信息犯罪與計算機(jī)取證課件

信息犯罪與計算機(jī)取證第九章計算機(jī)取證工具信息犯罪與計算機(jī)取證第九章計算機(jī)取證工具本章重點內(nèi)容：計算機(jī)取證軟件EnCase、FTK的基本使用。計算機(jī)取證過程中電子證據(jù)只讀鎖、硬盤復(fù)制機(jī)、取證計算機(jī)系統(tǒng)。本章重點內(nèi)容：計算機(jī)取證軟件EnCase、FTK的基本使用。本章學(xué)習(xí)要求：通過本章學(xué)習(xí)，初步掌握EnCase、FTK的使用方法。本章學(xué)習(xí)要求：通過本章學(xué)習(xí)，初步掌握EnCase、FTK的使9.1軟件工具

9.1.1EnCaseEnCase是用C++編寫的容量大約為1M的程序，它能調(diào)查Windows、Macintosh、Unix或Dos計算機(jī)的硬盤。EnCase釆用與計算機(jī)CRC校驗碼和MD5哈希值進(jìn)行比較。確定鏡像數(shù)據(jù)與原先數(shù)據(jù)完全相同。9.1軟件工具

9.1.1EnCase1.基本操作——添加設(shè)備

EnCase法證版在一個關(guān)聯(lián)的案例中組織電子證據(jù)。電子證據(jù)可以被預(yù)覽和獲?。坏╇娮幼C據(jù)被獲取或被添加到案例中，就可以進(jìn)行分析。通過入口（Entry）添加到案例中的證據(jù)文件或者包含電子證據(jù)的的文件。1.基本操作——添加設(shè)備

EnCase法證版在一個關(guān)聯(lián)的案例①啟動EnCase程序，進(jìn)入電子數(shù)據(jù)取證平臺，如圖9-1所示。②選擇【新建】選項，填入案件名稱、調(diào)查人員、導(dǎo)出文件夾、臨時文件夾和索引文件夾，建案例并添加設(shè)備。③選擇【文件】|【添加設(shè)備】|【本地驅(qū)動器】（或【Palm掌上設(shè)備】或【網(wǎng)絡(luò)交叉線】）|【N邏輯硬盤】選項，添加證據(jù)文件到案件中。①啟動EnCase程序，進(jìn)入電子數(shù)據(jù)取證平臺，如圖9-1所圖9-1主窗囗圖9-1主窗囗2.基本操作——獲取

將設(shè)備添加到案例中后，就可以獲取它的內(nèi)容。①右單擊鼠標(biāo)選中左窗囗【N邏輯硬盤】選項，在彈出的對話框中選擇【獲取之后】的多個磁盤的連續(xù)獲取，使得查找、哈希值計算、數(shù)字簽名分析在獲取操作完成時也同時完成。單擊【下一步】按鈕。2.基本操作——獲取

將設(shè)備添加到案例中后，就可以獲取它的②在【搜索】選項框中分別選擇【關(guān)鍵字搜索選項】和【電子郵件搜索選項】的相應(yīng)項如圖9-2所示，單擊【下一步】按鈕。③在【選項】選項框中分別設(shè)置硬盤的起始和結(jié)束扇區(qū)(注意，不要把整個硬盤的內(nèi)容都加進(jìn)來，這樣會導(dǎo)致證據(jù)文件過大)、證據(jù)文件（.E01）的輸出路徑等,單擊【完成】按鈕。④對證據(jù)文件驗證完畢后保存。②在【搜索】選項框中分別選擇【關(guān)鍵字搜索選項】和【電子郵件圖9-2搜索圖9-2搜索3．基本操作——邏輯證據(jù)文件

邏輯證據(jù)文件（LEF）的內(nèi)容包含了通常在預(yù)覽嫌疑計算機(jī)時，從該計算機(jī)中復(fù)制出來的一系列文件。①右單擊鼠標(biāo)選中右窗囗，選擇與邏輯證據(jù)文件相關(guān)的文件和文件夾，在彈出的對話框中選擇【創(chuàng)建邏輯證據(jù)】選項，選擇創(chuàng)建邏輯證據(jù)文件的來源頁面。單擊【下一步】按鈕。②在創(chuàng)建邏輯證據(jù)文件的輸出頁面中，輸入或瀏覽邏輯證據(jù)文件的存儲路徑，并輸入文件名。單擊【下一步】按鈕。再單擊【完成】按鈕，如圖9-3所示。3．基本操作——邏輯證據(jù)文件

邏輯證據(jù)文件（LEF）的內(nèi)容包圖9-3邏輯證據(jù)文件圖9-3邏輯證據(jù)文件4．?dāng)?shù)據(jù)恢復(fù)——恢復(fù)文件夾

在刪除FAT卷、NTFS卷、UFS和EXT2/3分區(qū)文件夾可以分別進(jìn)行恢復(fù)。①右單擊鼠標(biāo)選中右窗囗【入囗】選項，選擇【文件】|【打開】|【case1.case】|【本地驅(qū)動器】選項，單擊【下一步】按鈕。②選擇【選擇設(shè)備】選項中的【N】邏輯驅(qū)動器，單擊【完成】按鈕。③右單擊鼠標(biāo)選中【N】選項，在彈出的對話框中選擇【恢復(fù)文件夾】選項，如圖9-4所示。4．?dāng)?shù)據(jù)恢復(fù)——恢復(fù)文件夾

在刪除FAT卷、NTFS卷、UF圖9-4恢復(fù)文件夾圖9-4恢復(fù)文件夾5．?dāng)?shù)據(jù)恢復(fù)——格式化恢復(fù)

對FAT卷、NTFS卷、UFS和EXT2/3分區(qū)的邏輯盤格式化以后可以分別進(jìn)行恢復(fù)。①右單擊鼠標(biāo)選中右窗囗【入囗】，選擇【文件】|【新建】|【case2.case】|【本地驅(qū)動器】選項，單擊【下一步】按鈕。②選擇【選擇設(shè)備】選項中的【N】邏輯驅(qū)動器，單擊【完成】按鈕。③右單擊鼠標(biāo)選中【N】選項，在彈出的對話框中選擇【恢復(fù)文件夾】按鈕如圖9-5所示。5．?dāng)?shù)據(jù)恢復(fù)——格式化恢復(fù)

對FAT卷、NTFS卷、UFS和圖9-5格式化中恢復(fù)文件夾圖9-5格式化中恢復(fù)文件夾6.證據(jù)還原

EnCase允許調(diào)查者將證據(jù)還原到預(yù)先準(zhǔn)備的存儲介質(zhì)中。還原證據(jù)文件到存儲介質(zhì)理論上允許調(diào)查人員啟動還原后的介質(zhì)，并查看嫌疑人計算機(jī)的工作環(huán)境，且不會改變原始數(shù)據(jù)。但是要注意取證分析時不要在接有嫌疑人硬盤是情況下，啟動要取證的硬盤。6.證據(jù)還原

EnCase允許調(diào)查者將證據(jù)還原到預(yù)先準(zhǔn)備的7.查看文件

對設(shè)備進(jìn)行預(yù)覽或獲取時，可以以各種格式來查看從設(shè)備中解析出來的文件。①選擇【視圖】|【文件查看器】選項。②右單擊鼠標(biāo)選中【文件查看器】|【新建】選項，在彈出的對話框中選擇【應(yīng)用程序路徑】中的程序文件，如圖9-6所示。7.查看文件

對設(shè)備進(jìn)行預(yù)覽或獲取時，可以以各種格式來查看圖9-6文件類型的查看器圖9-6文件類型的查看器設(shè)置文件類型與查看器的關(guān)聯(lián)。①選擇【視圖】|【文件類型】選項。②在左窗口中單擊樹形面板中某一文件夾(例如【Picture】)，在右窗口中單擊需要關(guān)聯(lián)的某一文件擴(kuò)展名，右單擊鼠標(biāo)選中【編輯】選項，如圖9-7所示。設(shè)置文件類型與查看器的關(guān)聯(lián)。圖9-7文件類型與查看器的關(guān)聯(lián)圖9-7文件類型與查看器的關(guān)聯(lián)査看文件結(jié)構(gòu)EnCase提供了對證據(jù)文件中的復(fù)合文件的各個獨立組成部分的信息直接查看功能。具體操作步驟如下：

①選擇要查看或加載的相應(yīng)文件。②在右窗口中單擊某一類型文件，右單擊鼠標(biāo)選中【査看文件結(jié)構(gòu)】選項，如圖9-8所示。査看文件結(jié)構(gòu)圖9-8査看文件結(jié)構(gòu)圖9-8査看文件結(jié)構(gòu)8．文件分析——簽名分析

當(dāng)文件類型被標(biāo)準(zhǔn)化之后，程序可以通過簽名或頭部信息來識別數(shù)據(jù)。文件頭部是與特定的文件擴(kuò)展名相關(guān)聯(lián)的。增加新簽名①選擇【視圖】|【文件簽名】選項。

②右單擊鼠標(biāo)選中【文件簽名】|【新建】選項，表中【搜索表達(dá)式】填入文件的頭部或簽名；【名稱】填入任意說明性的標(biāo)題。8．文件分析——簽名分析

