三级电子物证实验室建设方案书 - 图文

新疆公安厅库车公安局 电子数据取证鉴定实验室

建设项目方案书

版本：2.0

2014年06月

目 录

第 1 章 技术和工作基础 ............................................................................................. 7

1.1 公司介绍 .............................................................................................................. 7 1.2 盘石公司产品介绍 ............................................................................................... 7

1.2.1 盘石现场计算机取证系统（SafeImager） ........................................... 7

1.2.1.1 离线取证 .................................................................................... 8 1.2.1.2 在线取证 .................................................................................... 9 1.2.1.3 产品特性 .................................................................................. 10 1.2.1.4 SafeImager增强型 .................................................................. 11 1.2.2 盘石手机取证分析系统（SafeMobile） ............................................. 12 1.2.3 盘石介质取证分析系统（SafeAnalyzer） .......................................... 14 1.2.4 盘石易载镜像助手（SafeMount） .................................................... 23 1.2.5 盘石计算机仿真取证系统（SafeVM） ............................................... 26 1.2.6 盘石可视化数据分析平台（IDVP） .................................................... 28 1.2.7 盘石实验室管理系统（LIMS） ........................................................... 32 1.2.8 盘石计算机现场取证勘察箱（SafeSuite） ......................................... 34 1.2.9 盘石计算机取证分析平台（SafeForensicPlatform） ........................ 36

1.3 取证专业培训 ..................................................................................................... 36 第 2 章 实验室技术规格和要求 ................................................................................ 38 2.1 公安部对鉴定试验室的能力要求 ........................................................................ 38 2.2 实验室装备功能要求 .......................................................................................... 40 2.3 实验室的区域设置 ............................................................................................. 41

<公司机上海盘石数码,2015 页码：ii 密 > 电子数据取证鉴定实验室建设项目 版本：<2.0> 日期：<2015-08-17> 作者：陆道宏

2.4 实验室的管理 ..................................................................................................... 42

2.4.1 实验室域管理环境 .............................................................................. 42 2.4.2 流程管理 ............................................................................................ 43 2.4.3 安防设备 ............................................................................................ 43

第 3 章 实验室设备配置规格说明 ............................................................................. 44 3.1 数据的固定设备 ................................................................................................. 44

3.1.1 证据数据完整性的保护 ....................................................................... 44

3.1.1.1 盘石只读接口套件 ................................................................... 44 3.1.1.2 Solo-III高速多功能复制机套件 ................................................ 47 3.1.1.3 盘石1to 2光盘复制机 ............................................................ 49 3.1.1.4 数据完整性校验值计算软件 ..................................................... 50 3.1.2 证据数据原始性的保护 ....................................................................... 50

3.1.2.1 摄像机 ..................................................................................... 50 3.1.2.2 照相机 ..................................................................................... 50 3.1.2.3 屏幕录像软件 ........................................................................... 50

3.2 本地数字化设备非运行状态下的数据提取 .......................................................... 51

3.2.1 独立存储介质的数据提取 ................................................................... 51 3.2.2 镜像文件加载软件 .............................................................................. 51

3.3 不可独立访问存储介质的数据提取 .................................................................... 51

3.3.1 Safemobile手机取证系统介绍 ............................................................ 51 3.3.2 磁存储介质物理数据提取 ................................................................... 52

<公司机上海盘石数码,2015 页码：iii 密 > 电子数据取证鉴定实验室建设项目 版本：<2.0> 日期：<2015-08-17> 作者：陆道宏

3.3.2.1 SafeDisk 硬盘检测、解密和固件恢复系统 .............................. 52 3.3.2.2 无尘工作环境 ........................................................................... 52 3.3.3 光存储介质物理数据提取 ................................................................... 54

3.3.3.1 光盘修复机/清洗机/软件 .......................................................... 54

3.4 本地数字化设备运行状态下的数据提取 ............................................................. 55

3.4.1 运行状态下数字化设备上的数据提取 .................................................. 55

3.4.1.1 盘石仿真取证系统（SafeVM） ............................................... 55 3.4.1.2 Rainbow-LmHash ................................................................... 55 3.4.1.3 盘石现场取证系统（SafeImager） ......................................... 55 3.4.2 运行状态下数字化设备网络通信数据的提取 ....................................... 55

3.4.2.1 wireshark ................................................................................ 55

3.5 远程数字化设备的数据提取 ............................................................................... 56

3.5.1 远程数字化设备存储处理的数据提取 .................................................. 56 3.5.2 远程数字化设备运行状态数据提取 ..................................................... 56

