国内外计算机取证设备对比与分析.docVIP

国内外计算机取证设备对比与分析作者简介 : 王玉福 (1974 年 ), 男 , 山东省平度市人 , 大学本科 , 主要研究领域为 计算机取证软硬件设备 ; 摘 要 : 对电子证据的获取、分析和发现是打击各种犯罪行为的一种全新手段。随着国内涉及计算机取证的案件不断增多，法律部门越来越需要精确、高速、多功能、智能 化、适应于不同场合的专业计算机取证设备来武装自己。多年来，国外科研机构、院校、军警部门一直在努力加强计算机取证技术的研究，研制开发了各种各样的软 硬件产品；国内科研机构也注意加强年来也出现一些专业的计算机取证产品。如何充分地利用这些已有的计算机取证工具，提高国内法律部门的计算机取证水平，有 效地打击犯罪行为具有重要的意义。本文通过对比国内外各种计算机取证工具的特点，分析发现不同取证工具的使用优势，便于同行对不同取证设备的认识。 关键词 : * 计算机取证 ; 设备评测 * 硬 盘作为计算机最主要的信息存储介质，是计算机取证的重要获取内容，也是目前各种计算机取证工具的主要方向。目前国内外市场上，用于硬盘拷贝、数据获取的专 业产品较多：有为司法需要而特殊设计的 MD5 、 SF-5000 、 SOLO II 硬盘拷贝机，有适合 IT 业硬盘复制需要的 SONIX 、 Magic JumBO DD-212 、 Solitair Turbo 、 Echo 硬盘拷贝机；有以软件方式实现硬盘数据全面获取的取证分析软件，如 FTK 、 Encase 、 Parabens Forensic Replicator ；有综合软件获取和硬拷贝方式的取证勘察箱，如 Image MASSter Road MASSter 、“天宇”移动介质取证箱、“网警”计算机犯罪取证勘察箱；此外，还有通过 USB 接口、 1394 接口、 PCMCIA 、并口等方式的硬盘获取设备及附件，如 LinkMasster II 、 CloneCard 、 USB WriteProtect 、 Desktop WriteProtect 、“天宇”全能拷贝王等等。 在上述众多的计算机取证产品中，每一种产品都有其自身的特点 和可利用的优势。计算机取证人员可以根据不同的工作需要和工作环境选用不同的取证工具。而为了实现最佳的取证效果，应当充分挖掘各种产品的功能，合理组合 各种取证工具，形成一套设备精简、功能强大的专业计算机取证勘查工具集合。本文就目前部分国内外计算机硬盘取证专业设备的性能特点进行介绍。 ?手持式硬盘取证设备 手 持式硬盘取证设备的主要特点是体积小、重量轻，便于携带和使用。在各种取证设备中，手持式硬盘取证设备拷贝速度最快，最高可达 3.3GB/ 分钟。多数手持式拷贝机以硬盘直接拷贝为主要方法，要将疑犯计算机的硬盘取出，直接与拷贝机连接，实现对硬盘数据的全面复制。考虑到不同环境下的不同取证 需要，新型拷贝机除硬盘直接拷贝方式外，还增加了 USB 接口拷贝方式、 SATA 硬盘拷贝、 PCMCIA 接口拷贝，增强了拷贝机的功能和使用灵活性，促进了计算机取证技术的发展。正因为具有便于携带和拷贝功能强的特点，手持式拷贝机成为司法取证的首选设备。 国际市场上手持式硬盘拷贝机大致可分为两代产品。以 SF-5000 、 SOLO II 、 SolitareTurbo 为代表的第一代拷贝机，拷贝速度最高可达 1.8GB/ 分钟。以 Forensic MD5 、 Sonix 、 DD-212 为代表的第二代硬盘拷贝机，拷贝速度最高可达 3.3GB/ 分钟。 各种手持式硬盘拷贝机中，通过用途划分可分为司法专用型和民用型两种。 司 法专用型 以 Forensic MD5 、 SF5000 、 SOLO II 为代表。这些设备通过精确的数据校验机制，实时计算疑犯硬盘和证据硬盘的哈希值，确保疑犯硬盘数据未被改动、疑犯硬盘与证据硬盘完全一致。目前主要的校验 方法有 MD5 和 CRC32 ，基于此种方法进行校验，复制的硬盘能够作为司法证据被部分国家法律认可。但是，由于采用的严格的数据校验机制，司法专用型拷贝机的硬盘拷贝速度也因数据 校验时间而受影响。以 MD5 拷贝机为例，获取 80GB 容量硬盘时，拷贝速度达到 3GB/ 分钟，应该可在 30 分钟内完成，但由于额外花费了近一倍的数据校验时间，导致最终完成时间为 55 分钟。 民用型 以 Sonix 、 DD-212 、 Solitare Trubo 、 Echo 为代表。这些设备突出的特点是速度快、功能多、使用灵活。但因为不具备精确的数据校验功能，使其无法作为司法取证工具使用。但是如果在一些特殊的条件下， 对拷贝精确没有非常严格的要求，那么此类设备将是非常理想的拷贝工具。比如利用 Solit