三级电子物证实验室建设方案书文档格式.docx
- 文档编号:21194675
- 上传时间:2023-01-28
- 格式:DOCX
- 页数:60
- 大小:3.44MB
三级电子物证实验室建设方案书文档格式.docx
《三级电子物证实验室建设方案书文档格式.docx》由会员分享,可在线阅读,更多相关《三级电子物证实验室建设方案书文档格式.docx(60页珍藏版)》请在冰豆网上搜索。
发展安全、专注取证、坚如磐石
质量方针:
持续创新、技术领先、品质卓越、专业服务
1.2盘石公司产品介绍
1.2.1
盘石现场计算机取证系统(SafeImager)
盘石计算机现场取证系统(SafeImager)由可以启动的光盘/U盘、外接的数据存储设备构成。
使用SafeImager光盘/U盘启动对象计算机或者在对象计算机上直接运行SafeImager应用程序,可以快速有效地获取对象计算机上的数据,保存到外接的数据存储设备中。
SafeImager获取的数据可以在各类数据分析软件(例如SafeAnalyzer、MedAnalyzer、Encase、FTK、Smart等)中使用,并可以在获取数据的过程中计算数据的摘要,作为数据完整性和有效性的证明。
SafeImager由两个功能模块组成:
离线取证(Offline)和在线取证(Online)。
1.2.1.1离线取证
使用SafeImager光盘/U盘启动对象计算机,获取对象计算机数据。
在不改变对象计算机数据的前提下,SafeImager提供简洁易用的的操作界面,确保硬盘复制位对位的准确率,保证对象计算机的硬盘数据没有任何的改变,提供现场快速获取和介质分析的功能。
SafeImager支持Unix/Linux/*BSD/Windows等多种操作系统,具有轻便、适合现场应用的特性。
离线取证的主要功能如下:
⏹实现对象计算机的硬盘数据镜像,生成复制盘,同时生成数字摘要。
复制盘和原始盘具有完全一致的数据。
对复制盘的数据分析,具有和对原始盘数据分析同样的效果。
通过启动复制盘,模拟对象计算机本地环境。
⏹实现对象计算机的硬盘和分区数据镜像,生成DD格式、AFF格式的镜像文件,同时生成数字摘要。
。
DD格式的镜像文件具有和硬盘一样的结构,是对硬盘数据的按位复制,保证数据一致性,是目前法律上认可的数据镜像格式。
AFF是高级取证格式,用来保存磁盘镜像信息和相关取证信息的可扩展的开放格式。
使用DD格式、AFF格式的镜像文件,可以在各种取证系统中(SafeAnalyzer、Encase、FTK等)直接加载和分析。
⏹实现对象计算机中的硬盘和分区进行数字摘要计算,文件的数字摘要类似于人的指纹,只有内容完全相同的文件具有相同的数字摘要,便于验证。
⏹
实现对象计算机中的特定目录或者文件进行复制。
可以选择需要复制的。
SafeImager在复制的同时可以生成每一个文件的数字摘要。
⏹对取证硬盘进行擦除操作。
1.2.1.2在线取证
在目标系统运行的情况下,对目标系统内部的易失数据如内存信息,临时文件等进行取证。
同时由于现场的复杂性,有可能无法对目标系统进行离线取证,可以通过在线取证系统进行取证。
由于在线取证软件需要运行在目标系统的操作环境,所以可能会对证据有效性有所影响,须要配合拍照、摄像等手段保持证据力。
在线取证目前支持Windows2000/XP/2003平台。
在线取证的主要功能如下:
⏹导出系统信息:
导出运行系统内存中的47类易失信息,分为3个大类:
操作系统信息、密码信息和上网记录。
⏹内存信息复制:
对对象计算机物理内存进行数据镜像,生成DD格式或者AFF格式的数据镜像文件
⏹在线硬盘复制