3.6 数据的发现 ........................................................................................................ 57

3.6.1 盘石介质取证分析软件（SA） ........................................................... 57 3.6.2 R-Studio介绍 .................................................................................... 57

3.7 数据的解密与解码 ............................................................................................. 59

3.7.1 加密数据的解密:Elcomsoft 密码破解套件 ......................................... 59 3.7.2 结构化数据的解码 .............................................................................. 60

3.8 数据的分析 ........................................................................................................ 60

<公司机上海盘石数码,2015 页码：iv 密 > 电子数据取证鉴定实验室建设项目 版本：<2.0> 日期：<2015-08-17> 作者：陆道宏

3.9 程序功能的黑盒分析 .......................................................................................... 61

3.9.1 程序功能的静态分析: IDA PRO（专业版+反编译） ........................... 61 3.9.2 有害程序搜索软件 .............................................................................. 62

3.10 实验室环境条件 ............................................................................................... 62

3.10.1 基础环境和设备条件 ......................................................................... 62 3.10.2 数据发现提取固定基础条件 .............................................................. 62

3.10.2.1 证据数据存储设备 .................................................................. 62 3.10.2.2 物证存储柜 ............................................................................ 63 3.10.2.3 本地数字化设备检验专用主机（取证分析工作站 SFP-101） 64 3.10.2.4 远程数字化设备检验专用主机 ................................................ 65 3.10.2.5 物证封存袋、封存条 .............................................................. 65 3.10.3 程序功能检验基础条件 ..................................................................... 65 3.10.4 实验室管理条件 ................................................................................ 65

3.11 实验室附属设施 ............................................................................................... 65 第 4 章 实验室建设项目工程实施 ............................................................................. 66 4.1 项目实施概况 ..................................................................................................... 66 4.2 项目实施甘特图 ................................................................................................. 66 第 5 章 技术培训和支持 ........................................................................................... 67 5.1 技术培训 ............................................................................................................ 67 5.2 技术支持 ............................................................................................................ 67

<公司机上海盘石数码,2015 页码：v 密 > 电子数据取证鉴定实验室建设项目 版本：<2.0> 日期：<2015-08-17> 作者：陆道宏

5.2.1 保证期内服务计划 .............................................................................. 67 5.2.2 保证期后服务计划 .............................................................................. 68

修订记录

版本 2.1 时间 2009-6-26 作者 盘石数码 备注 2.0版本上修改了文档风格和格式

<公司机上海盘石数码,2015 页码：vi 密 > 电子数据取证鉴定实验室建设项目 版本：<2.0> 日期：<2015-08-17> 作者：陆道宏 盘石软件（上海）有限公司 http://www.pansafe.com

第 1 章 技术和工作基础

1.1 公司介绍

盘石软件(前身“上海盘石数码信息技术有限公司”)成立于2002年，专业从事网络安全和计算机取证产品的研发和服务。2004年4月，随着专业取证技术的发展，计算机取证产品的研发和服务即成为公司的主要发展方向。盘石公司的取证技术人员曾多次参与针对公安技术人员的全国性的培训讲解，和公安信息网络安全保卫部门建立了良好的沟通关系，提供专业

的取证产品和技术服务，在一些新的技术领域和案件上提出自己的见解并参与到实际工作中。

在计算机取证研发和实践过程中，盘石公司对国内外电子证据鉴定实验室的建设也十分关注。参照国外实验室的框架我们为公安部、上海、广州、湖北、安徽、浙江等地的实验室提供了建设方案，并参与公安部十一局、湖北省公安厅、安徽省公安厅、上海市公安局等各地电子证据鉴定实验室的建设和装备提供。

盘石软件的企业文化：

企业愿景：成为具有世界水平的电子取证技术专业公司 企业目标：高度专注于电子取证领域的软件开发与技术服务 核心价值观：为社会、客户、员工创造共同价值 企业口号：发展安全、专注取证、坚如磐石 质量方针：持续创新、技术领先、品质卓越、专业服务

1.2 盘石公司产品介绍

1.2.1 盘石现场计算机取证系统（SafeImager）

盘石计算机现场取证系统（SafeImager）由可以启动的光盘/U盘、外接的数据存储设备构成。

地址： 上海市中江路879号天地软件园19号楼4楼 第 7 页 共 67 页 电话：021-52658848 传真：021-52659766

盘石软件（上海）有限公司 http://www.pansafe.com

使用SafeImager光盘/U盘启动对象计算机或者在对象计算机上直接运行SafeImager应用程序，可以快速有效地获取对象计算机上的数据，保存到外接的数据存储设备中。

