電子數(shù)據(jù)取證鑒定實(shí)驗室建設(shè)項目方案書

<DOCPROPERTY"密級"公司機(jī)密>DOCPROPERTY"Company"上海盤石數(shù)碼,SAVEDATE\@"yyyy"2015頁碼：電子數(shù)據(jù)取證鑒定實(shí)驗室建設(shè)項目中，我們將協(xié)助設(shè)計和提供各個環(huán)節(jié)的報告模板，協(xié)助建設(shè)實(shí)驗室管理流程。安防設(shè)備配備門禁和視頻監(jiān)控安防管理。根據(jù)市局對電子取證鑒定實(shí)驗室的建設(shè)標(biāo)準(zhǔn)要求，我們建立相應(yīng)的裝備要求，盤石公司提供了裝備配置與報價的詳細(xì)信息（參見附件一），但是在配置報價表中未考慮如下因素：室內(nèi)裝修（含門窗、工位、空調(diào)、電力、燈光等）網(wǎng)絡(luò)基礎(chǔ)設(shè)施（通信、機(jī)柜、交換機(jī)、網(wǎng)絡(luò)布線等）門禁、監(jiān)控等安保系統(tǒng)海量存儲實(shí)驗室認(rèn)可認(rèn)證如果需要上述配置，必須增加相應(yīng)的預(yù)算。下面是各個裝備的詳細(xì)說明：數(shù)據(jù)的固定設(shè)備證據(jù)數(shù)據(jù)完整性的保護(hù)盤石只讀接口套件盤石只讀接口套件為分析過程提供了額外的寫保護(hù)功能，使得在分析的過程中，證據(jù)媒介不會有任何的更改，從而有效的保護(hù)證據(jù)媒介。Tableau公司的UltraBlock系列是最好的寫保護(hù)接口，提供了SCSI、IDE、SATA、USB、存儲卡等各類寫保護(hù)設(shè)備。本方案以UltraBlock設(shè)備為主提供寫保護(hù)硬件設(shè)備。UltraBlock-IDE/SATAFireWire/USB接口的IDE/SATA取證寫保護(hù)設(shè)備。UltraBlock-IDE/SATARO可以通過FireWire-A(400Mb/s),FireWire-B(800Mb/s),或者USB1.X/2.0接口將IDE硬盤連接到取證計算機(jī)硬盤，為IDE/SATA硬盤提供只讀的證據(jù)獲取和分析功能。由于該設(shè)備已經(jīng)提供了SATA接口硬盤設(shè)備的寫保護(hù)功能，本方案中使用此增強(qiáng)設(shè)備來代替SATA只讀接口，不再提供單獨(dú)的SATA只讀接口設(shè)備。UltraBlockUSBWriteBlockUSB接口只讀鎖，通過UltraBlockUSB接口只讀鎖設(shè)備可以將任何USB存儲設(shè)備變?yōu)橹蛔x。UltraBlockUSB支持USB2.0/1.1和低速設(shè)備接口?？梢杂糜赨盤，USB存儲卡，USB外部硬盤等。和其它UltraBlock取證設(shè)備一樣，USB接口只讀鎖可以通過1394/USB2.0連接到分析用計算機(jī)，支持各種操作系統(tǒng)平臺和軟件，在獲取和分析過程中不用擔(dān)心數(shù)據(jù)會寫入到USB存儲設(shè)備。UltraBlock-SCSIFireWire/USB到SCSI橋設(shè)備的取證寫保護(hù)器。UltraBlock-SCSI可以通過FireWire-A(400Mb/s),FireWire-B(800Mb/s),或者USB1.X/2.0接口將SATAIDE硬盤連接到取證計算機(jī)，進(jìn)行只讀的證據(jù)獲取和分析。