电子数据取证分析师考核标准

重庆市新职业考核标准

（试行）

电子数据取证分析师

重庆市职业技能公共实训中心编审

电子数据取证分析师

考核标准

1职业概况

1.1职业名称

电子数据取证分析帅

1.2职业定义

从事电子数据的收集提取、数据恢复及取证分析的人员。

13职业技能等级

根据职业的实际情况，本职业共设三个等级，分别为：初级、中

级、高级。

1.4职业环境条件

室内，常温。

1.5职业能力特征

具有较强的计算、操作和逻辑思维能力，具有一定的空间感、形

体知觉及色觉，手指、手臂灵活，动作协凋。

1.6普通受教育程度

高中毕业（或同等学历）。

1.7职业技能考核要求

1.7.1申报条件

一—具有以下条件之一者，可申报初级：

（1）累计从事本职业或相关职业工作2年（含）以上，经本职

业初级正规培训达规定标准学时数。

（2）取得技工学校本专业或相关专业毕业证书（含尚未取得毕业

证书的在校应届毕业生）；或取得经评估论证、以中级技能为培养目

标的中等及以上职业学校本专业或相关专业毕业证书（含尚未取得

毕业证书的在校应届毕业生）。

一一具备以下条件之一者，可申报中级

（1）取得本职业或相关职业初级证书（技能等级证书后，累计

从事本职业或相关职业工作2年（含）以上，经本职业中级正规培

训达规定标准学时数。

（2）取得本职业或相关职业初级证书（技能等级证书），并具有

高级技工学校、技师学院毕业证书；或取得本职业或相关职业初级证

书（技能等级证书），并具有经评估论证、以高级技能为培养目标的

高级职业学校本专业或相关专业毕业证书。

（3）具有大专及以上本专业或相关专业毕业证书，并取得本职业

或相关职业初级证书（技能等级证书）后，累计从事本职业或相关职

业工作1年（含）以上。

——具备以下条件之一者，可申报高级：

（1）取得本职业或相关职业中级证书（技能等级证书）后，累计

从事木职业或相关职业工作3年（含）以上，经木职业技师正规培

训达规定标准学时数。

（2）取得本职业或相关职中级证书（技能等级证书）的高级技工

学校、技师学院毕业生，累计从事本职业或相关职业工作3年（含）

以上；或取得本职业或相关职中级证书（技能等级书），具有本职业

或相关职业预备技师证书的技师学院毕业生，累计从事本职业或相关

职业工作2年（含）以上。

1.7.2考核方式

分为理论知识考试、技能考核的方法和形式。

理论知识考试采用上机考核的方式，主要考核从业人员从事本职

业应掌握的基本要求和相关知识要求；技能考核主要采用模拟操作方

式进行，主要考核从业人员从事本职业应具备的技能水平。

理论知识考试、技能考核均实行百分制，成绩皆达60分（含）

以上者为合格。

1.7.3监考人员、考评人员与考生配比

理论知识考试中的监考人员与考生配比不低于1：15,且每个标准

考场不少于2名监考人员；技能考核中的考评人员与考生配比不低

于1:15,且考评人员为2人（含）以上。

1.7.4考核时间

理论知识考试时间不少于90min,技能考核时不少于90min。

1.7.5考核场所设备

理论知识考试与技能考核场所为标准教室、计算机教室。

2考核要求

本标准对初级、中级和高级的技能要求•次递进，高级别涵盖低级别的要求。

2.1初级

职业模块培训模技能培训内容理论知识培训内容

块

1.取证环1.1电子1.1.1电子数据取证的操作流程1.1.1电子数据取证名词

境部署数据取1.1.2电子数据取证的基本原则术语

证技术1.1.3电子数据取证通用程序1.1.2电子数据鉴定基本

规范原则

1.13案件受理流程

1.1.4档案管理要求

1.1.5电子数据证据具

备特征