當(dāng)文件類型被標(biāo)準(zhǔn)化之后，程序可以通執(zhí)行簽名分析①在右窗口中單擊某一類型文件(例如【mdb】)。②單擊工具欄中【捜索】選項，然后單擊【開始】按鈕。執(zhí)行簽名分析9．哈希分析——對案例哈希分析

取證人員使用EnCase的哈希特性為每個文件生成一個唯一的“數(shù)字指紋”—哈希值。通過MD5哈希算法（128位）生成哈希值并將其存儲在證據(jù)文件中。9．哈希分析——對案例哈希分析

取證人員使用EnCase的哈EnCase還是能夠通過計算出文件的哈希值并與哈希庫中的哈希值進(jìn)行比對來識別出目標(biāo)文件。①在列表面板中，選擇要計算哈希值的文件，單擊工具欄中【捜索】按鈕（或者【工具】|【捜索】）。②然后單擊【開始】按鈕，如圖9-9所示。EnCase還是能夠通過計算出文件的哈希值并與哈希庫中的哈希圖9-9對案例哈希分析圖9-9對案例哈希分析10．哈希分析——創(chuàng)建哈希集

哈希集是屬于同一個組中的哈希值(代表唯一文件)的集合。當(dāng)對證據(jù)文件進(jìn)行哈希分析時，EnCase可以識別出與該哈希值相匹配的文件。那些邏輯文件可以在隨后的搜索和調(diào)查中進(jìn)行排除，從而提高關(guān)鍵字搜索及其它分析功能的執(zhí)行效率。10．哈希分析——創(chuàng)建哈希集

哈希集是屬于同一個組中的哈希值哈希庫的特性使得取證人員可以導(dǎo)入或定制一個包含哈希集的哈希庫以便因地制宜地識別證據(jù)文件中哪些文件與導(dǎo)入的哈希集匹配。①打開案例，單擊工具欄中【捜索】按鈕。

②選擇【散列選項】中的計算散列值。為整個案例中的文件創(chuàng)建哈希值。哈希庫的特性使得取證人員可以導(dǎo)入或定制一個包含哈希集的哈希庫③當(dāng)搜索結(jié)束后選中要添加到哈希集中的文件。右單擊列表面板，選擇菜單中的創(chuàng)建散列集。④對話框中輸入哈希集的名稱以及類型，然后單擊【確定】按鈕。隨之生成一個哈希集。如圖9-10所示。③當(dāng)搜索結(jié)束后選中要添加到哈希集中的文件。右單擊列表面板，圖9-10創(chuàng)建哈希集名和類型圖9-10創(chuàng)建哈希集名和類型11．關(guān)鍵字——創(chuàng)建全局關(guān)鍵字和增加關(guān)鍵字

EnCase的強(qiáng)大搜索引擎使得它能夠定位當(dāng)前打開的案例中的任何物理介質(zhì)或是邏輯介質(zhì)中的證據(jù)信息。全局關(guān)鍵字可以在任何案例中運(yùn)用，當(dāng)然它們也可以被設(shè)置為指定案例的關(guān)鍵字并僅運(yùn)用于已存在的案例之中。11．關(guān)鍵字——創(chuàng)建全局關(guān)鍵字和增加關(guān)鍵字

EnCase的強(qiáng)創(chuàng)建全局關(guān)鍵字操作步驟如下：

①選擇【視圖】|【關(guān)鍵字】選項。②右單擊鼠標(biāo)選中【關(guān)鍵字】|【新建文件夾】選項，如圖9-11所示。創(chuàng)建全局關(guān)鍵字操作步驟如下：③右單擊鼠標(biāo)選中【文件夾2】|【新建】選項，【捜索表達(dá)式】框內(nèi)輸入要搜尋的文本；【名稱】框內(nèi)輸入搜索表達(dá)式在文件夾中顯示的名稱；【GREP】采用GREP語法進(jìn)行搜索；【ANSILatin-1】搜索文檔過程中將采用ANSILatin-1代碼頁；【Unicode】在Unicode操作系統(tǒng)中進(jìn)行調(diào)查取證時需要選擇這個選項；【UnicodeBig-Endian】在UnicodeBig-Endian操作系統(tǒng)（如基于Motorola的蘋果機(jī)操作系統(tǒng)）中進(jìn)行調(diào)查時需要選擇這個選項。UnicodeBig-Endian使用于非Intel的架構(gòu)的系統(tǒng)中。③右單擊鼠標(biāo)選中【文件夾2】|【新建】選項，【捜索表達(dá)式】圖9-11新建關(guān)鍵字圖9-11新建關(guān)鍵字12．關(guān)鍵字——導(dǎo)入和導(dǎo)出關(guān)鍵字

關(guān)鍵字及關(guān)鍵字列表可以從其它用戶導(dǎo)入或?qū)С觥＂儆覇螕羰髽?biāo)選中需要導(dǎo)入或?qū)С龅摹疚募A】選項。②在【輸入文件】框內(nèi)輸入要導(dǎo)入或?qū)С龅奈谋疚募＂郯础敬_定】按鈕，以TXT文本文件的格式導(dǎo)入或?qū)С鲫P(guān)鍵字和關(guān)鍵字列表，如圖9-12所示。12．關(guān)鍵字——導(dǎo)入和導(dǎo)出關(guān)鍵字

關(guān)鍵字及關(guān)鍵字列表可以從其圖9-12導(dǎo)出關(guān)鍵字圖9-12導(dǎo)出關(guān)鍵字13．搜索電子郵件和互聯(lián)網(wǎng)搜索

①單擊工具欄中【捜索】按鈕。②選擇相關(guān)選項，Web郵件（包括Netscape、Hotmail以及yahooWebmail）都可以被選中進(jìn)行搜索。然后單擊【開始】按鈕，如圖9-13所示。13．搜索電子郵件和互聯(lián)網(wǎng)搜索

①單擊工具欄中【捜索】按鈕圖9-13搜索電子郵件圖9-13搜索電子郵件③選擇【工具】|【W(wǎng)eb郵件分析器】選項，選擇要搜索的Web郵件類型?？梢灾粚x定的文件進(jìn)行搜索，如圖9-14所示。③選擇【工具】|【W(wǎng)eb郵件分析器】選項，選擇要搜索的We圖9-14Web郵件分析器圖9-14Web郵件分析器14．書簽

EnCase可以為文件、文件夾或是文件中的部分內(nèi)容進(jìn)行標(biāo)記以便日后參考。這些標(biāo)記稱為書簽，所有的書簽都被存儲在與它們相關(guān)聯(lián)的案例文件中。創(chuàng)建加亮數(shù)據(jù)書簽操作步驟如下：①在視圖面板之中，選中要進(jìn)行處理的內(nèi)容。②右單擊高亮選中的內(nèi)容，選擇【書簽數(shù)據(jù)】選項，如圖9-15所示。14．書簽

EnCase可以為文件、文件夾或是文件中的部分圖9-15書簽數(shù)據(jù)圖9-15書簽數(shù)據(jù)創(chuàng)建文件夾結(jié)構(gòu)書簽：①右單擊要進(jìn)行書簽標(biāo)記的設(shè)備或文件夾，選擇【書簽數(shù)據(jù)】選項，。②如要改變默認(rèn)設(shè)置，則輸入相應(yīng)的合適的值，然后單擊【開始】按鈕，如圖9-16所示。創(chuàng)建文件夾結(jié)構(gòu)書簽：圖9-16書簽文件夾結(jié)構(gòu)圖9-16書簽文件夾結(jié)構(gòu)編輯書簽：①在列表面板的書簽視圖中右單擊目標(biāo)書簽，選中【書簽】|【編輯】選項。②編輯顯示在編輯對話框中的內(nèi)容，然后單擊【開始】按鈕，如圖9-17所示。編輯書簽：圖9-17編輯書簽圖9-17編輯書簽15．報告

取證調(diào)查的最后階段是提交發(fā)現(xiàn)的結(jié)果報告，該報告應(yīng)用一種易理解，易閱讀的形式來組織。輸出報告操作步驟如下：①鼠標(biāo)置于報告中，單擊右鍵，出現(xiàn)選擇對話框。②選擇【導(dǎo)出】選項，要求設(shè)置輸出的信息(例如【HTML】)。③輸入或者通過瀏覽選擇報告要輸出的路徑。單擊【開始】按鈕，如圖9-18所示。新創(chuàng)建的報告文件即可使用。15．報告

取證調(diào)查的最后階段是提交發(fā)現(xiàn)的結(jié)果報告，該報告應(yīng)圖9-18報告圖9-18報告9.1.2UTK

UTK軟件是ACCESSDATA公司開發(fā)的一套司法取證軟件。其包括FTKImager，F(xiàn)orensicToolkit（簡稱FTK），RegistryViewer（簡稱RV），PasswordRecoveryToolkit（簡稱PRTK），DistributedNetworkAttack（簡稱DNA），WipeDrive等幾款工具軟件。9.1.2UTK

UTK軟件是ACCESSDATA公司開發(fā)1.FTKImager

FTKImager是一個數(shù)據(jù)預(yù)覽和映像工具，它可使調(diào)查人員快速訪問電子證據(jù)以確定是否有必要使用FTK或其他分析工具作進(jìn)一步分析。1.FTKImager

