成都网监技术方案

错误!未找到引用源。

2011年11月

目录

第1章公司介绍3

第2章技术说明4

第3章采购方案19

3.1取证软件19

3.2手机取证系统30

3.3光盘修复机32

3.4SATA/IDE电子证据只读锁二代套件33

3.5FTK3.0取证软件33

3.6X-Ways取证软件37

3.7取证塔40

3.8现场勘查取证一体化设备44

3.9三合一转接口49

3.10“效率源"flash闪存数据恢复大师50

3.11“效率源”智能数据指南针专业设备(DataCompass)50

3.12“效率源”HD固件专修程序企业版51

3.13“效率源”硬盘拷贝机DATACOPYKING51

3.14“效率源”硬盘拆卸设备(开盘机)55

3.15镜像助手软件56

3.16R-Studio数据恢复工具58

3.17屏幕录像专家59

3.18IDAPRO反汇编工具61

3.19彩虹表密码破解工具61

3.20SOLO4硬盘高速复制机63

第4章服务响应67

4.1售后服务部门的人员配备、技术力量67

4.2技术培训方案68

4.3备/配件支持计划69

4.4故障维修响应时间69

4.5产品免费保修期，非保修期维修费用收取标准70

4.6其他70

第1章公司介绍

盘石软件（前身“上海盘石数码信息技术有限公司”）成立于2002年，专业从事计算

机取证和网络安全产品的研发和服务。2004年4月，随着专业取证技术的发展，计算机取

证产品的研发和服务即成为公司的主要发展方向。公司目前有研发人员参与过国家十五攻关

项目、国家863项目以及部委和省市联合的取证相关的研发任务。公司有资深取证服务顾

问多名，具有丰富的一线电子取证服务和办案经验。盘石软件总部设在上海，技术服务以长

三角为基础辐射全国，在北京、成都、西安和广州都设有办事机构，这些都为客户的技术支

持和服务提供了强大的后盾。

盘石软件曾多次承担了针对公安技术人员的全国性的培训授课任务，和公安信息网络安

全监察部门建立了良好的沟通关系，提供专业的取证产品和技术服务，在一些新的技术领域

和案件上积累了丰富的经验，能提出自己独特的见解并在到实际工作中不断实践。在举世瞩

目的2008年北京奥运会举办期间，盘石软件很荣幸参与了奥运信息安全的保障工作，工作

成绩得到公安部的一致认可并得到公安部颁发的锦旗。

在计算机取证研发和实践过程中，盘石软件对国内外电子证据鉴定实验室（后面简称鉴

定实验室）的建设也十分关注，积极参与到鉴定实验室建设的实践中。在吸收国外鉴定实验

室建设的成功经验下，我们先后为公安部、上海、广州、湖北、安徽、浙江等地的实验室提

供了建设方案，并参与公安部十一局、浙江省公安厅、湖北省公安厅、安徽省公安厅、上海

市公安局等各地电子证据鉴定实验室的建设和装备提供。

盘石软件的企业文化：

企业愿景：成为具有世界水平的电子取证技术专业公司

企业目标：高度专注于电子取证领域的软件开发与技术服务

核心价值观：为社会、客户、员工创造共同价值

企业口号：发展安全、专注取证、坚如磐石

质量方针：持续创新、技术领先、品质卓越、专业服务

第2章技术说明

根据成都网监本次采购需求，我司在本技术方案中提供了相应的建设方案。在本方案的第3章中详细地描述了本次采购的相

关技术指标以供参考。

采购配置清单如下：

采购配置清单

名称配置数量

SafeAnalyzer盘石介质分析取证系统

SafeAnalyzer是国内最好的电子数据取证综合分析软件，完全自主知识产权,操作简单容易上手，可以方便的在不同

计算机中使用，并且不用安装在本地。提供证据固定、分析、报告生成等功能，实现动静态和自动取证分析能力。具体功

取证软件能包含：1

1.快速分析功能，自动取证：集成各种取证调查模块的综合调查功能，一步到位地完成几乎所有的取证分析功能。能处理

实际案件调查过程中各种各样的情况，批量执行多种任务，实现一键式调查，大大简化取证工作。

2.案件管理：支持保存到单一案件文件，支持离线浏览案件,数据源更改时重新选择

3.获取计算机系统运行状态下的动态信息，包括系统进程、各种通讯及网络服务帐号和密码、上网记录及网络连接信息等；

基本信息获取：系统基本信息、时区信息、服务信息、硬件信息、用户信息、网络配置信息、共享信息、安装软件、USB

设备使用信息；

4.设备加载：支持逻辑卷、物理硬盘、镜像(.eOl,DD,aff,is。等)、文件集合对象。可以选择不解析文件系统加载，支

持定义磁盘结束扇区。

5.文件系统:支持以下文件系统：ntfs,fatl2/16/32,exfat,ext2/3,hfs,hfs+,cdfs,udf,可对以下文件系统恢复ntfs,ntfs

