三级电子物证实验室建设方案书

电子数据取证鉴定实验室 建设项目方案书 版本 2 0 2012 年 03 月 盘石软件 上海 有限公司 U 2012页码 i O版本 rz日期 作者 3N 目目 录录 第 1 章 技术和工作基础 6 1 1 公司介绍 6 1 2 盘石公司产品介绍 6 1 2 1 盘石现场计算机取证系统 SafeImager 6 1 2 1 1 离线取证 7 1 2 1 2 在线取证 8 1 2 1 3 产品特性 9 1 2 1 4 SafeImager 增强型 10 1 2 2 盘石手机取证分析系统 SafeMobile 11 1 2 3 盘石介质取证分析系统 SafeAnalyzer 13 1 2 4 盘石易载镜像助手 SafeMount 22 1 2 5 盘石计算机仿真取证系统 SafeVM 25 1 2 6 盘石可视化数据分析平台 IDVP 27 1 2 7 盘石实验室管理系统 LIMS 31 1 2 8 盘石计算机现场取证勘察箱 SafeSuite 33 1 2 9 盘石计算机取证分析平台 SafeForensicPlatform 35 1 3 取证专业培训 35 第 2 章 实验室技术规格和要求 37 U 2012页码 ii O版本 rz日期 作者 3N 2 1 公安部对鉴定试验室的能力要求 37 2 2 实验室装备功能要求 39 2 3 实验室的区域设置 40 2 4 实验室的管理 41 2 4 1 实验室域管理环境 41 2 4 2 流程管理 42 2 4 3 安防设备 42 第 3 章 实验室设备配置规格说明 43 3 1 数据的固定设备 43 3 1 1 证据数据完整性的保护 43 3 1 1 1 盘石只读接口套件 43 3 1 1 2 Solo III 高速多功能复制机套件 46 3 1 1 3 盘石 1to 2 光盘复制机 48 3 1 1 4 数据完整性校验值计算软件 49 3 1 2 证据数据原始性的保护 49 3 1 2 1 摄像机 49 3 1 2 2 照相机 49 3 1 2 3 屏幕录像软件 49 3 2 本地数字化设备非运行状态下的数据提取 50 3 2 1 独立存储介质的数据提取 50 U 2012页码 iii O版本 rz日期 作者 3N 3 2 2 镜像文件加载软件 50 3 3 不可独立访问存储介质的数据提取 50 3 3 1 Safemobile 手机取证系统介绍 50 3 3 2 磁存储介质物理数据提取 51 3 3 2 1 SafeDisk 硬盘检测 解密和固件恢复系统 51 3 3 2 2 无尘工作环境 51 3 3 3 光存储介质物理数据提取 53 3 3 3 1 光盘修复机 清洗机 软件 53 3 4 本地数字化设备运行状态下的数据提取 54 3 4 1 运行状态下数字化设备上的数据提取 54 3 4 1 1 盘石仿真取证系统 SafeVM 54 3 4 1 2 Rainbow LmHash 54 3 4 1 3 盘石现场取证系统 SafeImager 54 3 4 2 运行状态下数字化设备网络通信数据的提取 54 3 4 2 1 wireshark 54 3 5 远程数字化设备的数据提取 55 3 5 1 远程数字化设备存储处理的数据提取 55 3 5 2 远程数字化设备运行状态数据提取 55 3 6 数据的发现 56 3 6 1 盘石介质取证分析软件 SA 56 3 6 2 R Studio 介绍 56 U 2012页码 iv O版本 rz日期 作者 3N 3 7 数据的解密与解码 58 3 7 1 加密数据的解密 Elcomsoft 密码破解套件 58 3 7 2 结构化数据的解码 59 3 8 数据的分析 59 3 9 程序功能的黑盒分析 60 3 9 1 程序功能的静态分析 IDA PRO 专业版 反编译 60 3 9 2 有害程序搜索软件 61 3 10 实验室环境条件 61 3 10 1 基础环境和设备条件 61 3 10 2 数据发现提取固定基础条件 61 3 10 2 1 证据数据存储设备 61 3 10 2 2 物证存储柜 62 3 10 2 3 本地数字化设备检验专用主机 取证分析工作站 SFP 101 63 3 10 2 4 远程数字化设备检验专用主机 64 3 10 2 5 物证封存袋 封存条 64 3 10 3 程序功能检验基础条件 64 3 10 4 实验室管理条件 64 3 11 实验室附属设施 64 第 4 章 实验室建设项目工程实施 65 4 1 项目实施概况 65 U 2012页码 v O版本 rz日期 作者 3N 4 2 项目实施甘特图 65 第 5 章 技术培训和支持 66 5 1 技术培训 66 5 2 技术支持 66 5 2 1 保证期内服务计划 66 5 2 2 保证期后服务计划 67 修订记录 版本时间作者备注 2 12009 6 26 盘石数码2 0 版本上修改了文档风格和格式 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 6 页 共 6869 页 电话 021 传真 021 第 1 章 技术和工作基础 1 1 公司介绍 盘石软件 前身 上海盘石数码信息技术有限公司 成立 于 2002 年 专业从事网络安全和计算机取证产品的研发和服务 2004 年 4 月 随着专业取证技术的发展 计算机取证产品的研 