FTKImager是一個數(shù)據(jù)使用FTKImager可以完成以下幾個功能：①預(yù)覽功能。FTKImager可以預(yù)覽本地硬盤驅(qū)動器、軟盤、Zip磁盤、CD和DVD中的文件和文件夾；可以預(yù)覽在本地計算機(jī)或網(wǎng)絡(luò)驅(qū)動器上存儲的鏡像文件內(nèi)容。并且可以從鏡像文件中導(dǎo)出文件和文件夾。②精確復(fù)制功能。FTKImager為本地硬盤驅(qū)動器、軟盤、Zip磁盤、CD和DVD創(chuàng)建精確副本。③報告生成功能。FTKImager能生成常規(guī)文件和磁盤映像（包括磁盤映像中的文件）的散列報告。使用FTKImager可以完成以下幾個功能：(1)使用準(zhǔn)備

①連接介質(zhì)②打開軟件。如圖9-19所示：(1)使用準(zhǔn)備

①連接介質(zhì)圖9-19FTKImager界面圖9-19FTKImager界面(2)添加（或刪除）證據(jù)項

添加（或刪除）證據(jù)項。從菜單中選擇文件>添加證據(jù)項或單擊工具欄中的相應(yīng)按鈕，如圖9-20所示，添加后如圖9-21所示。(2)添加（或刪除）證據(jù)項

添加（或刪除）證據(jù)項。從菜單中圖9-20添加證據(jù)項1圖9-20添加證據(jù)項1圖9-21添加證據(jù)項2圖9-21添加證據(jù)項2(3)創(chuàng)建文件鏡像

創(chuàng)建鏡像文件時，F(xiàn)TKImager允許將單個映像文件寫入單個目標(biāo)位置，或?qū)⒍鄠€映像文件同時寫入多個目標(biāo)位置，可以將現(xiàn)有鏡像文件轉(zhuǎn)換為其他的格式的鏡像文件，可以從證據(jù)項中導(dǎo)出或復(fù)制文件，以便按需打印、采用電子郵件發(fā)送或組織文件，而無需更改原始證據(jù)，如圖9-22所示。(3)創(chuàng)建文件鏡像

創(chuàng)建鏡像文件時，F(xiàn)TKImager圖9-22創(chuàng)建文件鏡像圖9-22創(chuàng)建文件鏡像(3)導(dǎo)出散列報告

FTKImager可以導(dǎo)出散列報告。選定要導(dǎo)出散列值的文件，右鍵選擇導(dǎo)出散列值，如圖9-23所示。導(dǎo)出后打開效果如圖9-24所示。(3)導(dǎo)出散列報告

FTKImager可以導(dǎo)出散列報告。圖9-23導(dǎo)出散列報告圖9-23導(dǎo)出散列報告圖9-24散列報告導(dǎo)出效果圖9-24散列報告導(dǎo)出效果2.FTK

FTK軟件使用方便，可以通過多種方式分析證據(jù)，創(chuàng)建案例報告。它支持的磁盤分區(qū)格式包括NTFS，NTFScompressed,，F(xiàn)AT12/16/32,，Linuxext2&ext3等。支持鏡像文件格式包括Encase，SMART，Snapback，Safeback(3.0版本以上)，LinuxDD等。軟件支持不同格式文件的查看，允許對獲取的鏡像文件快速瀏覽。其界面如圖9-25所示。2.FTK

FTK軟件使用方便，可以通過多種方式分析證據(jù)，圖9-25FTK界面圖9-25FTK界面FTK軟件使用步驟如下：①新建案例。打開FTK軟件，選擇新建一個案例，如圖9-26所示。FTK軟件使用步驟如下：圖9-26新建一個案例圖9-26新建一個案例②填寫案例信息。填寫調(diào)查人員的信息和案例的信息，案例信息包括案例名稱、案例編號，案例證據(jù)所存放位置，案例描述等信息。如圖9-27所示。②填寫案例信息。填寫調(diào)查人員的信息和案例的信息，案例信息包括圖9-27案例描述信息圖9-27案例描述信息③填寫調(diào)查人員信息。調(diào)查人員信息包括調(diào)查人員所處的機(jī)構(gòu)、通信地址、電話、傳真、備注信息等，這些信息。如圖9-28所示。③填寫調(diào)查人員信息。調(diào)查人員信息包括調(diào)查人員所處的機(jī)構(gòu)、通信圖9-28調(diào)查人員信息圖9-28調(diào)查人員信息④選擇案例日志。案例日志包括案例和證據(jù)事件日志、錯誤消息日志、書簽事件日志、檢索事件日志、數(shù)據(jù)挖掘與互聯(lián)網(wǎng)關(guān)鍵詞檢索日志、其它日志。如圖9-29所示。④選擇案例日志。案例日志包括案例和證據(jù)事件日志、錯誤消息日志圖9-29案例日志圖9-29案例日志⑤案例處理選項。處理選項包括MD5哈希值、SHA1哈希值、已知文件過濾器（KFF）查找、全文索引、縮略圖存儲、EFS文件解密、文件列表數(shù)據(jù)庫、數(shù)據(jù)挖掘等多種選項、如圖9-30所示。⑤案例處理選項。處理選項包括MD5哈希值、SHA1哈希值、已圖9-30案例處理選項圖9-30案例處理選項單擊【下一步】，選擇案例證據(jù)精簡選項。根據(jù)文件的狀態(tài)和文件的類型等相關(guān)信息進(jìn)行排除，文件的狀態(tài)包括加密狀態(tài)、刪除狀態(tài)、電子郵件狀態(tài)等信息。如圖9-31所示。單擊【下一步】，選擇案例證據(jù)精簡選項。根據(jù)文件的狀態(tài)和文件的圖9-31文件的狀態(tài)圖9-31文件的狀態(tài)單擊【下一步】，選擇索引參數(shù)精簡選項。索引參數(shù)精簡選項設(shè)置的主要目的是節(jié)省時間和資源，并且使得證據(jù)檢索更加有效，可以通過設(shè)置排除一些相關(guān)數(shù)據(jù)的索引建立。具體設(shè)置類似案例證據(jù)精簡選項。如圖9-32所示。單擊【下一步】，選擇索引參數(shù)精簡選項。索引參數(shù)精簡選項設(shè)置的圖9-32案例證據(jù)精簡選項圖9-32案例證據(jù)精簡選項單擊“NEXT（下一步）”，選擇案例中的證據(jù)信息，通過添加“獨立文件”添加證據(jù)。如圖9-33所示。單擊“NEXT（下一步）”，選擇案例中的證據(jù)信息，通過添加“圖9-33添加證據(jù)圖9-33添加證據(jù)在添加證據(jù)時，F(xiàn)TK要求每一個FAT分區(qū)均設(shè)置時區(qū)，設(shè)置以后，F(xiàn)TK會將所有時間轉(zhuǎn)換成統(tǒng)一的GMT標(biāo)準(zhǔn)時間。如圖9-34所示。在添加證據(jù)時，F(xiàn)TK要求每一個FAT分區(qū)均設(shè)置時區(qū)，設(shè)置以后圖9-34標(biāo)準(zhǔn)時間圖9-34標(biāo)準(zhǔn)時間單擊“NEXT（下一步）”，案例創(chuàng)建即已完成。FTK將自動處理案例有關(guān)的數(shù)據(jù)。如圖9-35所示。單擊“NEXT（下一步）”，案例創(chuàng)建即已完成。FTK將自動處圖9-35案例創(chuàng)建完成圖9-35案例創(chuàng)建完成單擊“FINISH（完成）”，F(xiàn)TK將自動處理的結(jié)果顯示在如圖9-36所示的界面中。單擊“FINISH（完成）”，F(xiàn)TK將自動處理的結(jié)果顯示在如圖9-36處理的結(jié)果圖9-36處理的結(jié)果FTK可以生成案件報告。若要生成案件報告，可以使用菜單“FILE（文件）”，選擇“ReportWizard（報告向?qū)В?。如圖9-37所示。FTK可以生成案件報告。若要生成案件報告，可以使用菜單“FI圖9-37報告向?qū)D9-37報告向?qū)Б僭趫蟾嫦驅(qū)е械牡谝徊?，需要填寫案例的信息。②處理好案例信息后，單擊“NEXT（下一步）”，處理書簽導(dǎo)出與顯示信息。③處理好書簽導(dǎo)出與顯示信息后，單擊“NEXT（下一步）”，處理書簽文件屬性信息。

④處理書簽信息后，單擊“NEXT（下一步）”，處理已標(biāo)記的縮略圖形有關(guān)信息。①在報告向?qū)е械牡谝徊?，需要填寫案例的信息。⑤處理已?biāo)記的縮略圖形后，單擊“NEXT（下一步）”，處理文件管理方面的路徑信息。單擊“NEXT（下一步）”，處理文件管理方面的文件屬性信息。⑤處理已標(biāo)記的縮略圖形后，單擊“NEXT（下一步）”，處理文單擊“NEXT（下一步）”，處理補(bǔ)充文件有關(guān)信息。單擊“NEXT（下一步）”，處理報告位置有關(guān)信息。如下圖所示。報告生成后,會顯示如圖9-38所示對話框。單擊“NEXT（下一步）”，處理補(bǔ)充文件有關(guān)信息。圖9-38報告生成對話框圖9-38報告生成對話框單擊“確定”，最終的報告將以HTML形式顯示出來,如圖9-39所示。單擊“確定”，最終的報告將以HTML形式顯示出來,如圖9-3圖9-39最終的報告圖9-39最終的報告3．RV