目录索引，fatl2/16/32,exfat,最大支持文件数2000万；

上网记录：支持浏览器包括:、、支持书签、缓存、历史记录的获取。

6.IE.ChromeFireFox.360SEOperaoCookies,

Chrome支持密码的获取；

7.即时通讯：支持QQ、移动飞信、阿里旺旺、新浪UC、SKYPE、MSN、Yahoo、ICQ、ooVoo.AIM、Pidgin.Miranda

IM、MySpace.YY等；

8.QQ分析：能支持全系列QQ、TM好友信息、群组信息、群成员信息、好友聊天记录、群聊天记录的解析。支持全系列

QQ删除记录的恢复，特别是国内独有的针对QQ2009/2010/2011版本的记录删除恢复功能。

9.由B件分析：支持Foxmail、OutlookExpress.Outlook等客户端，支持Tom、126、163、QQ、sina、yahoo等Web

邮箱；

10.下载工具：支持迅雷、网际快车、电驴、CuteFTP、FlashFXP等下载工具；过滤功能：支持多层次多种组合的过滤功

能，过滤支持正则表达式。预定义多种过滤模板；哈希分析：支持创建文件哈希集，可以根据哈希集进行快速哈希分析；

11.打印信息记录分析调查：能自动搜索出用户曾经打印过的文档记录并查看打印内容。

12.分析结果能够自动打包并且生成报告，报告形式：分析结果以书签方式加入到报告中。报告可以输出html（IE形式）、

doc格式等；

13.搜索：提供关键词配置选项，可进行多语种关键词生成。中文支持gb2312、utf8、big5、unicode、unicodebe等编

码格式。提供案件特定相关的关键词。支持应用的搜索。

14.特征分析：支持超过250种的文件特征分析，可以检测加密的MSWord、MSExcelMSPowerPoint.PDF、Zip、

RAR、PrivateDisk加密容器等文件等。

15.时间线：支持文件和各种应用的集中的时间线分析；给出了直观的用户行为痕迹分析结果，能够直接查看用户最近访问

的文档、最近打开的各种Office文档、媒体播放器最近的视频播放列表、USB设备（移动硬盘,U盘等移动介质）的使用

记录。

16.操作日志：详细的操作日志

17.界面：类似Office2007的ribbon风格的操作界面，所有操作一目了然，简单易用。支持多级枚举。方便的条目选择

（全选/全清/shift部分选中）；

18.图片预览：支持大中小三种模式的图库预览；文本视图：

19.自动识别编码，支持导出，可以自定义块；16进制视图：支持内容导出，导出格式包括文本、16进制，编码显示，C

源代码。数据库可以加入书签；

20.64彳⑦桑作系统提供支持；

SafeMobile盘石手机取证分析系统

SafeMobile盘石手机取证分析系统采用统一的界面获取各种品牌手机中用户输入的数据和部分设备的未分配存储区

域，并进行取证分析。该产品得到科技部2007年度火炬基金支持。具体特性：

手机取证系统1

1.支持GSM/CDMA/WCDMA手机，包括Apple、多普达、摩托罗拉、诺基亚、西门子、三星、索爰、联想、夏新、飞

利浦，天语、联想、步步高、七喜、UT斯达康、OPPO、海尔、波导、等50余个品牌两千多款手机，型号还在不断

增加中；

2.支持中国市场使用的所有SIM卡，如全球通，M-ZONE,神州行，世界风，Up新势力，如意通，Uni,宝视通,各种