SafeImager获取的数据可以在各类数据分析软件（例如SafeAnalyzer、MedAnalyzer、Encase、FTK、Smart等）中使用，并可以在获取数据的过程中计算数据的摘要，作为数据完整性和有效性的证明。

SafeImager由两个功能模块组成：离线取证（Offline）和在线取证（Online）。 1.2.1.1 离线取证

使用SafeImager光盘/U盘启动对象计算机，获取对象计算机数据。在不改变对象计算机数据的前提下，SafeImager提供简洁易用的的操作界面，确保硬盘复制位对位的准确率，保证对象计算机的硬盘数据没有任何的改变，提供现场快速获

取和介质分析的功能。SafeImager支持Unix/Linux/*BSD/Windows等多种操作系统，具有轻便、适合现场应用的特性。

离线取证的主要功能如下：

? 实现对象计算机的硬盘数据镜像，生成复制盘，同时生成数字摘要。复制盘和原始

盘具有完全一致的数据。对复制盘的数据分析，具有和对原始盘数据分析同样的效果。通过启动复制盘，模拟对象计算机本地环境。

? 实现对象计算机的硬盘和分区数据镜像，生成DD格式、AFF格式的镜像文件，同

时生成数字摘要。。DD格式的镜像文件具有和硬盘一样的结构，是对硬盘数据的

地址： 上海市中江路879号天地软件园19号楼4楼 第 8 页 共 67 页 电话：021-52658848 传真：021-52659766

盘石软件（上海）有限公司 http://www.pansafe.com

按位复制，保证数据一致性，是目前法律上认可的数据镜像格式。AFF是高级取证格式，用来保存磁盘镜像信息和相关取证信息的可扩展的开放格式。使用DD格式、AFF格式的镜像文件，可以在各种取证系统中(SafeAnalyzer、 Encase、 FTK等)直接加载和分析。

? 实现对象计算机中的硬盘和分区进行数字摘要计算，文件的数字摘要类似于人的指

纹，只有内容完全相同的文件具有相同的数字摘要，便于验证。 ? 实现对象计算机中的特定目录或者文件

进行复制。可以选择需要复制的。SafeImager在复制的同时可以生成每一个文件的数字摘要。 ? 对取证硬盘进行擦除操作。 1.2.1.2 在线取证

在目标系统运行的情况下，对目标系统

内部的易失数据如内存信息，临时文件等进行取证。同时由于现场的复杂性，有可能无法对目标系统进行离线取证，可以通过在线取证系统进行取证。由于在线取证软件需要运行在目标系统的操作环境，所以可能会对证据有效性有所影响，须要配合拍照、摄像等手段保持证据力。在线取证目前支持Windows 2000/XP/2003平台。

在线取证的主要功能如下：

? 导出系统信息：

导出运行系统内存中的47类易失信息，分为3个大类：操作系统信息、密码信息和上网记录。

地址： 上海市中江路879号天地软件园19号楼4楼 第 9 页 共 67 页 电话：021-52658848 传真：021-52659766

盘石软件（上海）有限公司 http://www.pansafe.com

? 内存信息复制：

对对象计算机物理内存进行数据镜像，生成DD格式或者AFF格式的数据镜像文件 ? 在线硬盘复制

不关机情况下对对象计算机的硬盘进行数据镜像，可以硬盘克隆、生成DD镜像文件和AFF镜像文件。在复制的同时可以生成数字摘要。 ? 在线分区复制

不关机情况下对对象计算机的分区进行数据镜像，可以生成DD镜像文件和AFF镜像文件。支持各种虚拟分区软件（如PrivateDisk）创建的虚拟分区的获取。在复制的同时可以生成数字摘要。