RegistryViewer可以查看注冊表信息、讀取獨立的注冊表文件、破解注冊表中被保護(hù)的數(shù)據(jù)；并且可以與FTK集成。圖9-40為RV界面。3．RV

RegistryViewer可以查看注冊表信息、圖9-40RV界面圖9-40RV界面9.2硬件工具

9.2.1電子證據(jù)只讀鎖和硬盤復(fù)制機(jī)1.電子證據(jù)只讀鎖為了避免在計算機(jī)取證過程中，由于對硬盤操作而引發(fā)更改硬盤的數(shù)據(jù)現(xiàn)象。釆用電子證據(jù)只讀鎖已經(jīng)成為計算機(jī)取證的標(biāo)準(zhǔn)配置工具，其獲取的證據(jù)的有效性已經(jīng)被法庭采信。9.2硬件工具

9.2.1電子證據(jù)只讀鎖和硬盤復(fù)制機(jī)只讀鎖通過屏蔽寫信號，確保不會修改犯罪嫌疑人的硬盤，這樣就具有司法有效性。如圖9-41所示，具體操作步驟如下：只讀鎖通過屏蔽寫信號，確保不會修改犯罪嫌疑人的硬盤，這樣就具圖9-41電子證據(jù)只讀鎖圖9-41電子證據(jù)只讀鎖①將嫌疑硬盤連接到只讀鎖。②只讀鎖必須確保置于只讀模式。通過1394接口、USB接口或IDE接口與取證機(jī)連接。③打開PC計算機(jī)和只讀鎖電源，開始工作。①將嫌疑硬盤連接到只讀鎖。2.硬盤復(fù)制機(jī)

目前對硬盤的數(shù)據(jù)獲取主要有軟件方式和硬件方式兩種實現(xiàn)方法。軟件方式主要利用如EnCase、FTK或其它專用拷貝軟件，通過相應(yīng)接口，實現(xiàn)對嫌疑硬盤的數(shù)據(jù)分析或直接硬盤復(fù)制，能夠一定程度上滿足硬盤數(shù)據(jù)獲取的需要。2.硬盤復(fù)制機(jī)

目前對硬盤的數(shù)據(jù)獲取主要有軟件方式和硬件方硬件方式主要利用硬盤拷貝機(jī)，通過對嫌疑硬盤的快速物理拷貝，實現(xiàn)對硬盤數(shù)據(jù)的完整獲取。硬件方式主要利用硬盤拷貝機(jī)，通過對嫌疑硬盤的快速物理拷貝，實其中Talon是實測拷貝速度較高（達(dá)4GB/分鐘）的司法取證復(fù)制機(jī)如圖9-42所示，它具有自動生成實時取證工作報告寫入CF卡的功能。其中Talon是實測拷貝速度較高（達(dá)4GB/分鐘）的司法取圖9-42Talon硬盤復(fù)制機(jī)圖9-42Talon硬盤復(fù)制機(jī)①通過USB接連接目標(biāo)計算機(jī)。連接好源盤（嫌疑盤）、目標(biāo)盤。②打開Talon機(jī)電源。先對目標(biāo)盤格式化。按下【Select】鍵，選擇【Mode】菜單，按下【Select】鍵，移動到【W(wǎng)ipecleanDest】選項，按下【Select】鍵，再按【START/STOP】開始格式化，輸入日志文件名稱（八個字符以內(nèi)，建議用當(dāng)日的日期或者案子名稱等）。①通過USB接連接目標(biāo)計算機(jī)。連接好源盤（嫌疑盤）、目標(biāo)盤③計算源盤（嫌疑盤）的Hash256/MD5值。按下【Select】鍵，選擇【Mode】菜單，按下【Select】鍵，移動到【CalcHASH】選項，按下【Select】鍵，選擇SHA-256模式，再按【START/STOP】，同第2步輸入日志文件名稱。③計算源盤（嫌疑盤）的Hash256/MD5值。按下【Se④鏡像文件的獲取（硬盤復(fù)制）。按下【Select】鍵，選擇【Mode】菜單，按下【Select】鍵，選擇鏡像模式：Capture(完全鏡像)、DDCapture模式，按【START/STOP】開始復(fù)制。⑤計算目標(biāo)盤的Hash256（同步驟3）驗證目標(biāo)盤數(shù)據(jù)與源盤數(shù)據(jù)的一致性。④鏡像文件的獲取（硬盤復(fù)制）。按下【Select】鍵，選擇9.2.2DC-8000PRO取證專用機(jī)

電子數(shù)據(jù)證據(jù)分析專用計算機(jī)DC-8000PRO，如圖9-43所示。針對政府執(zhí)法部門、計算機(jī)安全行業(yè)需求的新一代電子數(shù)據(jù)證據(jù)分析專用一體化設(shè)備。9.2.2DC-8000PRO取證專用機(jī)

電子數(shù)據(jù)證據(jù)分圖9-43DC-8000PRO取證專用機(jī)圖9-43DC-8000PRO取證專用機(jī)1.連接硬盤①將硬盤設(shè)置為主盤（若為IDE硬盤）。②連接硬盤到專用機(jī)右側(cè)的源盤接口上。③確認(rèn)對應(yīng)接口處于只讀狀態(tài)（默認(rèn)即為只讀狀態(tài)）。④打開接口開關(guān)。1.連接硬盤2.更換硬盤①在操作系統(tǒng)中“安全彈出”相關(guān)硬盤。②將相應(yīng)的設(shè)備對應(yīng)的開關(guān)撥到“關(guān)”狀態(tài)。③斷開硬盤的數(shù)據(jù)和電源線。④連接數(shù)據(jù)線和電源線到準(zhǔn)備換上的硬盤。打開只讀開關(guān)電源。2.更換硬盤3.連接筆記本證據(jù)硬盤

①打開“取證專用IDE包”取出筆記本硬盤數(shù)據(jù)連接線。

②拆除筆記本硬盤外殼，取出其硬盤。③取出三合一硬盤轉(zhuǎn)節(jié)卡，連接電源線和數(shù)據(jù)線。3.連接筆記本證據(jù)硬盤4．硬盤復(fù)制①連接目標(biāo)硬盤到專用機(jī)左側(cè)的目標(biāo)盤接口。②連接源硬盤到專用機(jī)右側(cè)的源盤接口。③確認(rèn)對應(yīng)接口處于只讀狀態(tài)（默認(rèn)即為只讀狀態(tài)），確認(rèn)對應(yīng)接口開關(guān)處于“開”狀態(tài)。④啟動DC-8000PRO專用機(jī)進(jìn)入專用復(fù)制程序進(jìn)行復(fù)制。4．硬盤復(fù)制9.2.3DC-8600在線調(diào)查取證系統(tǒng)

在線調(diào)查取證是指在不關(guān)閉目標(biāo)計算機(jī)的情況下，獲取目標(biāo)計算機(jī)的電子證據(jù)并進(jìn)行分析的技術(shù)。DC-8600最適合計算機(jī)案件現(xiàn)場取證調(diào)查，能夠自動提取易丟失數(shù)據(jù)、針對不能拆卸筆記本硬盤、磁盤陣列提取目標(biāo)主機(jī)上特定數(shù)據(jù)，并對取證過程進(jìn)行監(jiān)管，保證在線調(diào)查取證分析的有效性，自動生成取證報告完成在線取證。9.2.3DC-8600在線調(diào)查取證系統(tǒng)

在線調(diào)查取證是指1.運(yùn)行中的目標(biāo)計算機(jī)電子數(shù)據(jù)獲取

①將目標(biāo)計算機(jī)通過USB接囗連接到DC-8600。②啟動EdataAcquire程序，進(jìn)入電子數(shù)據(jù)獲取平臺如圖9-44所示。③選擇【案件信息】選項，填入案件名稱、調(diào)查人員、調(diào)查時間等相關(guān)信息。1.運(yùn)行中的目標(biāo)計算機(jī)電子數(shù)據(jù)獲取

