三级电子物证实验室建设方案书 - 图文

电子数据取证鉴定实验室

建设项目方案书

版本：2.0

2012年03月 盘石软件（上海）有限公司

目 录

第 1 章 技术和工作基础 ............................................................................................. 6 1.1 公司介绍 .............................................................................................................. 6 1.2 盘石公司产品介绍 ............................................................................................... 6

1.2.1 盘石现场计算机取证系统（SafeImager） ........................................... 6

1.2.1.1 离线取证 .................................................................................... 7 1.2.1.2 在线取证 .................................................................................... 8 1.2.1.3 产品特性 .................................................................................... 9 1.2.1.4 SafeImager增强型 .................................................................. 10 1.2.2 盘石手机取证分析系统（SafeMobile） ............................................. 11 1.2.3 盘石介质取证分析系统（SafeAnalyzer） .......................................... 13 1.2.4 盘石易载镜像助手（SafeMount） .................................................... 22 1.2.5 盘石计算机仿真取证系统（SafeVM） ............................................... 25 1.2.6 盘石可视化数据分析平台（IDVP） .................................................... 27 1.2.7 盘石实验室管理系统（LIMS） ........................................................... 31 1.2.8 盘石计算机现场取证勘察箱（SafeSuite） ......................................... 33 1.2.9 盘石计算机取证分析平台（SafeForensicPlatform） ........................ 35

1.3 取证专业培训 ..................................................................................................... 35 第 2 章 实验室技术规格和要求 ................................................................................ 37

<公司机上海盘石数码,2015 页码：i 密 > 电子数据取证鉴定实验室建设项目 版本：<2.0> 日期：<2015-05-08> 作者：陆道宏

2.1 公安部对鉴定试验室的能力要求 ........................................................................ 37 2.2 实验室装备功能要求 .......................................................................................... 39 2.3 实验室的区域设置 ............................................................................................. 40 2.4 实验室的管理 ..................................................................................................... 41

2.4.1 实验室域管理环境 .............................................................................. 41 2.4.2 流程管理 ............................................................................................ 42 2.4.3 安防设备 ............................................................................................ 42

第 3 章 实验室设备配置规格说明 ............................................................................. 43 3.1 数据的固定设备 ................................................................................................. 43

3.1.1 证据数据完整性的保护 ....................................................................... 43

3.1.1.1 盘石只读接口套件 ................................................................... 43 3.1.1.2 Solo-III高速多功能复制机套件 ................................................ 46 3.1.1.3 盘石1to 2光盘复制机 ............................................................ 48 3.1.1.4 数据完整性校验值计算软件 ..................................................... 49 3.1.2 证据数据原始性的保护 ....................................................................... 49

3.1.2.1 摄像机 ..................................................................................... 49 3.1.2.2 照相机 ..................................................................................... 49 3.1.2.3 屏幕录像软件 ........................................................................... 49

3.2 本地数字化设备非运行状态下的数据提取 .......................................................... 50

3.2.1 独立存储介质的数据提取 ................................................................... 50

<公司机上海盘石数码,2015 页码：ii 密 > 电子数据取证鉴定实验室建设项目 版本：<2.0> 日期：<2015-05-08> 作者：陆道宏

3.2.2 镜像文件加载软件 .............................................................................. 50

3.3 不可独立访问存储介质的数据提取 .................................................................... 50

3.3.1 Safemobile手机取证系统介绍 ............................................................ 50 3.3.2 磁存储介质物理数据提取 ................................................................... 51

3.3.2.1 SafeDisk 硬盘检测、解密和固件恢复系统 .............................. 51 3.3.2.2 无尘工作环境 ........................................................................... 51 3.3.3 光存储介质物理数据提取 ................................................................... 53

3.3.3.1 光盘修复机/清洗机/软件 .......................................................... 53

3.4 本地数字化设备运行状态下的数据提取 ............................................................. 54

3.4.1 运行状态下数字化设备上的数据提取 .................................................. 54

3.4.1.1 盘石仿真取证系统（SafeVM） ............................................... 54 3.4.1.2 Rainbow-LmHash ................................................................... 54 3.4.1.3 盘石现场取证系统（SafeImager） ......................................... 54 3.4.2 运行状态下数字化设备网络通信数据的提取 ....................................... 54

3.4.2.1 wireshark ................................................................................ 54

3.5 远程数字化设备的数据提取 ............................................................................... 55

3.5.1 远程数字化设备存储处理的数据提取 .................................................. 55 3.5.2 远程数字化设备运行状态数据提取 ..................................................... 55

3.6 数据的发现 ........................................................................................................ 56

3.6.1 盘石介质取证分析软件（SA） ........................................................... 56 3.6.2 R-Studio介绍 .................................................................................... 56

<公司机上海盘石数码,2015 页码：iii 密 > 电子数据取证鉴定实验室建设项目 版本：<2.0> 日期：<2015-05-08> 作者：陆道宏

3.7 数据的解密与解码 ............................................................................................. 58

3.7.1 加密数据的解密:Elcomsoft 密码破解套件 ......................................... 58 3.7.2 结构化数据的解码 .............................................................................. 59

3.8 数据的分析 ........................................................................................................ 59 3.9 程序功能的黑盒分析 .......................................................................................... 60

3.9.1 程序功能的静态分析: IDA PRO（专业版+反编译） ........................... 60 3.9.2 有害程序搜索软件 .............................................................................. 61

3.10 实验室环境条件 ............................................................................................... 61

3.10.1 基础环境和设备条件 ......................................................................... 61 3.10.2 数据发现提取固定基础条件 .............................................................. 61

3.10.2.1 证据数据存储设备 .................................................................. 61 3.10.2.2 物证存储柜 ............................................................................ 62 3.10.2.3 本地数字化设备检验专用主机（取证分析工作站 SFP-101） 63 3.10.2.4 远程数字化设备检验专用主机 ................................................ 64 3.10.2.5 物证封存袋、封存条 .............................................................. 64 3.10.3 程序功能检验基础条件 ..................................................................... 64 3.10.4 实验室管理条件 ................................................................................ 64

3.11 实验室附属设施 ............................................................................................... 64 第 4 章 实验室建设项目工程实施 ............................................................................. 65 4.1 项目实施概况 ..................................................................................................... 65

<公司机上海盘石数码,2015 页码：iv 密 > 电子数据取证鉴定实验室建设项目 版本：<2.0> 日期：<2015-05-08> 作者：陆道宏

本文来源：https://www.bwwdw.com/article/f9yd.html