发和服务即成为公司的主要发展方向 盘石公司的取证技术人 员曾多次参与针对公安技术人员的全国性的培训讲解 和公安 信息网络安全保卫部门建立了良好的沟通关系 提供专业的取 证产品和技术服务 在一些新的技术领域和案件上提出自己的见解并参与到实际工作 中 在计算机取证研发和实践过程中 盘石公司对国内外电子证据鉴定实验室的建设 也十分关注 参照国外实验室的框架我们为公安部 上海 广州 湖北 安徽 浙江 等地的实验室提供了建设方案 并参与公安部十一局 湖北省公安厅 安徽省公安厅 上海市公安局等各地电子证据鉴定实验室的建设和装备提供 盘石软件的企业文化 企业愿景 企业愿景 成为具有世界水平的电子取证技术专业公司 企业目标 企业目标 高度专注于电子取证领域的软件开发与技术服务 核心价值观 核心价值观 为社会 客户 员工创造共同价值 企业口号 企业口号 发展安全 专注取证 坚如磐石 质量方针 质量方针 持续创新 技术领先 品质卓越 专业服务 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 7 页 共 6869 页 电话 021 传真 021 1 2 盘石公司产品介绍 1 2 1 1 2 1 盘石现场计算机取证系统 SafeImager 盘石计算机现场取证系统 SafeImager 由 可以启动的光盘 U 盘 外接的数据存储设备构成 使用 SafeImager 光盘 U 盘启动对象计算机或者 在对象计算机上直接运行 SafeImager 应用程序 可以快速有效地获取对象计算机上的数据 保存 到外接的数据存储设备中 SafeImager 获取的数据可以在各类数据分析 软件 例如 SafeAnalyzer MedAnalyzer Encase FTK Smart 等 中使用 并可 以在获取数据的过程中计算数据的摘要 作为数据完整性和有效性的证明 SafeImager 由两个功能模块组成 离线取证 Offline 和在线取证 Online 1 2 1 1 1 2 1 1 离线取证 使用 SafeImager 光盘 U 盘启动对 象计算机 获取对象计算机数据 在不改 变对象计算机数据的前提下 SafeImager 提供简洁易用的的操作界面 确保硬盘复制位对位的准确率 保证对象 计算机的硬盘数据没有任何的改变 提供 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 8 页 共 6869 页 电话 021 传真 021 现场快速获取和介质分析的功能 SafeImager 支持 Unix Linux BSD Windows 等 多种操作系统 具有轻便 适合现场应用的特性 离线取证的主要功能如下 实现对象计算机的硬盘数据镜像 生成复制盘 同时生成数字摘要 复制盘和原始 盘具有完全一致的数据 对复制盘的数据分析 具有和对原始盘数据分析同样的效 果 通过启动复制盘 模拟对象计算机本地环境 实现对象计算机的硬盘和分区数据镜像 生成 DD 格式 AFF 格式的镜像文件 同 时生成数字摘要 DD 格式的镜像文件具有和硬盘一样的结构 是对硬盘数据的 按位复制 保证数据一致性 是目前法律上认可的数据镜像格式 AFF 是高级取证 格式 用来保存磁盘镜像信息和相关取证信息的可扩展的开放格式 使用 DD 格式 AFF 格式的镜像文件 可以在各种取证系统中 SafeAnalyzer Encase FTK 等 直 接加载和分析 实现对象计算机中的硬盘和分区进行数字摘要计算 文件的数字摘要类似于人的指 纹 只有内容完全相同的文件具有相同的数字摘要 便于验证 实现对象计算机中的特定目录或者文件 进行复制 可以选择需要复制的 SafeImager 在复制的同时可以生成每 一个文件的数字摘要 对取证硬盘进行擦除操作 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 9 页 共 6869 页 电话 021 传真 021 1 2 1 2 1 2 1 2 在线取证 在目标系统运行的情况下 对目标系统内部的易失数据如内存信息 临时文件等 进行取证 同时由于现场的复杂性 有可能无法对目标系统进行离线取证 可以通过 在线取证系统进行取证 由于在线取证软件需要运行在目标系统的操作环境 所以可 能会对证据有效性有所影响 须要配合拍照 摄像等手段保持证据力 在线取证目前 支持 Windows 2000 XP 2003 平台 在线取证的主要功能如下 导出系统信息 导出运行系统内存中的 47 类易失信息 分为 3 个大类 操作系统信息 密码信息 和上网记录 内存信息复制 对对象计算机物理内存进行数据镜像 生成 DD 格式或者 AFF 格式的数据镜像文 件 在线硬盘复制 不关机情况下对对象计算机的硬盘进行数据镜像 可以硬盘克隆 生成 DD 镜像 文件和 AFF 镜像文件 在复制的同时可以生成数字摘要 在线分区复制 不关机情况下对对象计算机的分区进行数据镜像 可以生成 DD 镜像文件和 AFF 镜像文件 支持各种虚拟分区软件 如 PrivateDisk 创建的虚拟分区的获取 在复制 的同时可以生成数字摘要 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 10 页 共 6869 页 电话 021 传真 021 1 2 1 3 1 2 1 3 