①將目標(biāo)計算機(jī)通過U圖9-44DC-8600電子數(shù)據(jù)獲取平臺圖9-44DC-8600電子數(shù)據(jù)獲取平臺④選擇【易丟失信息】選項如圖9-45所示，獲取當(dāng)前進(jìn)程信息（進(jìn)程號、優(yōu)先級、進(jìn)程名稱、父進(jìn)程號、已運(yùn)行時間、占用CPU時間、命令行路徑、進(jìn)程使用內(nèi)存信息）；登陸用戶信息（用戶名稱、登陸時間、用戶登陸歷史信息）；網(wǎng)絡(luò)連接信息（TCP協(xié)議連接信息、進(jìn)程號、本地地址及端口、目標(biāo)地址及端口）；網(wǎng)絡(luò)配置信息；內(nèi)存內(nèi)容信息；系統(tǒng)硬件信息（系統(tǒng)內(nèi)存信息、物理內(nèi)存、虛擬內(nèi)存、頁面文件、系統(tǒng)硬盤SN信息）；ARP表信息；剪貼板內(nèi)容。④選擇【易丟失信息】選項如圖9-45所示，獲取當(dāng)前進(jìn)程信息圖9-45易丟失信息圖9-45易丟失信息⑤選擇【特定數(shù)據(jù)】選項如圖9-46所示，單擊任務(wù)欄的【搜索】按鈕，自動搜索整個硬盤中符合條件的Office文檔、圖形文件、視頻文件、郵件文件、上網(wǎng)記錄、QQ聊天記錄。選中搜索到的文件，單擊任務(wù)欄的【獲取】按鈕，搜索到的相關(guān)文件自動保存在硬盤中。⑤選擇【特定數(shù)據(jù)】選項如圖9-46所示，單擊任務(wù)欄的【搜索圖9-46特定數(shù)據(jù)圖9-46特定數(shù)據(jù)⑥選擇【硬盤復(fù)制】選項，將取證計算機(jī)的硬盤可以在不修改任何數(shù)據(jù)的情況下完成硬盤復(fù)制功能。⑦選擇【加密文件】選項，如圖9-47所示，自動搜索整個硬盤中符合條件的加密的Word、Excel文檔、PDF文檔、RAR、ZIP文檔、ARJ文檔，【獲取】方法同上。⑥選擇【硬盤復(fù)制】選項，將取證計算機(jī)的硬盤可以在不修改任何圖9-47加密文件圖9-47加密文件⑧選擇【關(guān)鍵數(shù)據(jù)】選項，如圖9-48所示，獲取自動表單內(nèi)容、郵件帳號、即時通訊帳號和網(wǎng)絡(luò)帳號。⑧選擇【關(guān)鍵數(shù)據(jù)】選項，如圖9-48所示，獲取自動表單內(nèi)容圖9-48關(guān)鍵數(shù)據(jù)圖9-48關(guān)鍵數(shù)據(jù)分別對鍵盤操作記錄、屏幕操作記錄、鼠標(biāo)操作記錄、進(jìn)程記錄、流程監(jiān)管報告MD5值校驗，監(jiān)控如圖9-49所示分別對鍵盤操作記錄、屏幕操作記錄、鼠標(biāo)操作記錄、進(jìn)程記錄、流圖9-49監(jiān)控目錄圖9-49監(jiān)控目錄2.關(guān)機(jī)中的目標(biāo)計算機(jī)電子數(shù)據(jù)獲取

如果目標(biāo)計算機(jī)已關(guān)機(jī)，那么使用DC-8600光盤啟動目標(biāo)計算機(jī)（設(shè)置目標(biāo)計算機(jī)的BIOS），改變啟動模式為光盤啟動。①將目標(biāo)計算機(jī)通過USB接囗連接到DC-8600。②用DC-8600啟動光盤啟動目標(biāo)計算機(jī)。③選擇【特定數(shù)據(jù)獲取】選項，具體方法同上述第⑤點。2.關(guān)機(jī)中的目標(biāo)計算機(jī)電子數(shù)據(jù)獲取

如果目標(biāo)計算機(jī)已關(guān)機(jī)，④由于取證計算機(jī)的硬盤處在關(guān)機(jī)狀態(tài)下，啟動目標(biāo)計算機(jī)后選擇【硬盤復(fù)制】選項，如圖9-50DC-8600所示。④由于取證計算機(jī)的硬盤處在關(guān)機(jī)狀態(tài)下，啟動目標(biāo)計算機(jī)后選擇圖9-50硬盤復(fù)制機(jī)圖9-50硬盤復(fù)制機(jī)⑤單擊硬盤【復(fù)制】按鈕，選擇【硬盤到硬盤】或【指定扇區(qū)塊到指定扇區(qū)塊】選項進(jìn)入硬盤復(fù)制程序，如圖9-51所示。⑥單擊硬盤【擦除】按鈕，選擇【硬盤擦除】和【擦除設(shè)置】選項，進(jìn)入硬盤擦除程序，如圖9-52所示。⑤單擊硬盤【復(fù)制】按鈕，選擇【硬盤到硬盤】或【指定扇區(qū)塊到圖9-51硬盤復(fù)制

圖9-51硬盤復(fù)制圖9-52擦除設(shè)置圖9-52擦除設(shè)置思考與練習(xí)

1.簡述計算機(jī)取證過程的司法有效性。2簡述計算機(jī)取證軟件EnCase的基本功能和使用方法。3.簡述計算機(jī)取證軟件FTK基本功能和使用方法。4.如何對計算機(jī)取證過程中嫌疑的硬盤進(jìn)行復(fù)制？5．簡述易丟失信息和關(guān)鍵數(shù)據(jù)獲取方法。6．簡述關(guān)機(jī)中的目標(biāo)計算機(jī)電子數(shù)據(jù)獲取方法。

思考與練習(xí)

1.簡述計算機(jī)取證過程的司法有效性。信息犯罪與計算機(jī)取證第九章計算機(jī)取證工具信息犯罪與計算機(jī)取證第九章計算機(jī)取證工具本章重點內(nèi)容：計算機(jī)取證軟件EnCase、FTK的基本使用。計算機(jī)取證過程中電子證據(jù)只讀鎖、硬盤復(fù)制機(jī)、取證計算機(jī)系統(tǒng)。本章重點內(nèi)容：計算機(jī)取證軟件EnCase、FTK的基本使用。本章學(xué)習(xí)要求：通過本章學(xué)習(xí)，初步掌握EnCase、FTK的使用方法。本章學(xué)習(xí)要求：通過本章學(xué)習(xí)，初步掌握EnCase、FTK的使9.1軟件工具

9.1.1EnCaseEnCase是用C++編寫的容量大約為1M的程序，它能調(diào)查Windows、Macintosh、Unix或Dos計算機(jī)的硬盤。EnCase釆用與計算機(jī)CRC校驗碼和MD5哈希值進(jìn)行比較。確定鏡像數(shù)據(jù)與原先數(shù)據(jù)完全相同。9.1軟件工具

9.1.1EnCase1.基本操作——添加設(shè)備

EnCase法證版在一個關(guān)聯(lián)的案例中組織電子證據(jù)。電子證據(jù)可以被預(yù)覽和獲?。坏╇娮幼C據(jù)被獲取或被添加到案例中，就可以進(jìn)行分析。通過入口（Entry）添加到案例中的證據(jù)文件或者包含電子證據(jù)的的文件。1.基本操作——添加設(shè)備

EnCase法證版在一個關(guān)聯(lián)的案例①啟動EnCase程序，進(jìn)入電子數(shù)據(jù)取證平臺，如圖9-1所示。②選擇【新建】選項，填入案件名稱、調(diào)查人員、導(dǎo)出文件夾、臨時文件夾和索引文件夾，建案例并添加設(shè)備。③選擇【文件】|【添加設(shè)備】|【本地驅(qū)動器】（或【Palm掌上設(shè)備】或【網(wǎng)絡(luò)交叉線】）|【N邏輯硬盤】選項，添加證據(jù)文件到案件中。①啟動EnCase程序，進(jìn)入電子數(shù)據(jù)取證平臺，如圖9-1所圖9-1主窗囗圖9-1主窗囗2.基本操作——獲取

將設(shè)備添加到案例中后，就可以獲取它的內(nèi)容。①右單擊鼠標(biāo)選中左窗囗【N邏輯硬盤】選項，在彈出的對話框中選擇【獲取之后】的多個磁盤的連續(xù)獲取，使得查找、哈希值計算、數(shù)字簽名分析在獲取操作完成時也同時完成。單擊【下一步】按鈕。2.基本操作——獲取

將設(shè)備添加到案例中后，就可以獲取它的②在【搜索】選項框中分別選擇【關(guān)鍵字搜索選項】和【電子郵件搜索選項】的相應(yīng)項如圖9-2所示，單擊【下一步】按鈕。③在【選項】選項框中分別設(shè)置硬盤的起始和結(jié)束扇區(qū)(注意，不要把整個硬盤的內(nèi)容都加進(jìn)來，這樣會導(dǎo)致證據(jù)文件過大)、證據(jù)文件（.E01）的輸出路徑等,單擊【完成】按鈕。④對證據(jù)文件驗證完畢后保存。②在【搜索】選項框中分別選擇【關(guān)鍵字搜索選項】和【電子郵件圖9-2搜索圖9-2搜索3．基本操作——邏輯證據(jù)文件

邏輯證據(jù)文件（LEF）的內(nèi)容包含了通常在預(yù)覽嫌疑計算機(jī)時，從該計算機(jī)中復(fù)制出來的一系列文件。①右單擊鼠標(biāo)選中右窗囗，選擇與邏輯證據(jù)文件相關(guān)的文件和文件夾，在彈出的對話框中選擇【創(chuàng)建邏輯證據(jù)】選項，選擇創(chuàng)建邏輯證據(jù)文件的來源頁面。單擊【下一步】按鈕。②在創(chuàng)建邏輯證據(jù)文件的輸出頁面中，輸入或瀏覽邏輯證據(jù)文件的存儲路徑，并輸入文件名。單擊【下一步】按鈕。再單擊【完成】按鈕，如圖9-3所示。3．基本操作——邏輯證據(jù)文件

邏輯證據(jù)文件（LEF）的內(nèi)容包圖9-3邏輯證據(jù)文件圖9-3邏輯證據(jù)文件4．?dāng)?shù)據(jù)恢復(fù)——恢復(fù)文件夾