CDMASIM卡；

3.国产手机的支持MTK平台、展讯平台

对智能手机的支持平台、平台、平台、平台，平台；

4.LinuxWindowsCEXSymbianiPhoneAndroidBlackberry

5.对3GSIM卡/手机支持；手机/SIM卡电话本、通话记录、短信、设备信息和文件的获取；

6.支持邮件、彩信、即时通信（移动QQ,移动飞信）、上网日志的应用分析；

7.支持对手机/SIM卡删除短信的恢复；手机连接方式支持：数据线、红外、蓝牙

8.提供灵活多样的搜索方法，支持多编码格式同时搜索；

9.书签功能灵活强大，能更好的帮助分析数据；

10.即时提供的报表预览功能，一次性生成可打印报表，降低取证分析人员的劳动强度；

11.文件预览功能可查看十六进制数据，方便高级取证分析人员进一步分析所得数据；图库功能：支持图库预览功能；

12.支持设备MD5校验，数据符合司法鉴定要求；

13.可选SIM卡复制的取证屏蔽方式；记录详细的操作日志，便于审查和复核工作。

自动光盘修复机

专业修复激光碟片(CD/DVD/CD-R/CD-RW等)

光盘修复机1

操作简单，6分钟自动完成打磨/修补/清洁，使碟片恢复正常播放

有效去除划伤/灰尘/污点及指纹

SATA/IDE电子证据UltraBlockIDE/ESATA只读接口

只读锁二代套件

FireWire/USB接口的IDE和SATA接口硬盘的取证写保护器。产品通过FireWire-A(400Mb/s),FireWire-B(800Mb/s),1

或者USB1.X/2.0/3.0接口将IDE硬盘连接到取证计算机，进行只读的证据获取和分析。

FTK3.0取证软件美国警方标准配备、全球警方使用量第一的FTK电子物证分析软件，执行自动、完整、彻底的计算机电子取证检查。中文

司法分析软件拥有强大自动的文件分析、过滤和搜索功能，自动对所有文件进行分类，自动定位有嫌疑的文件，快速自动1

找出所需的证据；FTK被公认为是进行电子邮件分析的领先取证工具，是全球销量第一的电子物证分析软件。中文司法分析

软件FTK拥有行业领先的数据挖掘引擎，利用它,用户可指定挖掘规则，如文件大小、数据类型及像素大小等，以减少挖

掘非相关数据的数量和时间。FTK软件支持多种应用程序数据的分析。

X-WaysForensics是为计算机取证分析人员提供的一个功能强大的、综合的取证、分析环境。

磁盘克隆和镜像功能，也可以在DOS环境下，可使用X-WaysReplica,以司法认可取证方式进行数据获取

可检查RAW原始数据镜像文件中的完整目录结构，支持分段保存的镜像文件

支持FAT,NTFS,Ext2/3,CDFS,UDF

内置对RAID0、RAID5和动态磁盘的处理和恢复

察看并获取物理RAM和虚拟内存中的运行进程

X-Way取证软件1

各种数据恢复功能，可对特定文件类型恢复，(可从FileSig导入上百种文件特征标识)

数据擦除功能，可彻底清除存储介质中数据

对磁盘或镜像文件处理，收集残留空间、空余空间、分区空隙中信息

建立所有计算机存储介质中文件、目录的列表

简单地检测并分析ADS(NTFSalternatedatastreams),某些情况下Encase5.05和ILook也无法检测

多种文件哈希值计算方法(CRC32,MD5,SHA-1,SHA-256,...)

