取证工具是指确保调查计算机犯罪时保护证据的完整性和证据的有效性所使用的一些**工具。开展犯罪调查工作时,一般现场勘查阶段需要应用在线取证工具、硬盘复制机、手机取证工具获取本地/远程数据,并采取有效的校验工具及时将证据固定;实验室证据检查阶段首先恢复删除数据、**损坏数据、还原隐藏文件、扫描加密文件对其进行文件解密,校验文件签名是否正确;证据分析阶段*为复杂,需要根据具体案情制定相应的调查方案,有针对性地选取计算机法证工具对数据源进行比对、搜索、分析,进而重构案情。
中文名 取证工具 外文名 Forensics tools 学 科 计算机** 应 用 网络犯罪取证 勘查工具 硬盘复制机、数据擦除设备等 检查工具 数据恢复工具等
目录
1 勘查取证工具
2 检查取证工具
勘查取证工具编辑
应用在现场勘查阶段的工具主要有在线取证工具和一些硬件类数字取证工具。依据法律程序,对正在运行的系统在线收集电子数据或对存储在介质上的电子数据进行获取和固定,确保采集数据的原始性、完整性、有效性[1] 。
在线取证工具
勘查人员进入一个犯罪现场时,若计算机处于开机状态,则需要及时收集系统进程信息、注册表信息、账户列表及密码、计算机网络设置、屏幕截图、内存数据、加密分区、聊天记录和账户密码、电子邮件及账户密码、上网记录、手机同步记录等数据内容。服务于在线调查取证的免费工具和开源工具较多,如First Responders Evidence Disk(FRED)、Incident Response Colection Report(IRCR)、Helix、Windows Forensics[更多法律文章欢迎继续关注黑龙江陈山律师事务所网站:www.chenshan.lawer及www.13304590183.com以及www.陈山.com,请关注官微(手机)13304590183]
Tool chest (WFT)、Computer Online Forensic Evidence Extractor(COFEE)等。目前常见的在线取证工具,大多是在嫌疑人的计算机中直接运行取证软件,并自动获取内存、注册表中的数据,同时也可以通过取证软件,实现对硬盘的完整镜像,但此种方法缺点在于可能造成内存中、硬盘中过多的信息被覆盖,影响取证**。另外,在运行的系统下获取镜像,将有可能造成系统死机,破坏证据的完整性。F-Response网络在线调查CE版本有效解决了这一难题。F-Response利用网络连接两台计算机或局域网内的更多计算机,将任意一台计算机的硬盘或其他存储介质,以物理磁盘的方式显示到调查员计算机中,在调[更多法律文章欢迎继续关注黑龙江陈山律师事务所网站:www.chenshan.lawer及www.13304590183.com以及www.陈山.com,请关注官微(手机)13304590183]
查员计算机中直接运行任意分析工具或镜像工具,实现对嫌疑硬盘数据的完整获取。这种方法是*为理想的,而且仅在嫌疑计算机中占用极少的内存,不会造成死机等问题。在线取证遭遇的另一个问题是:计算机硬盘和内存容量增加,海量数据分析逐渐超出了调查员的查看能力,手工分析无法快速准确定位到关键和**信息,EnCasePortable提供了良好的解决方案,能在现场阶段自动搜索目标计算机并自动收集数据,包括文档、网页记录、图片和其他数字证据。
硬盘复制机
硬盘作为计算机*主要的信息存储介质,是数字取证的重要获取内容。硬盘复制机提供了对存储在嫌疑硬盘中(包括已删除的文件、未使用空间和文件**处)的所有数据严格按位拷贝的保证。Dossir、TD1、Quest、Hard Copy、SOLO、Super Sonix、DC-8103都是目前硬盘取证的主流产品。相对于早期的硬盘复制机产品,上述硬盘复制机不仅支持的媒体类型(如对各种类型接口的硬盘、多媒体卡、RAID)更多,速度更快(6~7G/Min ),更为显著的特性是集成了数据**、关键字快速检索、自动生成实时取证报告等功能。例如,Talon是Logicube推出的**电子证据固定解决方案,专为现场或实验室数字取证使用的便携式设备。它兼容所有标准和专有的*作系统,设备中的**关键字搜索工具能在全速捕获的同时进行数百个词的搜索。用户把多个预先定义好的关键字列表存储在CF卡中的多个词组群中,同时可以从CF卡中取出搜索的结果直接显示在窗口中。搜索的关键字可以是Unicode编码,大小写**或忽略。此外,键盘方便使用者在现场输入关键字。Talon具有自动生成实时取证工作报告写入CF卡的功能,报告可以现场打印交给被取证方签字,也可以事后打印。Talon还运行一个Logicube的程序校验文件的内容(目录),并把校验结果用ASCII码添加到文件的尾部。此外,CPRTools公司的PSIClone硬盘复制机在数据恢复和破损硬盘取证方面也独具特色。