在刪除FAT卷、NTFS卷、UFS和EXT2/3分區(qū)文件夾可以分別進(jìn)行恢復(fù)。①右單擊鼠標(biāo)選中右窗囗【入囗】選項，選擇【文件】|【打開】|【case1.case】|【本地驅(qū)動器】選項，單擊【下一步】按鈕。②選擇【選擇設(shè)備】選項中的【N】邏輯驅(qū)動器，單擊【完成】按鈕。③右單擊鼠標(biāo)選中【N】選項，在彈出的對話框中選擇【恢復(fù)文件夾】選項，如圖9-4所示。4．?dāng)?shù)據(jù)恢復(fù)——恢復(fù)文件夾

在刪除FAT卷、NTFS卷、UF圖9-4恢復(fù)文件夾圖9-4恢復(fù)文件夾5．?dāng)?shù)據(jù)恢復(fù)——格式化恢復(fù)

對FAT卷、NTFS卷、UFS和EXT2/3分區(qū)的邏輯盤格式化以后可以分別進(jìn)行恢復(fù)。①右單擊鼠標(biāo)選中右窗囗【入囗】，選擇【文件】|【新建】|【case2.case】|【本地驅(qū)動器】選項，單擊【下一步】按鈕。②選擇【選擇設(shè)備】選項中的【N】邏輯驅(qū)動器，單擊【完成】按鈕。③右單擊鼠標(biāo)選中【N】選項，在彈出的對話框中選擇【恢復(fù)文件夾】按鈕如圖9-5所示。5．?dāng)?shù)據(jù)恢復(fù)——格式化恢復(fù)

對FAT卷、NTFS卷、UFS和圖9-5格式化中恢復(fù)文件夾圖9-5格式化中恢復(fù)文件夾6.證據(jù)還原

EnCase允許調(diào)查者將證據(jù)還原到預(yù)先準(zhǔn)備的存儲介質(zhì)中。還原證據(jù)文件到存儲介質(zhì)理論上允許調(diào)查人員啟動還原后的介質(zhì)，并查看嫌疑人計算機(jī)的工作環(huán)境，且不會改變原始數(shù)據(jù)。但是要注意取證分析時不要在接有嫌疑人硬盤是情況下，啟動要取證的硬盤。6.證據(jù)還原

EnCase允許調(diào)查者將證據(jù)還原到預(yù)先準(zhǔn)備的7.查看文件

對設(shè)備進(jìn)行預(yù)覽或獲取時，可以以各種格式來查看從設(shè)備中解析出來的文件。①選擇【視圖】|【文件查看器】選項。②右單擊鼠標(biāo)選中【文件查看器】|【新建】選項，在彈出的對話框中選擇【應(yīng)用程序路徑】中的程序文件，如圖9-6所示。7.查看文件

對設(shè)備進(jìn)行預(yù)覽或獲取時，可以以各種格式來查看圖9-6文件類型的查看器圖9-6文件類型的查看器設(shè)置文件類型與查看器的關(guān)聯(lián)。①選擇【視圖】|【文件類型】選項。②在左窗口中單擊樹形面板中某一文件夾(例如【Picture】)，在右窗口中單擊需要關(guān)聯(lián)的某一文件擴(kuò)展名，右單擊鼠標(biāo)選中【編輯】選項，如圖9-7所示。設(shè)置文件類型與查看器的關(guān)聯(lián)。圖9-7文件類型與查看器的關(guān)聯(lián)圖9-7文件類型與查看器的關(guān)聯(lián)査看文件結(jié)構(gòu)EnCase提供了對證據(jù)文件中的復(fù)合文件的各個獨立組成部分的信息直接查看功能。具體操作步驟如下：

①選擇要查看或加載的相應(yīng)文件。②在右窗口中單擊某一類型文件，右單擊鼠標(biāo)選中【査看文件結(jié)構(gòu)】選項，如圖9-8所示。査看文件結(jié)構(gòu)圖9-8査看文件結(jié)構(gòu)圖9-8査看文件結(jié)構(gòu)8．文件分析——簽名分析

當(dāng)文件類型被標(biāo)準(zhǔn)化之后，程序可以通過簽名或頭部信息來識別數(shù)據(jù)。文件頭部是與特定的文件擴(kuò)展名相關(guān)聯(lián)的。增加新簽名①選擇【視圖】|【文件簽名】選項。

②右單擊鼠標(biāo)選中【文件簽名】|【新建】選項，表中【搜索表達(dá)式】填入文件的頭部或簽名；【名稱】填入任意說明性的標(biāo)題。8．文件分析——簽名分析

當(dāng)文件類型被標(biāo)準(zhǔn)化之后，程序可以通執(zhí)行簽名分析①在右窗口中單擊某一類型文件(例如【mdb】)。②單擊工具欄中【捜索】選項，然后單擊【開始】按鈕。執(zhí)行簽名分析9．哈希分析——對案例哈希分析

取證人員使用EnCase的哈希特性為每個文件生成一個唯一的“數(shù)字指紋”—哈希值。通過MD5哈希算法（128位）生成哈希值并將其存儲在證據(jù)文件中。9．哈希分析——對案例哈希分析

取證人員使用EnCase的哈EnCase還是能夠通過計算出文件的哈希值并與哈希庫中的哈希值進(jìn)行比對來識別出目標(biāo)文件。①在列表面板中，選擇要計算哈希值的文件，單擊工具欄中【捜索】按鈕（或者【工具】|【捜索】）。②然后單擊【開始】按鈕，如圖9-9所示。EnCase還是能夠通過計算出文件的哈希值并與哈希庫中的哈希圖9-9對案例哈希分析圖9-9對案例哈希分析10．哈希分析——創(chuàng)建哈希集

哈希集是屬于同一個組中的哈希值(代表唯一文件)的集合。當(dāng)對證據(jù)文件進(jìn)行哈希分析時，EnCase可以識別出與該哈希值相匹配的文件。那些邏輯文件可以在隨后的搜索和調(diào)查中進(jìn)行排除，從而提高關(guān)鍵字搜索及其它分析功能的執(zhí)行效率。10．哈希分析——創(chuàng)建哈希集

哈希集是屬于同一個組中的哈希值哈希庫的特性使得取證人員可以導(dǎo)入或定制一個包含哈希集的哈希庫以便因地制宜地識別證據(jù)文件中哪些文件與導(dǎo)入的哈希集匹配。①打開案例，單擊工具欄中【捜索】按鈕。

②選擇【散列選項】中的計算散列值。為整個案例中的文件創(chuàng)建哈希值。哈希庫的特性使得取證人員可以導(dǎo)入或定制一個包含哈希集的哈希庫③當(dāng)搜索結(jié)束后選中要添加到哈希集中的文件。右單擊列表面板，選擇菜單中的創(chuàng)建散列集。④對話框中輸入哈希集的名稱以及類型，然后單擊【確定】按鈕。隨之生成一個哈希集。如圖9-10所示。③當(dāng)搜索結(jié)束后選中要添加到哈希集中的文件。右單擊列表面板，圖9-10創(chuàng)建哈希集名和類型圖9-10創(chuàng)建哈希集名和類型11．關(guān)鍵字——創(chuàng)建全局關(guān)鍵字和增加關(guān)鍵字

EnCase的強(qiáng)大搜索引擎使得它能夠定位當(dāng)前打開的案例中的任何物理介質(zhì)或是邏輯介質(zhì)中的證據(jù)信息。全局關(guān)鍵字可以在任何案例中運(yùn)用，當(dāng)然它們也可以被設(shè)置為指定案例的關(guān)鍵字并僅運(yùn)用于已存在的案例之中。11．關(guān)鍵字——創(chuàng)建全局關(guān)鍵字和增加關(guān)鍵字

EnCase的強(qiáng)創(chuàng)建全局關(guān)鍵字操作步驟如下：

①選擇【視圖】|【關(guān)鍵字】選項。②右單擊鼠標(biāo)選中【關(guān)鍵字】|【新建文件夾】選項，如圖9-11所示。創(chuàng)建全局關(guān)鍵字操作步驟如下：③右單擊鼠標(biāo)選中【文件夾2】|【新建】選項，【捜索表達(dá)式】框內(nèi)輸入要搜尋的文本；【名稱】框內(nèi)輸入搜索表達(dá)式在文件夾中顯示的名稱；【GREP】采用GREP語法進(jìn)行搜索；【ANSILatin-1】搜索文檔過程中將采用ANSILatin-1代碼頁；【Unicode】在Unicode操作系統(tǒng)中進(jìn)行調(diào)查取證時需要選擇這個選項；【UnicodeBig-Endian】在UnicodeBig-Endian操作系統(tǒng)（如基于Motorola的蘋果機(jī)操作系統(tǒng)）中進(jìn)行調(diào)查時需要選擇這個選項。UnicodeBig-Endian使用于非Intel的架構(gòu)的系統(tǒng)中。③右單擊鼠標(biāo)選中【文件夾2】|【新建】選項，【捜索表達(dá)式】圖9-11新建關(guān)鍵字圖9-11新建關(guān)鍵字12．關(guān)鍵字——導(dǎo)入和導(dǎo)出關(guān)鍵字