不关机情况下对对象计算机的硬盘进行数据镜像,可以硬盘克隆、生成DD镜像文件和AFF镜像文件。
在复制的同时可以生成数字摘要。
⏹在线分区复制
不关机情况下对对象计算机的分区进行数据镜像,可以生成DD镜像文件和AFF镜像文件。
支持各种虚拟分区软件(如PrivateDisk)创建的虚拟分区的获取。
1.2.1.3产品特性
⏹不拆机箱的数据获取
✓光盘启动/程序直接运行
✓在不拆机箱的情况下对证据计算机的证据硬盘进行数据获取,可以获取包括整个硬盘、分区、目录和文件等各个级别的数据。
✓在线获取支持获取系统运行信息、内存和常见应用程序密码。
✓支持基于IA32架构的笔记本、PC和服务器
✓支持IDE、SATA、SCSI、RAID等各种硬盘和数据架构
✓支持Dos/Windows文件系统,包括:
FAT、FAT32、NTFS
✓支持常见的其它文件系统,包括:
EXT2/3、UFS、XFS、HFS、JFS、MINIX、HPFS等
✓使用USB2.0/1394A/1394B接口,数据获取速率最高可以达到2.5GB/分钟
✓获取的数据可以使用SafeAnalyzer、Linux、WinHEX、Encase、FinalData、FTK等各种取证工具进行分析
⏹规范化操作
✓现在的所有操作进行日志记录
✓对证据数据进行完整性保护,不破坏现场数据
✓在数据复制的同时生成MD5哈希,便于事后校验
⏹简单易用
✓所有操作采用图形化的向导界面
✓操作过程动态显示,获取过程一目了然
✓提供快速操作,简化现场工作
1.2.1.4SafeImager增强型
考虑到关机时采用复制机会有效地提高现场数据获取的速度,我们提供了增强型的计算机现场取证系统,内置便携式高速硬盘复制机。
复制机支持IDE、SATA、2.5寸硬盘的直接复制,且可以将IDE/SATA硬盘接口做为只读接口使用。
复制速度最高达到4.5G/分钟。
1.2.2
盘石手机取证分析系统(SafeMobile)
针对手机的取证和传统的数据取证有很大不同,手机数据一般都保存为私有格式,不同厂商,型号和系统都会有所不同。
盘石SafeMobile手机取证分析系统采用统一的界面获取各种品牌手机中用户输入的数据和部分设备的未分配存储区域,并进行取证分析。
该产品得到科技部2007年度火炬基金支持,并通过认证。
SafeMobile系统特性:
⏹支持GSM/CDMA手机,包括:
摩托罗拉、诺基亚、西门子、三星、索爱、联想、夏新、飞利浦,天语、多普达、联想、步步高、七喜、UT斯达康、OPPO、海尔、波导、TCL、酷派、OKWAP、港利通、天语、海信、明基、长虹、友利通、GT佳通、CECT、技嘉、天珑、爱肯、ZTC中天、大显、亿通、创维、普莱达、奥丁、天时达、万利达、华立、唯科、侨兴、纽曼、桑达、康佳、恒基伟业、华禹、倚天、金鹏、德赛、万事通、新邮通、宏康、盛泰、明腾、IDO、TSD、埃立特、普天、振华欧比、互通、高新奇、魅族、南极星、汉泰、福日、汇讯、三巨网、东信、首信、金立、唯奥、广信、邦华、晨兴、高科、宝捷讯、众一、嘉源、国信、金正、HKC、百迪宝、兆讯达、骏域、深爱、权智、高斯贝尔、赛洛特、亿城、友信达、中恒、联创、新中桥、科诺、知己、雅讯达、天元、宝码、乐华、中讯天创、奥克斯、VOSIA奥翔、都宝、FIC大众、绿力、中宝、屹东、摩西、琦基、艾美讯、OQO、爱国者、特灵通、赛昂星、齐乐、盛隆、吉事达、爱我、奥乐、科健、厦华、熊猫、南方高科、大唐、托普、迪比特、浪潮、中桥、数源、紫光UNIS、NEO、奥盛、Beluga、科盛通信等多个品牌2000多款手机,型号还在不断增加中;
⏹支持中国市场使用的所有SIM卡,如全球通,M-ZONE,神州行,世界风,Up新势力,如意通,Uni,宝视通,各种CDMASIM卡;