产品特性 不拆机箱的数据获取 光盘启动 程序直接运行 在不拆机箱的情况下对 证据计算机的证据硬盘 进行数据获取 可以获取包括整个硬盘 分区 目录和文件等各个级别的 数据 在线获取支持获取系统运行信息 内存和常见应用程序密码 支持基于 IA32 架构的笔记本 PC 和服务器 支持 IDE SATA SCSI RAID 等各种硬盘和数据架构 支持 Dos Windows 文件系统 包括 FAT FAT32 NTFS 支持常见的其它文件系统 包括 EXT2 3 UFS XFS HFS JFS MINIX HPFS 等 使用 USB 2 0 1394A 1394B 接口 数据获取速率最高可以达到 2 5GB 分钟 获取的数据可以使用 SafeAnalyzer Linux WinHEX Encase FinalData FTK 等各种取证 工具进行分析 规范化操作 现在的所有操作进行日志记录 对证据数据进行完整性保护 不破坏现场数据 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 11 页 共 6869 页 电话 021 传真 021 在数据复制的同时生成 MD5 哈希 便于事后校验 简单易用 所有操作采用图形化的向导界面 操作过程动态显示 获取过程一目了然 提供快速操作 简化现场工作 1 2 1 4 1 2 1 4 SafeImager 增强型 考虑到关机时采用复制机会有效地提高现场数据获取的速度 我们提供了增强型 的计算机现场取证系统 内置便携式高速硬盘复制机 复制机支持 IDE SATA 2 5 寸硬盘的直接复制 且可以将 IDE SATA 硬盘接口做为只读接口使用 复制速度最高 达到 4 5G 分钟 1 2 2 1 2 2 盘石手机取证分析系统 SafeMobile 针对手机的取证和传统的数据取证有很大不同 手机数据一般都保存为私有格式 不同厂商 型号和 系统都会有所不同 盘石 SafeMobile 手机取证分析 系统采用统一的界面获取各种品牌手机中用户输入的 数据和部分设备的未分配存储区域 并进行取证分析 该产品得到科技部 2007 年度火炬基金支持 并通过 认证 SafeMobile 系统特性 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 12 页 共 6869 页 电话 021 传真 021 支持 GSM CDMA 手机 包括 摩托罗拉 诺基亚 西门子 三星 索爱 联想 夏新 飞利浦 天语 多普达 联想 步步高 七喜 UT 斯达康 OPPO 海尔 波导 TCL 酷派 OKWAP 港利通 天语 海信 明基 长虹 友利通 GT 佳通 CECT 技嘉 天珑 爱肯 ZTC 中天 大显 亿 通 创维 普莱达 奥丁 天时达 万利达 华立 唯科 侨兴 纽曼 桑达 康佳 恒基伟业 华禹 倚天 金鹏 德赛 万事通 新邮通 宏康 盛泰 明腾 IDO TSD 埃立特 普天 振华欧比 互通 高新奇 魅族 南极星 汉泰 福日 汇讯 三巨网 东信 首信 金立 唯奥 广信 邦华 晨兴 高科 宝捷讯 众一 嘉源 国信 金正 HKC 百迪宝 兆讯达 骏域 深爱 权智 高斯贝尔 赛洛特 亿城 友信达 中恒 联创 新中桥 科诺 知己 雅讯达 天元 宝码 乐华 中讯天创 奥克斯 VOSIA 奥翔 都宝 FIC 大众 绿力 中宝 屹东 摩西 琦基 艾美讯 OQO 爱国者 特灵 通 赛昂星 齐乐 盛隆 吉事达 爱我 奥乐 科健 厦华 熊猫 南方高 科 大唐 托普 迪比特 浪潮 中桥 数源 紫光 UNIS NEO 奥盛 Beluga 科盛通信等多个品牌 2000 多款手机 型号还在不断增加中 支持中国市场使用的所有 SIM 卡 如全球通 M ZONE 神州行 世界风 Up 新势力 如意通 Uni 宝视通 各种 CDMA SIM 卡 国产手机的支持 MTK 平台 展讯平台 对智能手机的支持 Linux 平台 Windows CE 手机 SIM 卡电话本 通话记录 短信 设备信息和文件的获取 支持对手机 SIM 卡删除短信的恢复 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 13 页 共 6869 页 电话 021 传真 021 MTK 平台物理获取 主要针对手机里的存储器 通过硬件工具对手机字库进行备份 根据特征 搜索镜像 获取用户数据信息 包括删除记录 手机连接方式支持 数据线 红外 蓝牙 提供灵活多样的搜索方法 支持多编码格式同 时搜索 书签功能灵活强大 能更好的帮助分析数据 即时提供的报表预览功能 一次性生成可打印报表 降低取证分析人员的劳动 强度 文件预览功能可查看十六进制数据 方便高级取证分析人员进一步分析所得数 据 支持设备校验 防止在文件移动过程中发生意外 工作平台为 Win2000 及其后续版本 1 2 3 1 2 3 盘石介质取证分析系统 SafeAnalyzer SafeAnalyzer 为执法部门提供全面 彻底的计算机数据分析 检查能力 具有强 大的数据恢复 过滤 分析 查找和报告功能 并提供简单易用的操作界面 是当前 电子数据取证分析的首选工具 目前产品的已经达到国际先进水平 符合司法取证的 需求 该产品是 ENCASE FTK Winhex 等分析软件的全中文替代品 更加符合中国用 户的使用习惯 在部分功能效率上超越了国外产品 