UltraBlockForensicCardReaders存儲卡只讀接口設(shè)備，包括一個只讀和一個可讀寫的存儲卡接口設(shè)備，可以處理的存儲卡包括：CompactFlashCard(CFC)MicroDrive(MD)MemoryStickCard(MSC)MemoryStickPro(MSPro)SmartMediaCard(SMC)xDCard(xD)SecureDigitalCard(SDC)MultiMediaCard(MMC)轉(zhuǎn)接口設(shè)備通過存儲媒介接口轉(zhuǎn)換器，可以有效的對只讀接口和硬盤復(fù)制機(jī)功能進(jìn)行擴(kuò)展，使得只讀接口和硬盤復(fù)制機(jī)支持更多的存儲媒介。本方案中提供的轉(zhuǎn)接設(shè)備如下：IDE3.5-2.5，標(biāo)準(zhǔn)IDE轉(zhuǎn)接到2.5筆記本硬盤IDE3.5-1.8，標(biāo)準(zhǔn)IDE轉(zhuǎn)接到1.8寸筆記本硬盤IDE3.5-ZIF，標(biāo)準(zhǔn)IDE轉(zhuǎn)接到ZIF硬盤SCSI68-80，68針SCSI轉(zhuǎn)接到80針接口SCSI68-50，66針SCSI轉(zhuǎn)接到50針接口MINISATA，迷你SATA轉(zhuǎn)標(biāo)準(zhǔn)SATASolo-III高速多功能復(fù)制機(jī)套件本方案在現(xiàn)場復(fù)制機(jī)的選型方面，采用了ImageMASSterSolo-III硬盤復(fù)制機(jī)。ImageMASSterSolo-III取證系統(tǒng)是一套手持式、輕便、高速的硬盤數(shù)據(jù)獲取設(shè)備，專為司法取證用途而設(shè)計。利用該設(shè)備的同步數(shù)據(jù)校驗功能，可確保疑犯數(shù)據(jù)的精確復(fù)制，不會造成數(shù)據(jù)傳輸過程中疑犯硬盤數(shù)據(jù)修改和數(shù)據(jù)重置。系統(tǒng)特性:中文菜單和操作界面。MD5和CRC32哈希校驗：在復(fù)制的過程中可以同時計算MD5和CRC32哈希校驗值。觸摸屏用戶界面：高級觸摸屏用戶界面和可編程的鍵盤，方便用戶使用。高速數(shù)據(jù)復(fù)制：數(shù)據(jù)復(fù)制速度超過3GB/分鐘。內(nèi)置寫保護(hù)：對嫌疑人硬盤提供內(nèi)置的寫保護(hù)功能。內(nèi)置1394B和USB2.0接口：用來獲取不能打開的嫌疑人筆記本和PC。通過寫保護(hù)端口連接后可以預(yù)覽嫌疑人硬盤。同時獲取到兩塊硬盤：可以將數(shù)據(jù)高速獲取道兩塊硬盤。支持IDE、SATA和SCSI硬盤設(shè)備（SCSI設(shè)備通過附加硬件設(shè)備支持）。多獲取模式：用位到位的方式將嫌疑人硬盤數(shù)據(jù)復(fù)制到，分段的DD文件，這樣可以將多個鏡像復(fù)制到一塊證據(jù)硬盤。擦除功能：擦除數(shù)據(jù)的速度超過3GB/分鐘。拷貝HPA和DCO區(qū)域。HPA是獨(dú)立于硬盤正常操作系統(tǒng)文件系統(tǒng)之外的保留區(qū)域。該設(shè)備可檢測并獲取此區(qū)域。DCO允許系統(tǒng)修改硬盤提供的相關(guān)參數(shù)。該設(shè)備可檢測并獲取此區(qū)域。壞扇區(qū)處理。增強(qiáng)的壞扇區(qū)處理功能，允許操作者跳過整個扇區(qū)壞塊。審計日志：詳細(xì)的操作日志可以打印或者保存到CF卡中。多種介質(zhì)設(shè)備支持：支持IDE、SATA、SCSI硬盤之間的數(shù)據(jù)復(fù)制。也可以閃存和筆記本硬盤獲取數(shù)據(jù)（SCSI設(shè)備通過附加硬件設(shè)備支持）。