⏹国产手机的支持MTK平台、展讯平台
⏹对智能手机的支持Linux平台、WindowsCE
⏹手机/SIM卡电话本、通话记录、短信、设备信息和文件的获取;
⏹支持对手机/SIM卡删除短信的恢复;
⏹MTK平台物理获取,主要针对手机里的存储器,通过硬件工具对手机字
库进行备份,根据特征搜索镜像,获取用户数据信息,包括删除记录;
⏹手机连接方式支持:
数据线、红外、蓝牙
⏹提供灵活多样的搜索方法,支持多编码格式同时搜索;
⏹书签功能灵活强大,能更好的帮助分析数据;
⏹即时提供的报表预览功能,一次性生成可打印报表,降低取证分析人员的劳动强度;
⏹文件预览功能可查看十六进制数据,方便高级取证分析人员进一步分析所得数据
⏹支持设备校验,防止在文件移动过程中发生意外;
⏹工作平台为Win2000及其后续版本。
1.2.3盘石介质取证分析系统(SafeAnalyzer)
SafeAnalyzer为执法部门提供全面、彻底的计算机数据分析、检查能力。
具有强大的数据恢复、过滤、分析、查找和报告功能,并提供简单易用的操作界面,是当前电子数据取证分析的首选工具。
目前产品的已经达到国际先进水平,符合司法取证的需求。
该产品是ENCASE/FTK/Winhex等分析软件的全中文替代品。
更加符合中国用户的使用习惯。
在部分功能效率上超越了国外产品。
⏹获取镜像生成MD5哈希校验值,并可随时校验;
⏹导出文件可以同时计算文件的MD5哈希;
⏹分析过程有详细的审计日志,便于案件的审查复核工作
关键特性包括:
⏹支持计算机存储介质直接分析,及支持DD、AFF、Encase格式镜像文件的分析,对其进行只读访问,不破坏原始数据;
⏹支持MBR、GPT(Vista)分区方式,可以直接运行在Vista中;
⏹自动进行系统分析,包括系统安装时间,操作系统版本,用户信息,网络配置信息,安装的程序,最后运行时间等,并可以选择性地纳入案件报告;
⏹灵活的时区支持及管理,允许勘查人员为每一个证据文件、每一个卷或每一个案件指定时区设置,解决了所分析的介质使用的时区设置与调查人员所用时区设置不同的情况
⏹支持图库预览功能;
⏹提供文本、十六进制、缩略图、预览等文件查看方式;
⏹自动编码识别:
支持文档文件的编码自动识别
⏹十六进制解析:
类似WinHex
⏹文件过滤:
系统缺省和自定义的过滤功能,并支持多重过滤;
⏹时间线分析:
通过设置时间区域,建立该区段修改、访问、创建的文件时间线,方便定位案件相关文件;
⏹删除恢复:
文件系统中删除恢复、特征恢复;
可恢复高级格式化磁盘内的文件,可判断出交叉覆盖文件;
⏹具有高性能的关键字搜索功能、支持多关键字同时搜索而不明显降低效率,支持搜索前过滤,提高搜索效率;
⏹关键词查找:
各种编码格式的关键词查找,支持正则表达式可忽略大小写,关键字支持GB2312、UTF7、UTF8、Unicode、Unicodebig-endian、Base64、Big5编码;
⏹基本信息:
方便取证人员对操作系统环境有个整体上的认识,能够提取的的信息包括(操作系统信息、时区信息、网络配置、安装软件、服务列表、共享信息、用户信息、USB设备使用记录、硬件信息等);
⏹注册表分析:
察看Windows的注册表文件,可根据系统缺省和自定义的注册表项目,快速定位浏览;
⏹Web分析:
查看目标机器的浏览器历史、缓存记录、Cookie信息和收藏夹等,支持被清除历史、缓存记录的预览和获取功能,支持IE、Firefox、Opera、Chrome浏览器;
⏹邮件分析:
查看对象计算机客户端邮件,包括收件箱、发件箱、已发送邮件、草稿箱、废件箱等,支持的邮件客户端有foxmail、outlook、outlookexpress,还支持对web邮箱的分析获取,目前支持的web邮箱有:
Tom、126、163、QQ、Yahoo、Sina等;
⏹即时通讯分析:
提供快速提取QQ、MSN、Skype、淘宝旺旺、雅虎通、飞信、ICQ聊天记录、好友列表以及语音记录,并包括删除QQ好友号;
⏹回收站分析:
解析放入回收站的数据信息,及从回收站删除的数据信息;
⏹事件日志分析:
快速提取分析对象计算机事件日志;
⏹打印缓存:
搜寻系统中存在的具体SPL和SHD文件,取出相关信息和EMF文件,还可搜寻未分配簇取出未被覆盖的EMF文件;
⏹下载软件:
针对FTP下载工具和P2P下载工具进行分析,主要是获取下载的任务队列以及站点用户的信息。
支持FlashFXP,CuteFTP,LeapFTP;
电驴,比特彗星,超级旋风,快车,Vagaa等;
⏹复合文件分析:
可以查看内含有其它文件的多层组成的文件。
能够在层级查看那些文件;
⏹校验文件特征:
用以校验出目标文件属性是否更改;
⏹报告生成:
根据用户添加的书签和备注信息,生成案件报告;
⏹全中文界面,系统简单易用。
主要特性详列:
事件日志:
日志文件中的记录可提供以下用途:
监控系统资源、审计用户行为、对可疑行为进行告警、确定入侵行为的范围、为恢复系统提供帮助、生成调查报告、为打击计算机犯罪提供证据来源。
提供了快速分析事件日志,提高取证分析的效率;
邮件分析:
类似客户端方式进行查看邮箱中的内容,包括收件箱、发件箱、已发送、垃圾邮件、以及联系人等;
目前支持的客户端有foxmail、outlook、outlookExproler;
即时通讯:
对不同的信息存储格式进行解析,提供快速提取QQ、MSN、Skype、淘宝旺旺、雅虎通、飞信、ICQ聊天记录、好友列表以及语音记录,并包括删除QQ好友号的恢复;
下载软件:
针对FTP下载和P2P下载工具进行分析,主要是获取下载的任务队列以及站点用户的信息。
电驴,比特彗星,超级旋风,快车等。
打印缓存:
搜寻系统中存在的具体SPL和SHD文件,取出相关信息和EMF文件,还可搜寻未分配簇取出未被覆盖的EMF文件。
基本信息:
能够提取的的信息包括(操作系统信息、时区信息、网络配置、安装软件、服务列表、共享信息、用户信息、USB设备使用记录、硬件信息等)
回收站分析:
对回收站INFO,INFO2文件直接分析,并解析回收站中曾经删除过的文件信息。
图库预览:
案件中的图片文件在图库中以图片的形式呈现,直观而富有效率。
定义关键词:
关键词是全局配置,对关键词作的改动会在退出时自动保存。
下次运行时自动加载到系统中来。
进行搜索时将根据预先定义的关键词进行搜索
注册表:
注册表面板的树有两个根节点“注册表”和“分析结果”.”注册表”节点下是这次分析的所有注册表文件,而“分析结果”是根据一个配置文件从“注册表”节点下提取出来的感兴趣的数据。
数据挖掘:
挖掘存储介质中形成大量碎片的文件,快速捕捉、提取对案件有价值的证据文件。
搜索:
搜索的结果存放在“命中结果”面板中。
面板的树节点为本案件所有参与搜索的关键词。
单击关键词会在列表中列出其在历次搜索中命中的条目。
上网日志:
分析MicrosoftInternetExplorer浏览器4.0以上版本的上网行为。
包括历史、缓存、cookie、收藏夹,并能从磁盘的未分配空间中找出被清除的历史和缓存记录。
1.2.4盘石易载镜像助手(SafeMount)