获取镜像生成 MD5 哈希校验值 并可随时校验 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 14 页 共 6869 页 电话 021 传真 021 导出文件可以同时计算文件的 MD5 哈希 分析过程有详细的审计日志 便于案件的审查复核工作 关键特性包括 支持计算机存储介质直接分析 及支持 DD AFF Encase 格式镜像文件的分析 对其进行只读访问 不破坏原始数据 支持 MBR GPT Vista 分区方式 可以直接运行在 Vista 中 自动进行系统分析 包括系统安装时间 操作系统版本 用户信息 网络配置信息 安装的程序 最后运行时间等 并可以选择性地纳入案件报告 灵活的时区支持及管理 允许勘查人员为每一个证据文件 每一个卷或每一个案件 指定时区设置 解决了所分析的介质使用的时区设置与调查人员所用时区设置不同 的情况 支持图库预览功能 提供文本 十六进制 缩略图 预览等文件查看方式 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 15 页 共 6869 页 电话 021 传真 021 自动编码识别 支持文档文件的编码自动识别 十六进制解析 类似 WinHex 文件过滤 系统缺省和自定义的过滤功能 并支持多重过滤 时间线分析 通过设置时间区域 建立该区段修改 访问 创建的文件时间线 方 便定位案件相关文件 删除恢复 文件系统中删除恢复 特征恢复 可恢复高级格式化磁盘内的文件 可判断出交叉覆盖文件 具有高性能的关键字搜索功能 支持多关键字同时搜索而不明显降低效率 支持搜 索前过滤 提高搜索效率 关键词查找 各种编码格式的关键词查找 支持正则表达式可忽略大小写 关键字 支持 GB2312 UTF7 UTF8 Unicode Unicode big endian Base64 Big5 编码 基本信息 方便取证人员对操作系统环境有个整体上的认识 能够提取的的信息包 括 操作系统信息 时区信息 网络配置 安装软件 服务列表 共享信息 用户 信息 USB 设备使用记录 硬件信息等 注册表分析 察看 Windows 的注册表文件 可根据系统缺省和自定义的注册表项 目 快速定位浏览 Web 分析 查看目标机器的浏览器历史 缓存记录 Cookie 信息和收藏夹等 支 持被清除历史 缓存记录 的预览和获取功能 支持 IE Firefox Opera Chrome 浏 览器 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 16 页 共 6869 页 电话 021 传真 021 邮件分析 查看对象计算机客户端邮件 包括收件箱 发件箱 已发送邮件 草稿 箱 废件箱等 支持的邮件客户端有 foxmail outlook outlook express 还 支持对 web 邮箱的分析获取 目前支持的 web 邮箱有 Tom 126 163 QQ Yahoo Sina 等 即时通讯分析 提供快速提取 QQ MSN Skype 淘宝旺旺 雅虎通 飞信 ICQ 聊天记录 好友列表以及语音记录 并包括删除 QQ 好友号 回收站分析 解析放入回收站的数据信息 及从回收站删除的数据信息 事件日志分析 快速提取分析对象计算机事件日志 打印缓存 搜寻系统中存在的具体 SPL 和 SHD 文件 取出相关信息和 EMF 文件 还可搜寻未分配簇取出未被覆盖的 EMF 文件 下载软件 针对 FTP 下载工具和 P2P 下载工具进行分析 主要是获取下载的任务 队列以及站点用户的信息 支持 FlashFXP CuteFTP LeapFTP 电驴 比特彗 星 超级旋风 快车 Vagaa 等 复合文件分析 可以查看内含有其它文件的多层组成的文件 能够在层级查看那些 文件 校验文件特征 用以校验出目标文件属性是否更改 报告生成 根据用户添加的书签和备注信息 生成案件报告 全中文界面 系统简单易用 主要特性详列 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 17 页 共 6869 页 电话 021 传真 021 事件日志 日志文件中的记录可提供以下用途 监控系统资源 审计用户行为 对可 疑行为进行告警 确定入侵行为的范围 为恢复系统提供帮助 生成调查报告 为打 击计算机犯罪提供证据来源 提供了快速分析事件日志 提高取证分析的效率 邮件分析 类似客户端方式进行查看邮箱中的内容 包括收件箱 发件箱 已发送 垃圾邮件 以及联系人等 目前支持的客户端有 foxmail outlook outlook Exproler 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 18 页 共 6869 页 电话 021 传真 021 即时通讯 对不同的信息存储格式进行解析 提供快速提取 QQ MSN Skype 淘 宝旺旺 雅虎通 飞信 ICQ 聊天记录 好友列表以及语音记录 并包括删除 QQ 好 友号的恢复 下载软件 针对 FTP 下载和 P2P 下载工具进行分析 主要是获取下载的任务队列以及 站点用户的信息 支持 FlashFXP CuteFTP LeapFTP 电驴 比特彗星 超级旋风 快车等 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 