区别于其他竞争产品，不完全依靠于MD5算法（MD5碰撞）

强大的物理和逻辑搜索功能，可同时搜索多个关键词

书签和注释

单排塔式机箱，通过eSATA接口访问SATA/IDE/SCS1/USB只读接口，4xSATA/SAS热拔插只读仓，4xSATA/SAS热拔

插读写仓，4x2.5SAS/SATA热拔插只读仓，4x2.5SAS/SATA热拔插读写仓，USB/PS2/多功能读卡器；IntelXeon5620

x2,16GECC内存,500G+4T硬盘,Intel®82573LV双千兆网卡，HD68501GDDR5显存，DVDRW,64位Win7,

24寸显示器x3,支持万兆扩容

取证塔内置取证系统包括：1

复制软件

取证分析套件、、年服务）、

（SafeAnalyzerSafeVMSafeMounto2VmwareWorkstation

X-WaysForensic（2年服务）

R-Studio"

现场勘察取证一体化盘石取证T本机

1

设备1.一体化硬件设计

2.高性能CPU和主板架构,充分考虑分析性能设计

3.真正物理只读设计，杜绝由于驱动导致非只读问题

4.内置多种设备只读接口，涵盖SATA,SAS、USB、多功能读卡器

5.机身内置两个硬盘只读接口和2个读写接口，可以完成2对2、2对1、1对2等多种方式的复制。复制过程中原始硬

盘始终只读

6.可以通过扩展增加四个硬盘只读接口

7.内置双千兆网卡，可以进行高速网络固定和分析

8.多种复制格式，支持100%复制（位对位）、或者"证据"硬盘或者U盘上的LinuxDD镜像（工业标准）和E01镜

像文件（EnCase取证文件格式）。可以自定义LinuxDD的分片文件大小

9.硬盘复制速度最高14GB/分钟

10.内置计算机现场取证系统Safeimager

11.内置国内最好的取证分析软件SafeAnalyzer,包括中文搜索、聊天分析、上网分析、邮件分析、日志分析、注册表分

析、哈希分析、时间线分析以及各种数据恢复功能

12.内置国内最好的计算机仿真软件SafeVM,可以将取证镜像文件或者外接的硬盘模拟为虚拟机，在虚拟机环境下进行启

动，取证调查人员可以以交互的方式和系统用户的角度直观的检查和操作目标系统，收集相关证据。

三合一转接口三合一硬盘转换器，主要解决ZIF1.8英寸、2.5英寸及IDE1.8英寸、2.5英寸、3.5英寸接口硬盘之间的转换问题1

效率源"flash闪存数据恢复大师

支持8Bit和16Bit两种读取方式的自动选择，目前市面上的其它闪存恢复设备只支持8Bit方式读取，不支持16Bit读取读

取芯片设备的底座可进行拆出更换，方便使用不同的底座以及损坏以后的更换，大大节省了使用维护成本

读取芯片的电压支持0.9V-5V可调节，常见的FLASH芯片为3.3V，随着制造工艺的不断发展，趋势往低电压方向发展，

如2.7V、1.8V、1.2V等都将是以后FLASH芯片的发展方向

"效率源"flash闪存

支持读取的Page尺寸可调节，支持所有的格式，而目前市面上其它很多工具只支持528的倍数方式，局限性比较大1

数据恢复大师系统

不区分控制器，几乎支持目前市面上所有的标准接口的FLASH芯片，LQ48封装方式

FLASH芯片数据读取时支持可调读取速度

支持单芯片、单通道；多芯片、多通道的数据读取和数据重组恢复

支持部分加密FLASH存储的数据恢复

支持FLASH恢复多设备、多通道的专业恢复工具

"效率源”智能数据智能数据指南针(DataCompass)专业设备采用领先、实用、超强的移动性、简单易学的设计理念，使用图形操作界面，1

指南针专业设备在整个数据恢复过程中，能够达到轻松简便的上手使用；广泛应用于企业单位信息化管理运维数据安全保障中心、高校数