1.2工具1.2.1磁盘文件取证复制工具的使用1.2.1磁盘文件取证复制

使用1.2.2数据恢复工具的使用工具FTKimager的使用

1.2.2数据恢复工具

RStudio的使用

1.3制作1.3.1能够制作DD、E01镜像文件1.3.1磁盘镜像制作步

证据镜13.2能够使用NETCAT远程克隆硬盘骤

像13.2证据镜像格式类

型

1.4系统1.4.1能够通过虚拟机技术，对装有1.4.1系统仿真技术定

仿真Windows、MacOS>Linux等多种操作系统义

硬盘和镜像文件进行无痕仿真启动1.4.2系统仿真名词术

142能够对各种物理硬盘，以及DD、E01语

等格式的磁盘镜像进行仿真

2.电子数2.1计算2.1.1能够制作证据镜像，转换镜像文件格2.1.1查看系统基本信息

据取证机取证式的方法

分析2.1.2能够备份和提取证据文件（如隐藏文2.1.2获取系统网络配置

件，受保护系统文件）信息

2.1.3能够对计算机文件的创建时间、修改2.1.3查看系统正在运行

时间、访问时间，邮件的发送时间、接收进程的方法

时间、保存时间，文件传输的创建时间、2.1.4监听端口和对应的

接收时间、完成时间等时间属性进行时间当前连接方法

线分析

2.1.4能够对当前运行操作系统下的历史命

令无录、防火墙规则、登录日志、网络连

接、网卡信息、系统信息、进程信息、用

户信息进行快速提取并固定

2.1.5能够对系统概况、系统磁盘使用情况、

内存使用情况、用户列表、进程列表、系

统启动项、IP地址等信息提取并固定

2.2手机2.2.1能够对手机文件的创建时间、修改时2.2.1了解SQLite数据库

取证分间、访问时间，邮件的发送时间、接收时的结构

析间、保存时间，文件传输的创建时间、接2.2.2掌握SQLite分析中

收时间、完成时间等时间属性进行时间线常用的SQL语句

分析2.2.3掌握SQLite数据库

2.2.2能够对即时信息/聊天记录进行提取文件结构的恢复

与鉴定2.2.4掌握SQLite日志

2.2.3能够提取手机系统数据的数据恢复方法

2.2.4能够提取手机应用数据进行在线仿2.2.5获取手机系统信息

真，通过仿真模拟器查看手机QQ、微信、相关指令的方法

新浪微博等数据，进行调查分析并截图作

为取证报告辅助证据，且不破坏原有手机

数据的完整性及有效性。

2.2.5能够在手机提取镜像后，通过手机仿

真系统，可以加载镜像进行离线仿真。通

过彷真模拟器上查看手机QQ、微信、新浪

微博等数据，进行调杳分析并截图取证。

2.3网络2.3.1能够对域名、服务器IP、端口、服务2.3.1了解网络取证的定

取证分器软件种类和版本等各种网站运行状态信义和特点

析息进行固定2.3.2了解网络监控的程

2.3.2能够对系统概况、系统磁盘使用情况、序

内存使用情况、用户列表、进程列表、系2.33了解网络取证的数

统启动项、IP地址等提取据来源

2.3.3能够对系统DNS缓存中所访问过的2.3.4掌握云存储取证的

域名、所对应的IP地址及该IP归属地等基本方法

信息提取

2.3.4能够对登录日志、文件访问日志、历

史命令日志、系统日志、应用日志、安全

日志、内核日志、浏览器历史等提取

235能够对系统所启用的网络端口、所使

用的协议类型、远程服务器IP、远程连接

IP地址归属地、端口及所对应的进程等信

息提取

2.3.6能够对远程主机当前网络通信状态，

进行数据包的定制获取，并对数据包进行

分析；

237能够获取远程服务器文件系统、目录

等。

2.4APP241能够对APK文件主函数名、签名证书2.4.1查看apk请求的

溯源取MD5、签名算法、签名公钥、签名类型、权限