19 页 共 6869 页 电话 021 传真 021 打印缓存 搜寻系统中存在的具体 SPL 和 SHD 文件 取出相关信息和 EMF 文件 还 可搜寻未分配簇取出未被覆盖的 EMF 文件 基本信息 能够提取的的信息包括 操作系统信息 时区信息 网络配置 安装软件 服务列表 共享信息 用户信息 USB 设备使用记录 硬件信息等 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 20 页 共 6869 页 电话 021 传真 021 回收站分析 对回收站 INFO INFO2 文件直接分析 并解析回收站中曾经删除过的文件信息 图库预览 案件中的图片文件在图库中以图片的形式呈现 直观而富有效率 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 21 页 共 6869 页 电话 021 传真 021 定义关键词 关键词是全局配置 对关键词作的改动会在 退出时自动保存 下次运 行时自动加载到系统中来 进行搜索时将根据预先定义的关键词进行搜索 注册表 注册表面板的树有两个根节点 注册表 和 分析结果 注册表 节点下 是这次分析的所有注册表文件 而 分析结果 是根据一个配置文件从 注册表 节 点下提取出来的感兴趣的数据 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 22 页 共 6869 页 电话 021 传真 021 数据挖掘 挖掘存储介质中形成大量碎片的文件 快速捕捉 提取对案件有价值的证 据文件 搜索 搜索的结果存放在 命中结果 面板中 面板的树节点为本案件所有参与搜索的 关键词 单击关键词会在列表中列出其在历次搜索中命中的条目 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 23 页 共 6869 页 电话 021 传真 021 上网日志 分析 Microsoft Internet Explorer 浏览器 4 0 以上版本的上网行为 包括 历史 缓存 cookie 收藏夹 并能从磁盘的未分配空间中找出被清除的历史和缓存 记录 1 2 4 1 2 4 盘石易载镜像助手 SafeMount SafeMount 盘石易载镜像助手是一个强大的虚拟 化工具 提供一种直观和易用的方式访问各种格式的 数字镜像文件 它将各种数字镜像格式文件 包括 DD Encase AFF 等 和 VMDK 虚拟磁盘文件模 拟成 Windows 系统的磁盘或者逻辑分区 调查人员 不需要借助任何取证分析软件来提取镜像文件内的数 字信息 只要使用常规的应用软件比如防病毒软件 媒体播放软件 图形图像软件 压缩解压软件等来直接访问虚拟磁盘或者虚拟分区内 的文件 所有访问操作都不会对原始镜像文件有任何修改 SafeMount 是取证调查人 员的有力辅助工具 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 24 页 共 6869 页 电话 021 传真 021 SafeMount 技术特点 虚拟设备驱动 对上层应用透明 只读方式加载 有效保护数据完整性 自动识别磁盘镜像分区格式 自动识别镜像内分区 硬盘镜像可以单独加载镜像 中的一个分区 硬盘镜像可以加载为整个磁 盘设备 支持常见的 Windows 文件系统 支持常见的镜像格式 包括 DD Encase AFF 支持 VMDK 虚拟磁盘格式 支持 Vista 的 GPT 硬盘分区格式 加载好的分区 硬盘操作特性和本地分区 硬盘一致 可以使用常规的非针对取证目标设计的工具对取证镜像进行分析 操作过程有详细的日志信息 全中文图形操作界面 简单易用 司法符合性 加载过程中完全只读方式 保持证据的原始性 加载过程中有详细的操作日志信息 支持镜像格式 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 25 页 共 6869 页 电话 021 传真 021 DD 镜像 Encase 镜像 AFF 镜像 VMDK 文件 支持的分区方式 MBR GPT 支持的分区格式 NTFS NTFS compressed FAT 12 16 32 1 2 5 1 2 5 盘石计算机仿真取证系统 SafeVM 盘石计算机仿真取证系统专业版 SafeVM Pro 是 用来生成虚拟机配置文件的取证工具 通过 SafeVM Pro 可以将取证镜像文件或者对象计算机系统的硬盘模拟为 虚拟机 在虚拟机环境下进行启动 取证调查人员可以 以交互的方式和系统用户的角度直观的检查和操作目标 系统 收集相关证据 SafeVM Pro 充分考虑取证调查的 要求 对原始镜像文件或者对象计算机系统的物理硬盘 进行保护 调查人员的任何修改操作都不会影响原始设备 SafeVM Pro 屏蔽了虚拟机 配置的技术细节 并自动调整虚拟机文件参数 减少虚拟机启动故障 降低了取证调 查难度 产品特性产品特性 支持完整磁盘镜像文件 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 26 页 共 6869 页 电话 021 传真 021 支持可启动的分区镜像文件 支持物理硬盘或者其他存储设备 通过 