(DataCompass)据恢复技术研究实验室、军工企业涉密数据安全管理中心、金融机构灾难应急数据恢复中心、司法部门计算机取证实验室

及专业数据恢复服务公司等

效率源HDDoctor数据恢复及固件修复工具可以在台式机、笔记本电脑或者是一切装有WINDOWS操作系统的同时具有

"效率源"HD固件专

USB2.0接口的计算机上使用，完全符合未来数据恢复上门服务的潮流发展要求；支持硬盘系列多，功能全面；工具设计简1

修程序企业版

单，易上手、易操作，只要具备电月囱操作能力，即可在短期内达到产品的熟悉使用。

硬盘复制机-DATACOPYKING是目前全球最先进的全领域硬盘拷贝产品，融合了硬盘高速拷贝、数据高速复制、安全擦除

和故障自动检测的高性价比一体设备，硬盘拷贝机采用了效率源科技2010年最新技术，专为TB级大容量硬盘而设计，最大支

持131072TB.硬盘复制速度、擦除速度、对缺陷扇区的数据获取能力均超过市场同类硬盘拷贝产品.最快硬盘拷贝理论速度

"效率源"硬盘拷贝

可达9GB/分，实测硬盘拷贝速度可达7GB/分钟，数据擦除速度达到8GB/分钟,同时采用专业级缺陷扇区获取技术，可对缺陷扇

机DATACOPY1

区坏道严重的硬盘进行数据拷贝工作,适用全领域数据复制需求扩展支持U盘、SD卡、CF卡等USB2.0制式存储设备.拷贝

KING

机比同类产品先进的技术功能有:速度更快、针对缺陷扇区坏道的复制和擦除更完善，不会出现工作时硬盘失去响应情况等，

在缺陷扇区坏道严重的情况下完整获取比同类产品多300%的数据.并设有操作人员密码权限管理LOG记录打印、坏道修复

功能、自动判断硬盘故障和硬盘健康情况等，擦除工作完成后,即使硬盘生产厂商和最顶级的情报机构也再无完整恢复数据的

可能。

效率源硬盘盘体专用拆卸工具是全球第一款专业针对硬盘盘体内部物理配件损坏，需要更换其内部配件而对其拆卸更换时

"效率源”硬盘拆卸

所用的一款专用数据恢复辅助工具，对更换的硬盘进行固定，稳固平衡，从而减少操作人员操作失误的机率，保障更换工作1

设备（开盘机）

的安全完成，提高数据恢复的成功率，是硬盘物理级数据恢复的必备工具。

SafeMount盘石易载镜像助手

SafeMount是一个强大的虚拟化工具，提供一种直观和易用的方式访问各种格式的数字镜像文件，它将各种数字镜像格式

文件（包括DD、Encase、AFF等）和VMDK虚拟磁盘文件模拟成Windows系统的磁盘或者逻辑分区，调查人员不需

镜像助手软件1

要借助任何取证分析软件来提取镜像文件内的数字信息，只要使用常规的应用软件比如防病毒软件、媒体播放软件、图形

图像软件、压缩解压软件等来直接访问虚拟磁盘或者虚拟分区内的文件，所有访问操作都不会对原始镜像文件有任何修改。

SafeMount是取证调查人员的有力辅助工具。

R-Studio数据恢复工具

R-STUDIO数据恢复没有进回收站而被直接删除的文件，或者当回收站被清空时的文件；

1

工具因病毒攻击或电源故障被删除的文件；

文件分区被重新格式化后的文件（甚至是不同的文件系统）；

硬盘上的分区结构被改变或损害时的文件。在这种情况下，R-Studio工具可以扫描硬盘，尝试去找到以前存在的分

区并从找到的分区恢复文件。

有坏扇区的硬盘的文件R-Studio数据恢复软件首先拷贝整个磁盘或者部分磁盘内容到一个镜像文件中，然后再处理

该镜像文件。当新的坏扇区不断出现在硬盘上时，这一处理方式尤为实用，其余信息必须立即保存。

标准的"WindowsExplorer"风格界面。

主机操作系统:Windows9x、ME、NT、2000、XP、2003Server,Vista.