SafeMount盘石易载镜像助手是一个强大的虚拟化工具,提供一种直观和易用的方式访问各种格式的数字镜像文件,它将各种数字镜像格式文件(包括DD、Encase、AFF等)和VMDK虚拟磁盘文件模拟成Windows系统的磁盘或者逻辑分区,调查人员不需要借助任何取证分析软件来提取镜像文件内的数字信息,只要使用常规的应用软件比如防病毒软件、媒体播放软件、图形图像软件、压缩解压软件等来直接访问虚拟磁盘或者虚拟分区内的文件,所有访问操作都不会对原始镜像文件有任何修改。
SafeMount是取证调查人员的有力辅助工具。
SafeMount技术特点:
⏹虚拟设备驱动,对上层应用透明;
⏹只读方式加载,有效保护数据完整性;
自动识别磁盘镜像分区格式;
⏹自动识别镜像内分区;
⏹硬盘镜像可以单独加载镜像中的一个分区;
⏹硬盘镜像可以加载为整个磁盘设备;
⏹支持常见的Windows文件系统;
⏹支持常见的镜像格式,包括:
DD、Encase、AFF;
⏹支持VMDK虚拟磁盘格式;
⏹支持Vista的GPT硬盘分区格式;
⏹加载好的分区、硬盘操作特性和本地分区、硬盘一致;
⏹可以使用常规的非针对取证目标设计的工具对取证镜像进行分析;
⏹操作过程有详细的日志信息;
⏹全中文图形操作界面,简单易用。
⏹司法符合性
✓加载过程中完全只读方式,保持证据的原始性;
✓加载过程中有详细的操作日志信息
⏹支持镜像格式
✓DD镜像
✓Encase镜像
✓AFF镜像
✓VMDK文件
⏹支持的分区方式
✓MBR
✓GPT
⏹支持的分区格式
✓NTFS;
✓NTFScompressed
✓FAT12/16/32
1.2.5
盘石计算机仿真取证系统(SafeVM)
盘石计算机仿真取证系统专业版(SafeVMPro)是用来生成虚拟机配置文件的取证工具。
通过SafeVMPro可以将取证镜像文件或者对象计算机系统的硬盘模拟为虚拟机,在虚拟机环境下进行启动,取证调查人员可以以交互的方式和系统用户的角度直观的检查和操作目标系统,收集相关证据。
SafeVMPro充分考虑取证调查的要求,对原始镜像文件或者对象计算机系统的物理硬盘进行保护,调查人员的任何修改操作都不会影响原始设备。
SafeVMPro屏蔽了虚拟机配置的技术细节,并自动调整虚拟机文件参数,减少虚拟机启动故障,降低了取证调查难度。
产品特性
⏹支持完整磁盘镜像文件;
⏹支持可启动的分区镜像文件;
⏹支持物理硬盘或者其他存储设备(通过USB、1394等接口连接);
⏹支持DD格式镜像文件(DD或SplitDD);
⏹通过SafeMount™支持Encase™、AFF格式镜像文件;
⏹自动识别操作系统类型;
⏹支持常见的Windows操作系统:
Windows7、WindowsVista、2003,XP,2000,NT,Me,98;
⏹支持Linux操作系统;
⏹支持原AMD架构操作系统正确仿真;
⏹提取Windows操作系统的密码Hash
⏹解决蓝屏修复
⏹自动解决虚拟机无法启动的故障
⏹配置Windows操作系统自启动项
⏹绕开Windows操作系统激活机制
⏹虚拟机内进行的任何操作不会改动原始设备或者镜像文件;
∙
增强功能
◆案件管理
可以处理多案件及单案件多虚拟机情况
◆加载虚拟机磁盘分区
对已经生成虚拟机且没有运行,加载选中的虚拟机磁盘分区到系统没有使用的盘符
◆虚拟机生成后配置工具
⏹Windows免激活。
⏹Windows蓝屏修复离线状态下修复。
⏹Windows服务和驱动(离线状态)虚拟机启动之前的配置。
⏹Windows自动启动(离线状态)虚拟机启动之前的配置。
⏹Windows启动失败后的配置。
⏹WindowsSAM文件和Hash值得获取,及绕过登陆密码
⏹配置VMWare和WinDBG模拟串口的windows内核调试。
1.2.6盘石可视化数据分析平台(IDVP)