证分析证书版本、证书使用者、证书颁发者等信2.4.2Android编译过

息提取程

2.4.2支持对APK进行网络数据包提取2.4.3Android编译基

2.4.3能够提取APK文件的基本信息、详本语法规则

细信息2.4.4掌握APK文件结

2.4.4能够通过动态监控对APK获取用户构

信息、操作手机、网络信息等内容进行全2.4.5Apk反编译流程

程监控

2.5工控2.5.1能够直接对PLC控制器进行数据提取2.5.1PLC的构成

系统取并分析2.5.2PLC的I/O模块

证分析2.5.2能够对工控系统进行端口信息进行2.5.3PLC的CPU构成

提取

3数据恢3.1硬3.1.1掌握盘片的清洗方法3.1.1常见硬盘的内部

复件物理3.1.2掌握硬盘电机和盘体的更换方法结构

故障数3.1.3硬盘电机更换后敲盘的数据恢复方3.1.2硬盘工作的原理

据恢复案3.1.3更换硬盘磁头和

3.1.4掌握固态硬盘、机械硬盘的固件修盘片的注意事项

复3.1.4硬盘安全模式的

设置

3.1.5硬盘的ROM替

换方法

3.2逻辑3.2.1能够提取数据，制做映像，克隆硬3.2.1理解FAT32文件系

故障数盘统的整体结构与DBR的

据恢复3.2.2能够使用数据恢复软件对FAT32、结构

NTFS、EXFAT、HFS+、EXT3、EXT4>UFS13.2.2理解ExFAT文件系

分区丢失的数据恢复统的整体结构与DBR的

3.2.3能够使用数据恢复软件对FAT32、结构

NTFS、EXFAT、HFS+、EXT3、EXT4、UFS13.23掌握手工提取

分区数据被删除的恢复ExFAT文件系统中数据

3.2.4能够使用数据恢复软件对FAT32、的方法

NTFS、EXFAT、HFS+、EXT3、EXT4、UFS13.2.4理解NTFS、EXT3、

分区数据误格式化的恢复EXT4、HFS+、UFS1文件

3.2.5能够使用数据恢复软件对FAT32、系统的整体结构

NTFS、EXFAT、HFS+、EXT3、EXT4>UFS1

分区数据误GHOST的恢复

3.3数据3.3.1能够对Mysql、SQLServer数据库进行3.3.1数据库管理系统

库数据恢复的概念

恢复3.3.2对数据库文件损坏、数据库被删除，3.3.2常见的数据库管

能够通文件恢复进行数据库的重组与解析理系统

3.3.3数据库的重组

3.4文3.4.1能够对损坏的JPG图像文件进行修复3.4.1理解JPG图像文件

件修复3.4.2能够对损坏的PNG图像文件进行修数据结构

复3.4.2理解PNG图像文

3.4.3能够时损坏的BMP图像文件进行修件数据结构

复3.4.3理解BMP国像文

件数据结构

3.5磁3.5.1能够判断RAID通常出现的故障可3.5.1RAID简介及分类

盘阵列能性3.5.2RAID磁盘阵列组

数据恢3.5.2能够掌握常见的RAID数据丢失合原理

复情形3.5.3RAID01与RAID

3.5.3常见RAID级别的恢复方法10

3.5.4RAID50

3.5.5常见的RAID故

障类型

3.5.6RAID数据恢复恢

复技术原理

3.5.7RAID类型的判断

2.2中级

职业模培训模技能培训内容理论知识培训内容

块块

1.取证环1.1电子1.1.1电子数据取证的操作流程1.1.1电子数据取证名词

境部署数据取1.1.2电子数据取证的基本原则术语

证技术1.1.3电子数据取证通用程序1.1.2电子数据鉴定基本

规范原则

1.1.3案件受理流程

1.1.4档案管理要求

1.2工1.2.1磁盘文件取证曼制工具的使用1.2.1磁盘文件取证更制