通过网络进行数据恢复。可以从运行Win95/98/ME/NT/2000/XP/2003/Vista.Linux以及UNIX的网络计算机上

恢复文件。

支持的文件系统：FAT12、FAT16,FAT32、NTFS、NTFS5(由Windows2000/XP/2003/Vista创建或更新)、

、

Ext2FS/Ext3FS(Linux)UFS1/UFS2(FreeBSD/0penBSD/NetBSD)o

识别和分析动态基本和分区布局方案。

(Windows2000/XP/2003/Vista)xBSD(UNIX)

损坏的RAID恢复。如果操作系统不能识别出您的RAID,您可以从其组件创建一个虚拟的RAID。这样的虚拟RAID

可以当作真实的RAID处理。

创建镜像文件用于整个硬盘、分区或它的一部分。这类镜像文件可以作为常规的磁盘处理。

对被损坏或删除的分区、加密文件(NTFS5)、额外的数据流(NTFS,NTFS5)进行数据恢复。

《屏幕录像专家》是一款专业的屏幕录像制作工具。使用它可以轻松地将屏幕上的软件操作过程、网络教学课件、网络电

视、网络电影、聊天视频等录制成FLASH动画、WMV动画、AVI动画或者自播放的EXE动画，也支持摄像头录像。本软

屏幕录像专家1

件具有长时间录像并保证声音完全同步的能力。本软件使用简单，功能强大，是制作各种屏幕录像、软件教学动画和制作

教学课件的首选软件。

IDAPr。是目前最棒的一个静态反编译软件，是破解者不可缺少的利器!破解高手们几乎都喜欢用这个软件。IDAPro并不

自动的解决程序中的问题』DAPro会按时您指令的可疑之处，并不去解决这些问题。您的工作是通知IDA怎样去做。IDA

ProDisassemblerandDebugger是一款交互式的，可编程的，可扩展的，多处理器的，Windows或Linux平台主机分

IDAPRO反汇编工具1

析程序。被公认为最好的花钱可以买到的反汇编利器,IDAPro已经成为事实上的分析敌意代码的标准并让其自身迅速成为

攻击研究领域的重要工具。它的优点是可以更好的反汇编和更有深层分析。可以快速到达指定的代码位置；可以看到跳到

指定的位置的jmp的命令位置;可以看参考字符串；可以保存静态汇编等。

ElcomsoftAdvancedOfficePasswordBreaker支持Office密码破解

彩虹表密码破解工具AdvancedArchivePasswordRecovery支持RAR和zip等压缩文件密码破解1

ElcomsoftAdvancedPDFPasswordRecovery支持PDF文件的密码破解

ImageMASSterTMSolo-4是f高速取证复制机,提供调查人员镜像一个"嫌疑"硬盘到两个"证据"硬盘，或者同时

两个"嫌疑"硬盘到两个"证据"硬盘。内建对SAS、SATA和USB设备的支持。支持SHA-LSHA-2和MD5校验。同

时支持IDE、RAID、e-SATA设备和各种介质卡，支持18'、2.5",3.5"和MicroSATA、ZIF设备。所有目标镜像可

以以100%复制、LinuxDD镜像和E01镜像格式保存。所有的"嫌疑"设备可以在复制嵌取的同时即时加密来保护敏感

S0L04硬盘高速复

的数据。1

制机

Solo-4复制机可以以SATA-2速度（最高18GB/分钟）复制、校躺口擦除驱动器。

S0L0-4复制机可以支持3对3复制

触摸屏操作

S0L0-4运行在高可靠的WindowsXP操作系统上，提供扩展性和设备兼容性，全中文界面

第3章采购方案

3.1取证软件

SafeAnalyzer盘石介质取证分析系统

SafeAnalyzer为执法部门提供全面、彻底的计算机数据

分析、检查能力。具有强大的数据恢复、过滤、分析、查找和

报告功能，并提供简单易用的操作界面，是当前电子数据取证

分析的首选工具。符合司法取证的需求。该产品是

ENCASE/FTK/Winhex等分析软件的全中文替代品。更加符

合中国用户的使用习惯。在部分功能效率上超越了国外产品。

■获取镜像生成MD5哈希校验值，并可随时校验；

■导出文件可以同时计算文件的MD5哈希;