盘石可视化数据分析平台提供全新的可视化分析调查功能,使情报分析人员能快速掌握相关信息,也为预防和打击犯罪提供及时支持,让情报分析更兼具时效性与准确性。
案件数据处理过程中所涉及到的信息多种多样,很难有专们的工具进行分析,通常以人工分析为主。
分析过程的非结构性和不确定性,不易形成固定的分析流程或模式,使得调查取证中的信息很难进入现有的系统中。
借助功能强大的IDVP,可将各类数据导入系统进行关联分析,做出完整的分析图表,也整展示案件分析过程和证据链。
主要功能:
●通过导入插件和脚本,将各种格式的日志数据、结构化数据和非结构化数据导入到数据中心
●通过基础分析功能和脚本,对导入的数据进行整合、分析
●通过数据展现和脚本,将数据对象化并生成易于理解的信息图,寻找、剔除或展示关键点
●通过导出插件和脚本,将数据导出为各种可能的格式
●通过脚本生成特定的解决方案
●可扩充的插件和脚本库
技术特点
●更好的稳定性
在大部分数据分析软件中,最容易崩溃的地方往往发生在数据结构化的过程中,IDVP采用多进程的方式有效地处理各种异常情况,保证了工作的连续和我拟定性。
●更好的数据库支持
统一的数据中心解决方案,同时支持SQL数据库和NoSql数据库。
●绚丽的可视化效果
提供多种图形对结果展示,包括:
各种分布图(中心分布、树形分布、层次分布、主题分布等)、统计图(饼图、柱形图、面积图、趋势图、散点图等)。
数据之间关系直接对象化,方便直观显示数据的关系。
●高扩展性
数据分析的各个阶段都提供相应的系统API,采用成熟的Python语言作为脚本语言,用户和合作伙伴可以方便定制所需的功能,系统内置多种预定义脚本,常见的数据类型系统内置插件和脚本支持。
●丰富的数据来源支持
系统内置对文本文件、二进制文件、数据库、PDF、Excel等等数据的分析,并通过插件和脚本不断增加数据来源支持。
●多种数据导出方式
提供脚本和插件支持导出结果到常见的文件格式,如:
Word、Excel、Html、PDF等等,并且支持的格式不断增加中。
1.2.7盘石实验室管理系统(LIMS)
随着电子取证的复杂度增加,案件的参与人员、涉及的检材、使用的仪器设备以及相关卷宗等数据量都随之快速膨胀,传统的手工管理模式将越来越难胜任,这就给实验室的管理带来了相应的压力。
盘石实验室管理系统(PS.LIMS)根据电子数据鉴定实验室的实际业务需求,参照ISO/IEC17025标准进行开发。
对人员、仪器设备、鉴定方法、鉴定环境、操作进度、检材、鉴定报告以及卷宗等进行综合的闭环管理,从本质上提高实验室管理的整体水平。
结构图:
●案件管理:
对实验室中处理的各类案件以及专案进行统一管理,通过委托类型、案件类型、操作流程以及相关操作等进行跟踪分析并生成鉴定报告等文件。
●检材管理:
对涉及案件的相关检材,根据检材类型、型号、容量等进行分类管理,对于实体检材可与检材柜进行绑定。
系统同时记录下针对检材的每个操作,可对检材的使用情况进行跟踪。
●设备管理:
对实验室中使用的设备的基本信息、使用信息以及维修等情况进行管理,可按时间、类型、使用频率等进行统计分析。
●卷宗管理:
对案件处理过程中产生的各类文档、文件等相关信息自动分类归档,并统一管理,也可以通过特殊权限对案件进行材料补充,同时提供丰富多样的图表统计功能。
●人员管理:
根据授权对实验室里不同职责的人员进行管理,真正做到根据不同职责范围和角色进行分工授权,同时可对人员的日程、状态、培训、考核、请假、工作量等进行管理和查看,可灵
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 三级 电子 物证 实验室 建设 方案