具使用1.2.2数据恢复工具的使用工具FTKimager的使用

1.23取证分析工具的使用1.2.2数据恢复工具

R-Studio的使用

1.2.3网络取证分析工具

Xplico的使用

1.2.4取证分析工具

X-WaysForensics、

WindowsSCOPE的使用

1.3制1.3.1能够制作DD、E01镜像文件1.3.1磁盘镜像制作步骤

作证据1.3.2能够远程克隆硬盘或分区，并能制13.2证据镜像格式类型

镜像作成镜像文件1.3.3NETCAT远程克隆硬

盘

1.4系1.4.1能够通过虚拟机技术，对装有1.4.1系统仿真技术定义

统仿真Windows、MacOS>Linux等多种操作系1.4.2系统仿真名词术语

统硬盘和镜像文件进行无痕仿真启动1.4.3系统仿真技术的应

1.4.2能够对各种物理硬盘，以及DD、E01用

等格式的磁盘镜像进行仿真

1.43能够对网络驱动器中的镜像仿真

2.电子数2.1计算2.1.1能够制作证据镜像，转换镜像文件2.1.1查看系统基本信息的

据取证机取证格式方法

分析2.1.2能够备份和提取证据文件（如隐藏2.1.2获取系统网络配置信

文件，受保护系统文件）息

2.1.3能够对计算机文件的创建时间、修2.1.3查看系统正在运行进

改时间、访问时间，邮件的发送时间、程的方法

接收时间、保存时间，文件传输的创建2.1.4监听端口和对应的当

时间、接收时间、完成时间等时间属性前连接方法

进行时间线分析2.1.5打开TCP/IP端口的所

2.1.4能够对当前运行操作系统下的历有进程方法

史命令记录、防火墙规则、登录日志、2.1.6对已获取的证据制作

网络连接、网卡信息、、系统信息、进程MD5的Hash码方法

信息、用户信息进行快速提取并同定2.1.7掌握UNIX/Linux环境

2.1.5能够对系统概况、系统磁盘使用情中易失性证据的获取方法

况、内存使用情况、用户列表、进程列

表、系统启动项、IP地址等信息提取并

固定

2.1.6能够校验证据一致性

2.1.7能够判断系统故障，并能识别恶意

软件、病毒或木马

2.1.8能够查看TCP/UDP的端口使用情

况；可以根据端口结束程序；可以关闭

正在使用指定的端口的连接；

2.2手机2.2.1能够对手机文件的创建时间、修改2.2.1了解SQLite数据库的

取证分时间、访问时间，邮件的发送时间、接结构

析收时间、保存时间，文件传输的创建时2.2.2掌握SQLite分析中常

间、接收时间、完成时间等时间属性进用的SQL语句

行时间线分析2.2.3掌握SQLite数据库文

2.2.2能够对即时信息/聊天记录进行提件结构的恢复

取与鉴定2.2.4掌握SQLite日志的

2.23能够提取手机系统数据数据恢复方法

2.2.4能够提取手机应用数据进行在线仿2.2.5获取手机系统信息相

真，通过仿真模拟耀查看手机QQ、微信、关指令的方法

新浪微博等数据，进行调查分析并截图2.2.6常用的adb指令集

作为取证报告辅助证据，且不破坏原有227常见APP的用户数据

手机数据的完整性及有效性。文件保存路径

2.2.5能够在手机提取镜像后，通过手机

仿真系统，可以加载镜像进行离线仿真。

通过仿真模拟器上查看手机QQ、微信、

新浪微博等数据，进行调查分析并截图

取证。

2.2.6能够对iPhone免越狱提权取证

2.2.7能够对Android设备免ROOT数据

提取提权取证

2.2.8能够对Android、iOS密码破解

2.2.9能够对Android设备免拆机刷机，

ADB直连提权提取

2.2.10能够对即时信息/聊天记录进行提

取与鉴定

2.3网络2.3.1能够对域名、服务器IP、端口、服2.3.1了解网络取证的定义