■分析过程有详细的审计日志，便于案件的审查复核工作

关键特性包括:

支持计算机存储介质直接分析，及支持DD、AFF、Encase、Is。格式镜像文件的分

析，及支持单独目录和文件加载，对其进行只读访问，不破坏原始数据；

支持本地磁盘、光驱、软驱、外接设备；

支持MBR、GPT(Vista)分区方式，可以定义磁盘的结束扇区

支持NTFS、Fat、exFAT、Ext2/Ext3/Ext4、HFS/HFS+文件系统;

支持离线方式打开案件

自动进行系统分析，包括系统安装时间，操作系统版本，用户信息，网络配置信息,

安装的程序，最后运行时间等，并可以选择性地纳入案件报告；

灵活的时区支持及管理，允许勘查人员为每一个证据文件、每一个卷或每一个案件指

定时区设置，解决了所分析的介质使用的时区设置与调查人员所用时区设置不同的情况

■支持图库预览功能；

■提供文本、十六进制、缩略图、预览等文件查看方式；

■自动编码识别：支持文档文件的编码自动识别

■文本查看：包含文本查找、自动换行等功能

■十六进制解析：直接查看文件十六进制数据，并且实时将十六进制数据转换为数值、

文本或者时间值等

■文件过滤：系统缺省和自定义的过滤功能，并支持多重过滤；

■时间线分析：通过设置时间区域，建立该区段修改、访问、创建的文件时间线，方便定

位案件相关文件；

■删除恢复：文件系统中删除恢复、特征恢复；可恢复高级格式化磁盘内的文件，可判断

出交叉覆盖文件；

■具有高性能的关键字搜索功能、支持多关键字同时搜索而不明显降低效率，支持搜索前

过滤，提高搜索效率；

■关键词查找：各种编码格式的关键词查找，支持正则表达式可忽略大小写，关键字支持

GB2312、UTF7、UTF8、Unicode,Unicodebig-endian.Base64、Big5编码，支持

多国语言搜索关键词的配置；

■基本信息：方便取证人员对操作系统环境有个整体上的认识，能够提取的的信息包括（操

作系统信息、时区信息、网络配置、安装软件、服务列表、共享信息、用户信息、USB

设备使用记录、硬件信息、Windows搜索历史、最近运行的程序、最近打开的文档、自

动运行等）；

■注册表分析：察看Windows的注册表文件，可根据系统缺省和自定义的注册表项目，

快速定位浏览;