USB 1394 等接口连接 支持 DD 格式镜像文件 DD 或 Split DD 通过 SafeMount 支持 Encase AFF 格式镜像文件 自动识别操作系统类型 支持常见的 Windows 操作系统 Windows 7 Windows Vista 2003 XP 2000 NT Me 98 支持 Linux 操作系统 支持原 AMD 架构操作系统正确仿真 提取 Windows 操作系统的密码 Hash 解决蓝屏修复 自动解决虚拟机无法启动的故障 配置 Windows 操作系统自启动项 绕开 Windows 操作系统激活机制 虚拟机内进行的任何操作不会改动原始设备或者镜像文件 全中文图形操作界面 简单易用 增强功能增强功能 案件管理 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 27 页 共 6869 页 电话 021 传真 021 可以处理多案件及单案件多虚拟机情况 加载虚拟机磁盘分区 对已经生成虚拟机且没有运行 加载选中的虚拟机磁盘分区到系统没有使用 的盘符 虚拟机生成后配置工具 Windows 免激活 Windows 蓝屏修复离线状态下修复 Windows 服务和驱动 离线状态 虚拟机启动之前的配置 Windows 自动启动 离线状态 虚拟机启动之前的配置 Windows 启动失败后的配置 Windows SAM 文件和 Hash 值得获取 及绕过登陆密码 配置 VMWare 和 WinDBG 模拟串口的 windows 内核调试 1 2 6 1 2 6 盘石可视化数据分析平台 IDVP 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 28 页 共 6869 页 电话 021 传真 021 盘石可视化数据分析平台提供全新的可视化分析调查功能 使情报分析人员能快速 掌握相关信息 也为预防和打击犯罪提供及时支持 让情报分析更兼具时效性与准确 性 案件数据处理过程中所涉及到的信息多种多样 很难有专们的工具进行分析 通 常以人工分析为主 分析过程的非结构性和不确定性 不易形成固定的分析流程或模 式 使得调查取证中的信息很难进入现有的系统中 借助功能强大的 IDVP 可将各类 数据导入系统进行关联分析 做出完整的分析图表 也整展示案件分析过程和证据链 主要功能 通过导入插件和脚本 将各种格式的日志数据 结构化数据和非结构化数据导入 到数据中心 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 29 页 共 6869 页 电话 021 传真 021 通过基础分析功能和脚本 对导入的数据进行整合 分析 通过数据展现和脚本 将数据对象化并生成易于理解的信息图 寻找 剔除或 展示关键点 通过导出插件和脚本 将数据导出为各种可能的格式 通过脚本生成特定的解决方案 可扩充的插件和脚本库 技术特点 更好的稳定性 在大部分数据分析软件中 最容易崩溃的地方往往发生在数据结构化的过程中 IDVP 采用多进程的方式有效地处理各种异常情况 保证了工作的连续和我拟定性 更好的数据库支持 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 30 页 共 6869 页 电话 021 传真 021 统一的数据中心解决方案 同时支持 SQL 数据库和 NoSql 数据库 绚丽的可视化效果 提供多种图形对结果展示 包括 各种分布图 中心分布 树形分布 层次分布 主题分布等 统计图 饼图 柱形图 面积图 趋势图 散点图等 数据之间关 系直接对象化 方便直观显示数据的关系 高扩展性 数据分析的各个阶段都提供相应的系统 API 采用成熟的 Python 语言作为脚本语 言 用户和合作伙伴可以方便定制所需的功能 系统内置多种预定义脚本 常见的数 据类型系统内置插件和脚本支持 丰富的数据来源支持 系统内置对文本文件 二进制文件 数据库 PDF Excel 等等数据的分析 并通 过插件和脚本不断增加数据来源支持 多种数据导出方式 提供脚本和插件支持导出结果到常见的文件格式 如 Word Excel Html PDF 等等 并且支持的格式不断增加中 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 31 页 共 6869 页 电话 021 传真 021 1 2 7 1 2 7 盘石实验室管理系统 LIMS 随着电子取证的复杂度增加 案件的参与人员 涉及的检材 使用的仪器设备以及 相关卷宗等数据量都随之快速膨胀 传统的手工管理模式将越来越难胜任 这就给实 验室的管理带来了相应的压力 盘石实验室管理系统 PS LIMS 根据电子数据鉴定实验室的实际业务需求 参照 ISO IEC 17025 标准进行开发 对人员 仪器设备 鉴定方法 鉴定环境 操作进度 检材 鉴定报告以及卷宗等进行综合的闭环管理 从本质上提高实验室管理的整体水 平 结构图 结构图 主要功能 主要功能 案件管理 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 32 页 共 6869 页 电话 021 传真 021 对实验室中处理的各类案件以及专案进行统一管理 通过委托类型 案件类型 操 作流程以及相关操作等进行跟踪分析并生成鉴定报告等文件 