1.2.1.3 产品特性 ? 不拆机箱的数据获取

? 光盘启动/程序直接运行 ? 在不拆机箱的情况下对

证据计算机的证据硬盘

进行数据获取，可以获取包括整个硬盘、分区、目录和文件等各个级别的数据。

? 在线获取支持获取系统运行信息、内存和常见应用程序密码。 ? 支持基于IA32架构的笔记本、PC和服务器

? 支持IDE、SATA、SCSI、RAID等各种硬盘和数据架构 ? 支持Dos/Windows文件系统，包括：FAT、FAT32、NTFS

地址： 上海市中江路879号天地软件园19号楼4楼 第 10 页 共 67 页 电话：021-52658848 传真：021-52659766

盘石软件（上海）有限公司 http://www.pansafe.com

? 基本信息：方便取证人员对操作系统环境有个整体上的认识，能够提取的的信息包

括（操作系统信息、时区信息、网络配置、安装软件、服务列表、共享信息、用户信息、USB设备使用记录、硬件信息等）；

? 注册表分析：察看Windows的注册表文件，可根据系统缺省和自定义的注册表项

目，快速定位浏览；

? Web分析：查看目标机器的浏览器历史、缓存记录、Cookie信息和收藏夹等，支

持被清除历史、缓存记录的预览和获取功能，支持IE、Firefox、Opera、Chrome浏览器；

? 邮件分析：查看对象计算机客户端邮件，包括收件箱、发件箱、已发送邮件、草稿

箱、废件箱等，支持的邮件客户端有foxmail、outlook、outlook express，还支持对web邮箱的分析获取，目前支持的web邮箱有：Tom、126、163、QQ、Yahoo、Sina等；

? 即时通讯分析：提供快速提取QQ、MSN、Skype、淘宝旺旺、雅虎通、飞信、ICQ

聊天记录、好友列表以及语音记录，并包括删除QQ好友号；

? 回收站分析：解析放入回收站的数据信息，及从回收站删除的数据信息； ? 事件日志分析：快速提取分析对象计算机事件日志；

? 打印缓存：搜寻系统中存在的具体SPL和SHD文件，取出相关信息和EMF文件，

还可搜寻未分配簇取出未被覆盖的EMF文件；

? 下载软件：针对FTP下载工具和P2P下载工具进行分析，主要是获取下载的任务队

列以及站点用户的信息。支持FlashFXP，CuteFTP，LeapFTP；电驴，比特彗星，超级旋风，快车，Vagaa等；

地址： 上海市中江路879号天地软件园19号楼4楼 第 16 页 共 67 页 电话：021-52658848 传真：021-52659766

盘石软件（上海）有限公司 http://www.pansafe.com

? 复合文件分析：可以查看内含有其它文件的多层组成的文件。能够在层级查看那些

文件；

? 校验文件特征：用以校验出目标文件属性是否更改； ? 报告生成：根据用户添加的书签和备注信息，生成案件报告； ? 全中文界面，系统简单易用。 主要特性详列：

事件日志：日志文件中的记录可提供以下用途：监控系统资源、 审计用户行为、对可疑行为进行告警、确定入侵行为的范围、为恢复系统提供帮助、生成调查报告、为打击计算机犯罪提供证据来源。 提供了快速分析事件日志，提高取证分析的效率；

邮件分析：类似客户端方式进行查看邮箱中的内容，包括收件箱、发件箱、已发送、垃圾邮件、以及联系人等；目前支持的客户端有foxmail、outlook、outlook Exproler；

地址： 上海市中江路879号天地软件园19号楼4楼 第 17 页 共 67 页 电话：021-52658848 传真：021-52659766

盘石软件（上海）有限公司 http://www.pansafe.com

即时通讯：对不同的信息存储格式进行解析，提供快速提取QQ、MSN、Skype、淘宝旺旺、雅虎通、飞信、ICQ聊天记录、好友列表以及语音记录，并包括删除QQ好友号的恢复；

地址： 上海市中江路879号天地软件园19号楼4楼 第 18 页 共 67 页 电话：021-52658848 传真：021-52659766

盘石软件（上海）有限公司 http://www.pansafe.com

下载软件：针对FTP下载和P2P下载工具进行分析，主要是获取下载的任务队列以及站点用户的信息。支持FlashFXP，CuteFTP，LeapFTP；电驴，比特彗星，超级旋风，快车等。

打印缓存：搜寻系统中存在的具体SPL和SHD文件，取出相关信息和EMF文件，还可搜寻未分配簇取出未被覆盖的EMF文件。

地址： 上海市中江路879号天地软件园19号楼4楼 第 19 页 共 67 页 电话：021-52658848 传真：021-52659766

盘石软件（上海）有限公司 http://www.pansafe.com

基本信息：能够提取的的信息包括（操作系统信息、时区信息、网络配置、安装软件、服务列表、共享信息、用户信息、USB设备使用记录、硬件信息等）

回收站分析： 对回收站INFO, INFO2文件直接分析，并解析回收站中曾经删除过的文件信息。

图库预览：案件中的图片文件在图库中以图片的形式呈现，直观而富有效率。

地址： 上海市中江路879号天地软件园19号楼4楼 第 20 页 共 67 页 电话：021-52658848 传真：021-52659766

本文来源：https://www.bwwdw.com/article/1eef.html