■Web分析：查看目标机器的浏览器历史、缓存记录、Cookie信息和收藏夹等，支持被青

除历史、缓存记录的预览和获取功能，支持IE、Firefox,Opera、Chrome、360SE浏览器；

■邮件分析：查看对象计算机客户端邮件，包括收件箱、发件箱、已发送邮件、草稿箱、

废件箱等，支持的邮件客户端有foxmail、outlook、Thunderbird、outlookexpress,还

支持对web邮箱的分析获取，目前支持的web邮箱有：Tom、126、163、QQ、Yahoo、

Sina等；

■即时通讯分析：提供快速提取QQ、MSN、Skype、淘宝旺旺、雅虎通、飞信、UC、ICQ、

AIM、Pidgin、Mirand聊天记录、好友列表以及语音记录，丫丫好友列表及单聊记录,ooVoo

好友列表及聊天记录，并包括删除QQ好友号、QQ聊天记录及QQ2009的好友及群成

员列表，在有密码、能上网的情况下可以查看QQ2009~QQ2011的聊天记录；

■回收站分析：解析放入回收站的数据信息，及从回收站删除的数据信息；

■事件日志分析：快速提取分析对象计算机事件日志；

■打印缓存：搜寻系统中存在的具体SPL和SHD文件，取出相关信息和EMF文件，还

可搜寻未分配簇取出未被覆盖的EMF文件；

■下载软件：针对FTP下载工具和P2P下载工具进行分析，主要是获取下载的任务队列

以及站点用户的信息。支持FlashFXP,CuteFTP,LeapFTP；电驴，比特彗星，超级

旋风，快车，Vagaa等；

■复合文件分析：可以查看内含有其它文件的多层组成的文件。能够在层级查看那些文件；

■自动展开ZIP文件内的目录，直接搜索ZIP文件及office2007的文件

■快速分析：批量执行多种任务，实现一键式调查，大大简化取证工作。

■生成镜像：可以将对象介质制作成DD镜像，并计算哈希值；

■校验文件特征：用以校验出目标文件属性是否更改；

■报告生成：根据用户添加的书签和备注信息，生成案件报告;

■操作日志：对案件的操作都记录日志;

■司法符合性：获取镜像生成SHA256、MD5哈希校验值，并可随时校验，导出文件可以

同时计算文件的SHA256、MD5哈希，分析过程有详细的审计日志，便于案件的审查复

核工作

■多国语言版本支持

■全中文界面，系统简单易用。

主要特性详列:

时间线：是反映计算机内部信息在某一段时间内的变化及统计，快捷地过滤当前想看的信息

活动，包括：文件、邮件、注册表、即时通讯、上网日志、事件日志、下载软件。在时间线

视图里每种信息以不同颜色标记。

Mtt向SS0—上网曰as注册*•仔曰asBOWditHF«3Xrt孙。

2003/1/I-I4：14：52：2010/12/I-11:05:50:;6用

序号时间名额

DeliveryStatu...MailDalivvrySub*y«t«m«mail«r-dawmonGgooglem>-rdlylvip4P,

<524423282©*-»*dlytvip*<dlylvipAgm»

定.成茹--“.*HW2EWF<S"<serviceO168>"**SSnftie*<dlylvipO»

<service^168•-*'3<2?>8"<dlylvip<®»

付千<service©168r«g.«n•--*3E2I*B-«dlylvipO9•

"SSWRCj^fc*«••rvic168r»>-»*3S3t*e"«dlylvipOgm»

JMI交aWVIP...<dlylvip^»-»*»iyuh"««iyuh©163xom»

RedMI交知已..siyuh^163.com-»vdlylvip@»

(YahootalB%...Yahoo!Delivers<delivers-masterQ>mail.yahoo.cojp»■»dlylvip99nr>

由JHS搐"JRWAA.^e"<dlylvif><P>■»'Bmiaozhong'«3miaozhongOgm>>

R.:«dlylvipOgm«>>>«524423282gq〈OE»

PANSAFE.Saf...guowei©-»nxd®：guoweiOpansafexom________Informati<

PANSAFE.Saf...«guowei«t>***<nxd9pan«».«»________ti

PANSAFE.Saf...quowei4P■•cxd@pacafe.com：quowei4P________InformAtii*

________..._______________I»

949酗*2X51fififrWK)通讯;1”59上网日06029*中日0533下49SE中QM»:3O3：

Delect0431HM：:F.»FI入书签中费无效

sNew

优先SB：3茂

分—:tanowei

：4-产或肉谩

发双人：nxd

TestSet:4萼/福兴

・“京+FaiLUST*alafi

.悼0\flM4.»«fXMBox\W<\PANSAFE.S«feAnalyzer-Defect.431入书2£V)«fc5eS

事件日志：日志文件中的记录可提供以下用途：监控系统资源、审计用户行为、对可疑行为

进行告警、确定入侵行为的范围、为恢复系统提供帮助、生成调查报告、为打击计算机犯罪

提供证据来源。错误!未指定书签。提供了快速分析事件日志，提高取证分析的效率

________

•伟日寺,电.》：・

日cci®*i*e*

序号SS21来源用户讨M机

值卑2009-10-010000:03MSSQLSERVER