检材管理 对涉及案件的相关检材 根据检材类型 型号 容量等进行分类管理 对于实体检 材可与检材柜进行绑定 系统同时记录下针对检材的每个操作 可对检材的使用情 况进行跟踪 设备管理 对实验室中使用的设备的基本信息 使用信息以及维修等情况进行管理 可按时间 类型 使用频率等进行统计分析 卷宗管理 对案件处理过程中产生的各类文档 文件等相关信息自动分类归档 并统一管理 也可以通过特殊权限对案件进行材料补充 同时提供丰富多样的图表统计功能 人员管理 根据授权对实验室里不同职责的人员进行管理 真正做到根据不同职责范围和角色 进行分工授权 同时可对人员的日程 状态 培训 考核 请假 工作量等进行管 理和查看 可灵活的按案件或案件组进行管理 系统特点 系统特点 规范化 系统完全遵循 ISO IEC 17025 标准进行设计开发 使实验室的日常业务流程管理 的更规范 更清晰 可视化 系统中的所有相关处理流程都可视化 授权的管理人员都可以实时查看进度情况和 处理结果 从而可以很好的从宏观上把握整个案件 图形化 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 33 页 共 6869 页 电话 021 传真 021 通过对流程数据进行统计分析 系统提供清晰明了的图形化显示界面 让管理人员 能够更直观的了解实验室运行状况 安全性 系统的每次登录 每步操作都有日志记录 使用严格的权限检测及访问控制手段限 制越权操作 密码等敏感信息采用差异化的加密方式处理 从而保证了系统可以更 安全可靠的运行 先进性 系统采用先进的并行化 智能化及弱关联设计 使得部分功能实现完全自动化处理 相关操作人员只需发送一个指令 系统即自动完成对应操作 实用性 以电子数据鉴定实验室日常管理的实际业务处理流程为需求 定制设计和开发真正 适合电子数据鉴定实验室的管理软件 同时为了提高时效性 操作过程中的相关信 息系统及时通过电子邮件发送到相关人员的邮箱 扩展性 采用模块化的框架结构 各子功能之间低耦合的弱关联交互 可方便的任意扩充功 能模块 同时为用户和第三方提供详细的开放式接口和技术文档 1 2 8 1 2 8 盘石计算机现场取证勘察箱 SafeSuite 盘石计算机现场取证勘察箱 SafeSuite 专为现场取证 定制开发 可以对各类现场系统和不同接口的介质进行获取 并可完成现场需要的分析功能 盘石计算机现场取证勘察箱基本组成部分如下 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 34 页 共 6869 页 电话 021 传真 021 盘石计算机现场取证系统 SafeImager 增强型 包括高速硬盘复制机 可 以完成直接复制 光盘 U 盘启动情况下的离线取证 开机状况下的在线取证 在线获取等功能 满足各种现场的证据获取需求 只读接口 包括 ATA SATA SCSI USB 的只读接口功能 用于单独硬盘的 获取以及随后的分析过程 转接口 在复制机 只读接口不能访问的情况下 通过转接口的进一步扩展 使得现场处理的介质类型更加广泛 盘石介质取证分析系统 SafeAnalyzer 提供现场和随后的介质分析能力 拆机工具 包括各种接口的螺丝刀 有效处理现场情况 防静电手套 标签纸 记号笔 根据需要 可以选配如下设备 对勘察箱功能进行扩展 数码相机 数码摄像机 现场摄像和固定工具 笔记本 高性能的取证分析平台和通信工具 盘石手机取证分析系统 SafeMobile 对手机证据进行获取和分析 盘石仿真取证分析系统 SafeVM 提供现场和随后的仿真分析的能力 盘石易载镜像助手 SafeMount 通过加载镜像设备 为第三方工具的使用 提供便利 Windows 开机密码破解工具 RainbowCrack Lmhash 数据表 可选 破 解 Windows14 为以内的 LmHash 密码 硬盘解密系统 可选 DE PDL 对加密的硬盘进行解密 Shadow2 硬件仿真取证设备 SFP 101 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 35 页 共 6869 页 电话 021 传真 021 1 2 9 1 2 9 盘石计算机取证分析平台 SafeForensicPlatform 盘石计算机取证分析平台 SafeForensicPlatform 是专为计算机鉴定实验 室设计的 也可作为日常取证分析和鉴定使用 能 够完成常规的鉴定任务 根据鉴定任务的不同需求 SFP 包括的多种不同硬件及系统配置 目前可以供选择的型号有 1 SFP 200 该型号平台内建多个硬盘抽屉支持 IDE SATA SCSI 等硬盘接口 方便使用 并且内建 2TB 的存储空间 允许用户将案件镜像直接制作保存在本 地 2 SFP 201 201 型平台接口为外置式设计 机箱的空间较 200 型相对宽敞 允 许外接更多的取证模块 3 SFP 100 10X 型平台为单排塔式机箱 提供 1 个 SATA 1 个 IDE 硬盘接 口 内建 1TB 存储空间 使用 Intel 架构主板及 CPU 方便扩展升级 4 SFP 101 101 型平台 提供外接式只读接口 证据盘通过平台内建的只读模 块与主机链接 平台提供了丰富的数据接口 是一款性价比极高的取证平台 SFP 系列取证平台是取证实验室的理想选择 