取证分务器软件种类和版本等各种网站运行状和特点

析态信息进行固定2.3.2了解网络监控的程序

2.3.2能够对系统概况、系统磁盘使用情23.3了解网络取证的数据

况、内存使用情况、用户列表、进程列来源

表、系统启动项、IP地址等提取分析2.3.4掌握云存储取证的基

2.33能够对系统DNS缓存中所访问过本方法

的域名、所对应的IP地址及该IP归属2.3.5掌握利用网络取证分

地等信息提取分析析工具获取和分析网络数

2.3.4能够对登录日志、文件访问日志、据包的基本方法

历史命令日志、系统日志、应用日志、23.6掌握利用蜜罐技术进

安全口志、内核口志、浏览器历史等提行网络取证的基本方法

取分析

2.3.5能够对系统所启用的网络端=1、所

使用的协议类型、远程服务器IP、远程

连接IP地址归属地、端口及所对应的进

程等信息提取分析

2.3.6能够对远程主机当前网络通信状

态，进行数据包的定制获取，并对数据

包进行分析；

2.3.7能够获取远程服务器文件系统、R

录等。

2.4APP2.4.1能够对APK文件主函数名、签名证2.4.1Android编译过程

溯源取书MD5、签名算法、签名公钥、签名类2.4.2Android编译基本语

证分析型、证书版本、证书使用者、证书颁发法规则

者等信息提取分析2.4.3掌握APK文件结构

2.4.2支持对APK进行网络数据包提取2.4.4Apk反编译流程

分析2.4.5使用jd-gui查看jar

2.43能够提取APK文件的基本信息、包中的Java代码的方法

详细信息，并分析该APK申请的所有权2.4.6查看apk请求的权

限限

2.4.4能够通过动态监控对APK获取用

户信息、操作手机、网络信息等内容进

行全程监控

2.5工控2.5.1能够直接对PLC控制器进行数据提2.5.1PLC的构成

系统取取并分析2.5.2PLC的I/O模块

证分析2.5.2能够对工控系统进行端口信息进2.5.3PLC的CPU构成

行提取分析2.5.4内部采集PLC的数

2.53能够远程获取PLC数据据

3数据恢3.1硬3.1.1掌握盘片的清洗方法3.1.1常见硬盘的内部结

件物理3.1.2掌握硬盘电机和盘体的更换方法构

故障数3.13硬盘电机更换后敲盘的数据恢复方3.1.2硬盘工作的原理

据恢复案3.1.3更换硬盘磁头和盘

3.1.4掌握固态硬盘、机械硬盘的固件修片的注意事项

复3.1.4硬盘安全模式的设置

3.1.5掌握硬盘电路板更换注意事项3.1.5硬盘的ROM替换方

法

3.2逻辑3.2.1能够提取数据，制做映像，克隆3.2.1理解FAT32文件系统

故障数硬盘的整体结构与DBR的结构

据恢复3.2.2能够使用数据恢复软件对FAT32、3.2.2理解ExFAT文件系统

NTFS、EXFAT>HFS+、EXT3、EXT4、UFS1的整体结构与DBR的结构

分区丢失的数据恢更3.2.3掌握手工提取ExFAT

3.23能够使用数据恢复软件对FAT32、文件系统中数据的方法

NTFS、EXFAT、HFS+、EXT3、EXT4、UFS13.2.4理解NTFS、EXT3、

分区数据被删除的恢复EXT4、HFS+、UFS1文件系

3.2.4能够使用数据恢复软件对FAT32、统的整体结构

NTFS、EXFAT、HFS+、EXT3、EXT4、UFS1

分区数据误格式化的恢复

3.2.5能够使用数据恢复软件对FAT32、

NTFS、EXFAT、HFS+、EXT3、EXT4>UFS1

分区数据误GHOST的恢复

3.2.6能够对MD5和SHA两种模式

Hash效验计算

3.2.7能够虚拟重建翻译器后提取数据