關(guān)鍵字及關(guān)鍵字列表可以從其它用戶導(dǎo)入或?qū)С?。①右單擊鼠?biāo)選中需要導(dǎo)入或?qū)С龅摹疚募A】選項。②在【輸入文件】框內(nèi)輸入要導(dǎo)入或?qū)С龅奈谋疚募＂郯础敬_定】按鈕，以TXT文本文件的格式導(dǎo)入或?qū)С鲫P(guān)鍵字和關(guān)鍵字列表，如圖9-12所示。12．關(guān)鍵字——導(dǎo)入和導(dǎo)出關(guān)鍵字

關(guān)鍵字及關(guān)鍵字列表可以從其圖9-12導(dǎo)出關(guān)鍵字圖9-12導(dǎo)出關(guān)鍵字13．搜索電子郵件和互聯(lián)網(wǎng)搜索

①單擊工具欄中【捜索】按鈕。②選擇相關(guān)選項，Web郵件（包括Netscape、Hotmail以及yahooWebmail）都可以被選中進(jìn)行搜索。然后單擊【開始】按鈕，如圖9-13所示。13．搜索電子郵件和互聯(lián)網(wǎng)搜索

①單擊工具欄中【捜索】按鈕圖9-13搜索電子郵件圖9-13搜索電子郵件③選擇【工具】|【W(wǎng)eb郵件分析器】選項，選擇要搜索的Web郵件類型。可以只對選定的文件進(jìn)行搜索，如圖9-14所示。③選擇【工具】|【W(wǎng)eb郵件分析器】選項，選擇要搜索的We圖9-14Web郵件分析器圖9-14Web郵件分析器14．書簽

EnCase可以為文件、文件夾或是文件中的部分內(nèi)容進(jìn)行標(biāo)記以便日后參考。這些標(biāo)記稱為書簽，所有的書簽都被存儲在與它們相關(guān)聯(lián)的案例文件中。創(chuàng)建加亮數(shù)據(jù)書簽操作步驟如下：①在視圖面板之中，選中要進(jìn)行處理的內(nèi)容。②右單擊高亮選中的內(nèi)容，選擇【書簽數(shù)據(jù)】選項，如圖9-15所示。14．書簽

EnCase可以為文件、文件夾或是文件中的部分圖9-15書簽數(shù)據(jù)圖9-15書簽數(shù)據(jù)創(chuàng)建文件夾結(jié)構(gòu)書簽：①右單擊要進(jìn)行書簽標(biāo)記的設(shè)備或文件夾，選擇【書簽數(shù)據(jù)】選項，。②如要改變默認(rèn)設(shè)置，則輸入相應(yīng)的合適的值，然后單擊【開始】按鈕，如圖9-16所示。創(chuàng)建文件夾結(jié)構(gòu)書簽：圖9-16書簽文件夾結(jié)構(gòu)圖9-16書簽文件夾結(jié)構(gòu)編輯書簽：①在列表面板的書簽視圖中右單擊目標(biāo)書簽，選中【書簽】|【編輯】選項。②編輯顯示在編輯對話框中的內(nèi)容，然后單擊【開始】按鈕，如圖9-17所示。編輯書簽：圖9-17編輯書簽圖9-17編輯書簽15．報告

取證調(diào)查的最后階段是提交發(fā)現(xiàn)的結(jié)果報告，該報告應(yīng)用一種易理解，易閱讀的形式來組織。輸出報告操作步驟如下：①鼠標(biāo)置于報告中，單擊右鍵，出現(xiàn)選擇對話框。②選擇【導(dǎo)出】選項，要求設(shè)置輸出的信息(例如【HTML】)。③輸入或者通過瀏覽選擇報告要輸出的路徑。單擊【開始】按鈕，如圖9-18所示。新創(chuàng)建的報告文件即可使用。15．報告

取證調(diào)查的最后階段是提交發(fā)現(xiàn)的結(jié)果報告，該報告應(yīng)圖9-18報告圖9-18報告9.1.2UTK

UTK軟件是ACCESSDATA公司開發(fā)的一套司法取證軟件。其包括FTKImager，F(xiàn)orensicToolkit（簡稱FTK），RegistryViewer（簡稱RV），PasswordRecoveryToolkit（簡稱PRTK），DistributedNetworkAttack（簡稱DNA），WipeDrive等幾款工具軟件。9.1.2UTK

UTK軟件是ACCESSDATA公司開發(fā)1.FTKImager

FTKImager是一個數(shù)據(jù)預(yù)覽和映像工具，它可使調(diào)查人員快速訪問電子證據(jù)以確定是否有必要使用FTK或其他分析工具作進(jìn)一步分析。1.FTKImager

FTKImager是一個數(shù)據(jù)使用FTKImager可以完成以下幾個功能：①預(yù)覽功能。FTKImager可以預(yù)覽本地硬盤驅(qū)動器、軟盤、Zip磁盤、CD和DVD中的文件和文件夾；可以預(yù)覽在本地計算機(jī)或網(wǎng)絡(luò)驅(qū)動器上存儲的鏡像文件內(nèi)容。并且可以從鏡像文件中導(dǎo)出文件和文件夾。②精確復(fù)制功能。FTKImager為本地硬盤驅(qū)動器、軟盤、Zip磁盤、CD和DVD創(chuàng)建精確副本。③報告生成功能。FTKImager能生成常規(guī)文件和磁盤映像（包括磁盤映像中的文件）的散列報告。使用FTKImager可以完成以下幾個功能：(1)使用準(zhǔn)備

①連接介質(zhì)②打開軟件。如圖9-19所示：(1)使用準(zhǔn)備

①連接介質(zhì)圖9-19FTKImager界面圖9-19FTKImager界面(2)添加（或刪除）證據(jù)項

添加（或刪除）證據(jù)項。從菜單中選擇文件>添加證據(jù)項或單擊工具欄中的相應(yīng)按鈕，如圖9-20所示，添加后如圖9-21所示。(2)添加（或刪除）證據(jù)項

添加（或刪除）證據(jù)項。從菜單中圖9-20添加證據(jù)項1圖9-20添加證據(jù)項1圖9-21添加證據(jù)項2圖9-21添加證據(jù)項2(3)創(chuàng)建文件鏡像

創(chuàng)建鏡像文件時，F(xiàn)TKImager允許將單個映像文件寫入單個目標(biāo)位置，或?qū)⒍鄠€映像文件同時寫入多個目標(biāo)位置，可以將現(xiàn)有鏡像文件轉(zhuǎn)換為其他的格式的鏡像文件，可以從證據(jù)項中導(dǎo)出或復(fù)制文件，以便按需打印、采用電子郵件發(fā)送或組織文件，而無需更改原始證據(jù)，如圖9-22所示。(3)創(chuàng)建文件鏡像

創(chuàng)建鏡像文件時，F(xiàn)TKImager圖9-22創(chuàng)建文件鏡像圖9-22創(chuàng)建文件鏡像(3)導(dǎo)出散列報告

FTKImager可以導(dǎo)出散列報告。選定要導(dǎo)出散列值的文件，右鍵選擇導(dǎo)出散列值，如圖9-23所示。導(dǎo)出后打開效果如圖9-24所示。(3)導(dǎo)出散列報告

FTKImager可以導(dǎo)出散列報告。圖9-23導(dǎo)出散列報告圖9-23導(dǎo)出散列報告圖9-24散列報告導(dǎo)出效果圖9-24散列報告導(dǎo)出效果2.FTK

FTK軟件使用方便，可以通過多種方式分析證據(jù)，創(chuàng)建案例報告。它支持的磁盤分區(qū)格式包括NTFS，NTFScompressed,，F(xiàn)AT12/16/32,，Linuxext2&ext3等。支持鏡像文件格式包括Encase，SMART，Snapback，Safeback(3.0版本以上)，LinuxDD等。軟件支持不同格式文件的查看，允許對獲取的鏡像文件快速瀏覽。其界面如圖9-25所示。2.FTK

