnCase。有人也称Andrew为Encase之父。他开发的Smart，的确有其独到之处。国际上有句说法：“Smart people don't use Encase”。一语双关。使用Smart的人，也都是“聪明的人”

世界各国电子证据技术研究和发展，带动了中国计算机法证技术的发展。中国电子证据法规和行业的发展，也吸引着世界各国的眼球。目前在亚太地区，中国香港、中国台湾、韩国、日本、新加坡等地区，计算机法证技术发展非常迅速。特别是在中国香港，HTCIA高科技犯罪调查协会亚太区分会、ACFE国际反欺诈调查官协会香港分会、ISFS资讯保安及鉴证公会香港分会等民间机构，有效推动了该地区的计算机法证技术的发展。

而国内，作为唯一一个计算机法证民间团队，中国计算机法证技术研究会联络了香港地区各专业协会及国际计算机法证技术主要国家的知名公司、专家、学者，为推动计算机法证技术的国际交流起到了桥梁和纽带作用。随着“中国计算机法证机术峰会”的逐步成熟和“HTCIA国际高科技犯罪调查协会培训年会”的引入，相信国内专业人士将能够更全面地了解国际计算机法证技术的发展，从而有效提高执法部门、民间服务机构打击高科技犯罪、白领犯罪、商业欺诈的能力。

一个改变传统的取证工具

2008-09-22T20:33:00.000-07:00

最近结识了F-Response的作者Matthew Shannon，并与几个组员一起测试了F-Response这个软件后，发现Matthew先生研制的这款新工具的确有独到之处。看了几名国外著名专家的博客，都对这个软件有高度的评价。

简单来说，这个软件是一个在线取证工具的一个突破，他让过去遥不可及的Encase Enterprise企业版（还对中国禁销，没道理）具备的功能，成为了任何一个法证工具软件都可以实现的功能。而且实现的价格还极为低廉。

现在，X-Ways Forensics已经与F-response结合了，Smart也与F-response结合了，连苹果机下，都可以与MacForensicsLab结合。这样一来，面对Windows, MacOS, Linux三种操作系统，只要具有F-Response单机版，都可以成功实现在线取证。

说到在线取证，还要说说F-Response与目前常见的在线取证工具的区别。

所谓在线取证，就是在计算机处于开机状态下的取证方法。一般这种状态下，为了保证证据的完整性，应该尽量避免去运行额外的程序，以免使操作系统下注册表、内存、临时文件中的数据发生更改。但近年来，由于在线取证日趋重要，很多时候无法向早年国外专家所讲的一样，拔掉计算机电源，然后实施硬盘完整镜像。一旦关机往往会失去很多重要的内存数据、加密分区数据。因此，现在很多人都在重点研究在线取证工具。

目前常见的在线取证工具，都是在嫌疑人的计算机中直接运行取证软件，并自动获取内存、注册表中的数据。同时也可以通过取证软件，实现对硬盘的完整镜像。但此种方法缺点在于可能造成内存中、硬盘中过多的信息被覆盖，影响取证效果。通过，在运行的系统下获取镜像，将有可能造成系统死机，破坏证据的完整性。

F-Response 的方式，是通过网络连接两台计算机或局域网内的更多计算机，将任意一台计算机的硬盘或其他存储介质，以物理磁盘的方式显示到调查员计算机中，在调查员计算机中直接运行任意分析工具或镜像工具，实现对嫌疑硬盘数据的完整获取。这种方法是最为理想的，而且仅在嫌疑计算机中占用极少的内存，不会造成死机等问题。

F-Response绝对将是2009年中国计算机法证领域中的一个亮点。大家可以访问http://www.f-response.com/ 去了解更多的情况。