3.3数据3.3.1能够对Mysql、SQLServer数据库进3.3.1数据库管理系统的概

库数据行恢复念

恢复3.3.2对数据库文件损坏、数据库被删3.3.2常见的数据库管理系

除，能够通文件恢复进行数据库的重组统

与解析3.3.3数据库的重组

3.4文件3.4.1能够对损坏的JPG图像文件进行修3.4.1理解JPG图像文件数

修复复据结构

3.4.2能够对损坏的PNG图像文件进行3.4.2理解PNG图像文件

修复数据结构

3.43能够对损坏的BMP图像文，牛进行3.4.3理解BMP图像文件

修复数据结构

3.4.4能够对损坏的符合文档文件进行3.4.4掌握复合文档文件

修复头结构

3.4.5能够对损坏的RTF文档进行修复3.4.5掌握RTF文档结构

3.5磁3.5.1能够判断RAID通常出现的故障可3.5.1RAID简介及分类

盘阵列能性3.5.2RAID磁盘阵列组

数据恢3.5.2能够掌握常见的RAID数据丢失合原理

复情形3.5.3RAID01与RAID

3.53常见RAID级别的恢复方法10

3.5.4RAID0的数据恢复3.5.4RAID50

3.5.5RAID1的数据恢复3.5.5常见的RAID故障

3.5.6RAID5的数据恢复类型

3.5.6RAID数据恢复恢

复技术原理

3.5.7.RAID类型的判断

2.3高级

职业模培训模技能培训内容理论知识培训内容

块块

1.取证1.1电1.1.1电子数据取证的操作流程1.1.1电子数据取证名

环境部子数据1.1.2电子数据取证的基本原则词术语

署取证技1.13电子数据取证通用程序1.1.2电子数据鉴定基

术规范1.1.4电子数据取证通用要求本原则

1.1.3案件受理流程

1.1.4档案管理要求

1.1.5电子数据存储介

质写保护设备要求

1.1.6电子数据存储介

质亚制工具要求

1.2I1.2.1磁盘文件取证复制工具的使用1.2.1磁盘文件取证复

具使用1.2.2内存文件取证工具的使用制工具FTKimager的使

1.23取证分析工具的使用用

1.2.4数据恢复工具的使用1.2.2内存文件取证分

析工具Volatility的使用

1.2.3网络取证分析工

具Xplico的使用

1.2.4取证分析工具

X-WaysForensics、

WindowsSCOPE的使用

1.2.5数据恢复工具

R-Studio的使用

1.3制1.3.1能够制作DD、EOl、smart、vmdk、gho^1.3.1磁盘镜像制作步

作证据nero境像文件骤

镜像13.2能够远程克隆硬盘或分区，并能制作成1.3.2证据镜像格式类

镜像文件型

1.3.3NETCAT远程克隆

硬盘

1.4系1.4.1能够通过虚拟机技术，对装有1.4.1系统仿真技术定义

统仿真Windows>MacOS、Linux等多种操作系统硬1.4.2系统仿真技术的应

盘和镜像文件进行无痕仿真启动用

1.4.2能够对网络驱动器中的镜像仿真1.4.3系统仿真名词术语

1.4.3能够对各种物理硬盘，以及DD、E011.4.4系统仿真对电子数

等格式的磁盘镜像进行仿真据取证的意义

1.4.4能够对QCOW/QCOW2QCOW3、VHD、

VHDX,RAW,ZVHD2等格式的云服务器镜像

进行直接仿真

2.电子2.1计2.1.1能够制作证据镜像，转换镜像文件格2.1.1查看系统基本信

数据取算机取式息的方法

证证分析2.1.2能够校验证据一致性2.1.2获取系统网络配

2.1.3能够备份和提取证据文件（如隐藏文置信息

件，受保护系统文件）2.1.3查看系统正在运

2.1.4能够制作哈希库，扫描EFS加密数据，行进程的方法