FTK軟件使用方便，可以通過多種方式分析證據(jù)，圖9-25FTK界面圖9-25FTK界面FTK軟件使用步驟如下：①新建案例。打開FTK軟件，選擇新建一個案例，如圖9-26所示。FTK軟件使用步驟如下：圖9-26新建一個案例圖9-26新建一個案例②填寫案例信息。填寫調(diào)查人員的信息和案例的信息，案例信息包括案例名稱、案例編號，案例證據(jù)所存放位置，案例描述等信息。如圖9-27所示。②填寫案例信息。填寫調(diào)查人員的信息和案例的信息，案例信息包括圖9-27案例描述信息圖9-27案例描述信息③填寫調(diào)查人員信息。調(diào)查人員信息包括調(diào)查人員所處的機(jī)構(gòu)、通信地址、電話、傳真、備注信息等，這些信息。如圖9-28所示。③填寫調(diào)查人員信息。調(diào)查人員信息包括調(diào)查人員所處的機(jī)構(gòu)、通信圖9-28調(diào)查人員信息圖9-28調(diào)查人員信息④選擇案例日志。案例日志包括案例和證據(jù)事件日志、錯誤消息日志、書簽事件日志、檢索事件日志、數(shù)據(jù)挖掘與互聯(lián)網(wǎng)關(guān)鍵詞檢索日志、其它日志。如圖9-29所示。④選擇案例日志。案例日志包括案例和證據(jù)事件日志、錯誤消息日志圖9-29案例日志圖9-29案例日志⑤案例處理選項。處理選項包括MD5哈希值、SHA1哈希值、已知文件過濾器（KFF）查找、全文索引、縮略圖存儲、EFS文件解密、文件列表數(shù)據(jù)庫、數(shù)據(jù)挖掘等多種選項、如圖9-30所示。⑤案例處理選項。處理選項包括MD5哈希值、SHA1哈希值、已圖9-30案例處理選項圖9-30案例處理選項單擊【下一步】，選擇案例證據(jù)精簡選項。根據(jù)文件的狀態(tài)和文件的類型等相關(guān)信息進(jìn)行排除，文件的狀態(tài)包括加密狀態(tài)、刪除狀態(tài)、電子郵件狀態(tài)等信息。如圖9-31所示。單擊【下一步】，選擇案例證據(jù)精簡選項。根據(jù)文件的狀態(tài)和文件的圖9-31文件的狀態(tài)圖9-31文件的狀態(tài)單擊【下一步】，選擇索引參數(shù)精簡選項。索引參數(shù)精簡選項設(shè)置的主要目的是節(jié)省時間和資源，并且使得證據(jù)檢索更加有效，可以通過設(shè)置排除一些相關(guān)數(shù)據(jù)的索引建立。具體設(shè)置類似案例證據(jù)精簡選項。如圖9-32所示。單擊【下一步】，選擇索引參數(shù)精簡選項。索引參數(shù)精簡選項設(shè)置的圖9-32案例證據(jù)精簡選項圖9-32案例證據(jù)精簡選項單擊“NEXT（下一步）”，選擇案例中的證據(jù)信息，通過添加“獨立文件”添加證據(jù)。如圖9-33所示。單擊“NEXT（下一步）”，選擇案例中的證據(jù)信息，通過添加“圖9-33添加證據(jù)圖9-33添加證據(jù)在添加證據(jù)時，F(xiàn)TK要求每一個FAT分區(qū)均設(shè)置時區(qū)，設(shè)置以后，F(xiàn)TK會將所有時間轉(zhuǎn)換成統(tǒng)一的GMT標(biāo)準(zhǔn)時間。如圖9-34所示。在添加證據(jù)時，F(xiàn)TK要求每一個FAT分區(qū)均設(shè)置時區(qū)，設(shè)置以后圖9-34標(biāo)準(zhǔn)時間圖9-34標(biāo)準(zhǔn)時間單擊“NEXT（下一步）”，案例創(chuàng)建即已完成。FTK將自動處理案例有關(guān)的數(shù)據(jù)。如圖9-35所示。單擊“NEXT（下一步）”，案例創(chuàng)建即已完成。FTK將自動處圖9-35案例創(chuàng)建完成圖9-35案例創(chuàng)建完成單擊“FINISH（完成）”，F(xiàn)TK將自動處理的結(jié)果顯示在如圖9-36所示的界面中。單擊“FINISH（完成）”，F(xiàn)TK將自動處理的結(jié)果顯示在如圖9-36處理的結(jié)果圖9-36處理的結(jié)果FTK可以生成案件報告。若要生成案件報告，可以使用菜單“FILE（文件）”，選擇“ReportWizard（報告向?qū)В?。如圖9-37所示。FTK可以生成案件報告。若要生成案件報告，可以使用菜單“FI圖9-37報告向?qū)D9-37報告向?qū)Б僭趫蟾嫦驅(qū)е械牡谝徊?，需要填寫案例的信息。②處理好案例信息后，單擊“NEXT（下一步）”，處理書簽導(dǎo)出與顯示信息。③處理好書簽導(dǎo)出與顯示信息后，單擊“NEXT（下一步）”，處理書簽文件屬性信息。

④處理書簽信息后，單擊“NEXT（下一步）”，處理已標(biāo)記的縮略圖形有關(guān)信息。①在報告向?qū)е械牡谝徊?，需要填寫案例的信息。⑤處理已?biāo)記的縮略圖形后，單擊“NEXT（下一步）”，處理文件管理方面的路徑信息。單擊“NEXT（下一步）”，處理文件管理方面的文件屬性信息。⑤處理已標(biāo)記的縮略圖形后，單擊“NEXT（下一步）”，處理文單擊“NEXT（下一步）”，處理補(bǔ)充文件有關(guān)信息。單擊“NEXT（下一步）”，處理報告位置有關(guān)信息。如下圖所示。報告生成后,會顯示如圖9-38所示對話框。單擊“NEXT（下一步）”，處理補(bǔ)充文件有關(guān)信息。圖9-38報告生成對話框圖9-38報告生成對話框單擊“確定”，最終的報告將以HTML形式顯示出來,如圖9-39所示。單擊“確定”，最終的報告將以HTML形式顯示出來,如圖9-3圖9-39最終的報告圖9-39最終的報告3．RV

RegistryViewer可以查看注冊表信息、讀取獨立的注冊表文件、破解注冊表中被保護(hù)的數(shù)據(jù)；并且可以與FTK集成。圖9-40為RV界面。3．RV

RegistryViewer可以查看注冊表信息、圖9-40RV界面圖9-40RV界面9.2硬件工具

9.2.1電子證據(jù)只讀鎖和硬盤復(fù)制機(jī)1.電子證據(jù)只讀鎖為了避免在計算機(jī)取證過程中，由于對硬盤操作而引發(fā)更改硬盤的數(shù)據(jù)現(xiàn)象。釆用電子證據(jù)只讀鎖已經(jīng)成為計算機(jī)取證的標(biāo)準(zhǔn)配置工具，其獲取的證據(jù)的有效性已經(jīng)被法庭采信。9.2硬件工具

9.2.1電子證據(jù)只讀鎖和硬盤復(fù)制機(jī)只讀鎖通過屏蔽寫信號，確保不會修改犯罪嫌疑人的硬盤，這樣就具有司法有效性。如圖9-41所示，具體操作步驟如下：只讀鎖通過屏蔽寫信號，確保不會修改犯罪嫌疑人的硬盤，這樣就具圖9-41電子證據(jù)只讀鎖圖9-41電子證據(jù)只讀鎖①將嫌疑硬盤連接到只讀鎖。②只讀鎖必須確保置于只讀模式。通過1394接口、USB接口或IDE接口與取證機(jī)連接。③打開PC計算機(jī)和只讀鎖電源，開始工作。①將嫌疑硬盤連接到只讀鎖。2.硬盤復(fù)制機(jī)

目前對硬盤的數(shù)據(jù)獲取主要有軟件方式和硬件方式兩種實現(xiàn)方法。軟件方式主要利用如EnCase、FTK或其它專用拷貝軟件，通過相應(yīng)接口，實現(xiàn)對嫌疑硬盤的數(shù)據(jù)分析或直接硬盤復(fù)制，能夠一定程度上滿足硬盤數(shù)據(jù)獲取的需要。2.硬盤復(fù)制機(jī)

目前對硬盤的數(shù)據(jù)獲取主要有軟件方式和硬件方硬件方式主要利用硬盤拷貝機(jī)，通過對嫌疑硬盤的快速物理拷貝，實現(xiàn)對硬盤數(shù)據(jù)的完整獲取。硬件方式主要利用硬盤拷貝機(jī)，通過對嫌疑硬盤的快速物理拷貝，實其中Talon是實測拷貝速度較高（達(dá)4GB/分鐘）的司法取證復(fù)制機(jī)如圖9-42所示，它具有自動生成實時取證工作報告寫入CF卡的功能。其中Talon是實測拷貝速度較高（達(dá)4GB/分鐘）的司法取圖9-42Talon硬盤復(fù)制機(jī)圖9-42Talon硬盤復(fù)制機(jī)①通過USB接連接目標(biāo)計算機(jī)。連接好源盤（嫌疑盤）、目標(biāo)盤。②打開Talon機(jī)電源。先對目標(biāo)盤格式化。按下【Select】鍵，選擇【Mode】菜單，按下【Select】鍵，移動到【W(wǎng)ipecleanDest】選項，按下【Select】鍵，再按【START/STOP】開始格式化，輸入日志文件名稱（八個字符以內(nèi)，建議用當(dāng)日的日期或者案子名稱等）。①通過USB接連接目標(biāo)計算機(jī)。連接好源盤（嫌疑盤）、目標(biāo)盤③計算源盤（嫌疑盤）的Hash256/MD5值。按下【Select】鍵，選擇【Mode】菜單，按下【Select】鍵，移動到【CalcHASH】選項，按下【Select】鍵，選擇SHA-256模式，再按【START/STOP】，同第2步輸入日志文件名稱。③計算源盤（嫌疑盤）的Hash256/MD5值。按下【Se④鏡像文件的獲?。ㄓ脖P復(fù)制）。按下【Select】鍵，選擇【Mode】菜單，按下【Select】鍵，選擇鏡像模式：Capture(完全鏡像)、DDCapture模式，按【START/STOP】開始復(fù)制。⑤計算目標(biāo)盤的Hash256（同步驟3）驗證目標(biāo)盤數(shù)據(jù)與源盤數(shù)據(jù)的一致性。④鏡像文