根据实验室的规模可以搭配不同的取 证平台及其他取证设备 来满足各类鉴定工作的需要 1 3 取证专业培训 目前提供的培训项目包括 培训课程培训内容时间 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 36 页 共 6869 页 电话 021 传真 021 计算机取证基础培训计算机取证概念 流程 一般方法 工具介绍1 天 SafeImager 产品培训SafeImager 取证原理 基础 功能和使用培训1 天 SafeMobile 产品培训SIM 卡 手机取证原理 功能和使用培训1 天 SafeAnalyzer 产品培训SafeAnalyzer 原理 功能和使用培训1 天 取证分析平台培训盘石取证分析平台的使用培训1 天 文件系统分析高级培训存储设备原理 数据卷分析 FAT NTFS 文件系统 分析 2 天 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 37 页 共 6869 页 电话 021 传真 021 第 2 章 实验室技术规格和要求 2 1 公安部对鉴定试验室的能力要求 电子物证检验鉴定实验室能力分级标准电子物证检验鉴定实验室能力分级标准 应当具备的能力 应当具备的能力 应当部分具备的能力 应当部分具备的能力 可以不具备的能力 可以不具备的能力 能力要求能力要求能能 力力 项项 目目 能力子项能力子项 目目 能力细目能力细目说明说明 国国 家家 级级 一一 级级 二二 级级 三三 级级 证据数据 完整性的 保护 能够采取技术措施保证数据在被提取后未 被修改 如对数据进行完整性保护 对数 据进行复制并在备份上实施操作 数据的固 定 能够 保证数据 的完整性 和原始性 证据数据 原始性的 保护 能够采取技术措施保证数据是按照所述步 骤从数字化设备提取获得的 如采取审计 措施保证能够再现或证实数据提取过程 独立存储 介质的数 据提取 能够读取各类磁盘 活动硬盘 光盘 RAID 等存储介质中存储的数据 包括存 储介质的镜像文件 复合文档等可加载的 文件系统 不可独立 访问存储 介质的数 据提取 能够读取手机 PDA 路由器等专用数字 化设备中存储的数据 这些数字化设备中 的存储介质通常需要依附于数字化设备才 能访问 受损磁存 储介质物 理数据提 取 能够在硬盘 磁带等磁存储介质硬件损伤 的情况下 通过替换磁片等方式使该磁存 储介质中的数据可读 受损光存 储介质物 理数据提 取 能够在光盘等光存储介质物理损伤的情况 下进行适度的修复 使该光存储介质中的 数据可读或部分可读 本地数字 化设备非 运行状态 下的数据 提取 能 够读取数 字化设备 中存储的 数据 存储芯片 的物理数 据提取 能够在存储介质或专用数字化设备部分硬 件接口组件损伤的情况下 通过拆解存储 芯片移入到同一型号的其他设备中 使该 芯片中存储的数据可读 并非所有存储芯 片都可以通过移植到其他同型号设备进行 提取 本能力仅要求对于可以替换芯片情 形下的数据提取 数 字 化 设 备 证 据 数 据 发 现 提 取 固 定 本地数字 化设备运 运行状态 下数字化 能够启动数字化设备并在数字化设备运行 状态下提取内存内容 网络状态 文件访 盘石软件 上海 有限公司 地址 上海市中江路 879 号天地软件园 19 号楼 4 楼 第 38 页 共 6869 页 电话 021 传真 021 电子物证检验鉴定实验室能力分级标准电子物证检验鉴定实验室能力分级标准 应当具备的能力 应当具备的能力 应当部分具备的能力 应当部分具备的能力 可以不具备的能力 可以不具备的能力 设备上的 数据提取 问状态等不可再现数据以及特定文件 特 定数据 如注册表内容 等可再现数据 行状态下 的数据提 取 能够 截获系统 运行过程 中产生的 数据 运行状态 下数字化 设备网络 通信数据 的提取 能够启动数字化设备并在数字化设备运行 状态下 截获其通过网络传输的数据 包 括在网络链路上截获 也包括在数字化设 备上截获 远程数字 化设备存 储处理的 数据提取 提取远程计算机 如网站 路由器 上存 储的数据 处理的数据 如视频表演过程 中视频信息 远程数字 化设备的 数据提取 远程数字 化设备运 行状态数 据提取 能够通过探测获取远程数字化设备拓扑结 构 网络链接状态 网络安全状态等状态 信息 此类信息并非数字化设备自身存储 或处理的 而是通过辅助工具探测分析产 生的 文件级数 据的发现 能够根据文件的特征寻找所需要的文件以 及文件的附属信息 MetaData 如文件的 时间信息 存储位置等 如恢复被删 除的文件 通过文件的特性 如关键字 哈希值 病毒特征 修改日期等附属特征 识别出所需的文件 记录级数 据的发现 记录是指在数据库文件中存储的数据项的 集合 能够根据记录的特征寻找所需要的 记录 如数据库的记录查找 数据库记录 的恢复等 数据的发 现 从可 提取的数 据中查找 恢复出所 需要的数 据 碎片级数 据的发现 能够根据所要查找的数据的特征寻找所需 的数据碎片 如基于关键字查找 基于结 构匹配查找 基于统计查找 寻找 IE 记 录碎片 DOC 文档碎片等 加密数据 的解密 包括对操作系统口令的破解 加密文件的 解密和加密数据 如口令 的解密等 数据的解 密与解码 将发现 的数据转 换为可理 解的数据 结构化数 据的解码 能够对各