2.1.5能够提取内存数据，使部分关键数字2.1.4监听端口和对应

证据只存在于物理内存或暂存于页面交换文的当前连接方法

件中2.1.5打开TCP/IP端口

2.1.6能够对•计算机文件的创建时间、修改的所有进程方法

时间、访问时间，邮件的发送时间、接收时2.1.6对己获取的证据

间、保存时间，文件传输的创建时间、接收制作MD5的Hash码方法

时间、完成时间等时间属性进行时间线分析2.1.7掌握UNIX/Linux

2.1.7能够对当前运行操作系统下的历史命环境中易失性证据的获

令记录、防火墙规则、登录日志、网络连接、取方法

网卡信息、、系统信息、进程信息、用户信息2.1.8掌握UNIX/Linux

进行快速提取并固定环境中重要文件目录和

2.1.8能够对系统概况、系统磁盘使用情况、日志调查方法

内存使用情况、用户列表、进程列表、系统2.1.9掌握UNIX/Linux

启动项、IP地址等信息提取并固定系统磁盘结构和引导过

2.1.9能够使用十六进制编辑器解析和编辑程

一切可视的二进制文件2.1.10UNIX/Linux的网

2.1.10能够判断系统故障，并能识别恶意软络连接信息获取方法

件、病毒或木马2.1.11掌握数据隐藏的

2.1.11能够查看TCP/UDP的端口使用情况；方法和相应的取证分析

可以根据端口结束程序；可以关闭正在使用方法

指定的端口的连接；

2.2手2.2.1能够对手机文件的创建时间、修改时2.2.1了解SQLite数据库

机取证间、访问时间，邮件的发送时间、接收时间、的结构

分析保存时间，文件传输的创建时间、接收时间、2.2.2掌握SQLite分析中

完成时间等时间属性进行时间线分析常用的SQL语句

2.2.2能够对iPhone免越狱提权取正2.2.3掌握SQLite数据库

2.2.3能够对Android设备免ROOT数据提取文件结构的恢复

提权取证2.2.4掌握SQLite日志

2.2.4能够对Android、iOS密码破解的数据恢复方法

2.2.5能够对Android设备免拆机刷机，ADB2.2.5获取手机系统信息

直连提权提取相关指令的方法

2.2.6能够对即时信息/聊天记录进行提取与2.2.6常用的adb指令集

鉴定2.2.7常见APP的用户数

2.2.7能够提取手机系统数据据文件保存路径

2.2.8能够模拟手机运行环境,运行并登录手2.2.8SIM卡信息获取方

机应用程序，进行数据浏览和分析。法

2.2.9能够在仿真过程不破坏手机环境及用

户数据的前提下，可实时抓取应用程序的通

讯数据，分析应用程序的行为特征。

2.2.10能够提取手机应用数据进行在线仿

真，通过仿真模拟器查看手机QQ、微信、

新浪微博等数据，进行调查分析并截图作为

取证报告辅助证据，且不破坏原有手机数据

的完整性及有效性。

2.2.11能够在手机提取镜像后，通过手机仿

真系统，可以加载镜像进行离线仿真。通过

仿真模拟器上查看手机QQ、微信、新浪微

博等数据，进行调查分析并截图取证。

2.2.12能够在联网情况下，手机仿真系统可

以实时通讯抓包，生成的抓包文件可以用第

三方Wireshark软件进行数据包分析，并对

手机木马、恶意软件分析及安全调查。

2.3网2.3.1能够对域名、服务器IP、端口、服务器2.3.1了解网络取证的定

络取证软件种类和版本等各种网站运行状态信息进行义和特点

分析固定2.3.2了解网络监控的程

2.3.2能够自定义脚本提取服务器数据序

2.3.3能够对网络数据包抓包分析2.3.3了解网络取证的数

2.3.4能够对防火墙规则、DNS缓存、网卡列据来源

表、网络连接、网络服务、ARP缓存等