升級：軟件和固件可以通過CF卡進(jìn)行升級。硬件規(guī)格:電壓：90-230V/50-60Hz功率：在未接硬盤時10W溫度：5-55攝氏度相對濕度：20%-60%凈重：2.2磅尺寸：8.3"x5.8"x2.2"同時包括如下硬件選項組成高速復(fù)制機(jī)取證箱，提供對SCSI硬盤的高速復(fù)制和獲取能力?？焖賁CSI選項：完成從一塊SCSI硬盤到另外一塊SCSI硬盤的復(fù)制，速度超過4GB/分鐘。通過可選的其它適配器完成SCSI硬盤到SATA和IDE硬盤的復(fù)制。SCSI到SATA適配器：允許從SCSI硬盤復(fù)制到另外一塊SATA硬盤。SCSI到IDE(P-ATA)適配器：允許從SCSI硬盤復(fù)制到另外一塊IDE硬盤。筆記本適配器：使得Solo-3可以從各種型號的筆記本硬盤獲取數(shù)據(jù)。PCMCIA-ATA適配器：提供從ATA兼容的閃存設(shè)備獲取數(shù)據(jù)。盤石1to2光盤復(fù)制機(jī)盤石1：2光盤復(fù)制機(jī)專為光盤取證所設(shè)計，支持一對二復(fù)制，支持盤片格式有：DVD-ROM、DVD-Video、DVD-R、DVD-Audio、DVD-RAM、DVD-RW、DVD+R、DVD+RW、DVD-R、DVD-RW等規(guī)格。其主要規(guī)格如下：顯示方式LED液晶面板顯示寫入模式自動偵測(DAO,TAO)功能模式直接刻錄模式,模擬刻錄模式,擦除光盤,母片糾錯測試，安全刻錄模式,比對刻錄碟片,系統(tǒng)功能設(shè)定。操作方式脫機(jī)拷貝,多鍵式觸控面板控制產(chǎn)品性能：不需接計算機(jī)只需插上電源即可使用。操作簡單,拷貝完成后碟片自動彈出。采用IDE接口，刻錄DVD-R/DVD-RW只需5-10分鐘,可同時復(fù)制4.7GBDVD-R/DVD-RW光盤1-2張。支持目前所有格式。液晶面板全程顯示，聲音提示。具有直接刻錄，盤片檢測，仿真刻錄功能。數(shù)據(jù)完整性校驗值計算軟件數(shù)據(jù)完整性效驗已涵蓋在SafeAnalyzer中證據(jù)數(shù)據(jù)原始性的保護(hù)攝像機(jī)索尼手持便攜式攝像機(jī)照相機(jī)佳能單反數(shù)碼相機(jī)屏幕錄像軟件屏幕錄像大師：是一款專業(yè)的屏幕錄像制作工具。使用它可以輕松地將屏幕上的軟件操作過程、網(wǎng)絡(luò)教學(xué)課件、網(wǎng)絡(luò)電視、網(wǎng)絡(luò)電影、聊天視頻等錄制成FLASH動畫、WMV動畫、AVI動畫或者自播放的EXE動畫。本軟件具有長時間錄像并保證聲音完全同步的能力。本軟件使用簡單，功能強(qiáng)大，是制作各種屏幕錄像和軟件教學(xué)動畫的首選軟件。軟件基本功能如下：支持長時間錄像并且保證聲音同步。(V3V3.5V5V5.5V6等以前的舊版本聲音同步有問題，請使用最新版)。在硬盤空間足夠的情況下,可以進(jìn)行不限時間錄象(只有V7.5版有此功能)。定時錄像。錄制生成EXE文件，可以在任何電腦(操作系統(tǒng)為windows98/2000/2003/XP等)播放，不需附屬文件。高度壓縮，生成文件小。錄制生成AVI動畫，支持各種壓縮方式。生成FLASH動畫，文件小可以在網(wǎng)絡(luò)上方便使用，同時可以支持附帶聲音并且保持聲音同步。錄制生成微軟流媒體格式WMV/ASF動畫，可以在網(wǎng)絡(luò)上在線播放。支持后期配音和聲音文件導(dǎo)入，使錄制過程可以和配音分離。錄制目標(biāo)自由選?。嚎梢允侨?、選定窗口或者選定范圍。錄制時可以設(shè)置是否同時錄制聲音，是否同時錄制鼠標(biāo)?？梢宰詣釉O(shè)置最佳幀數(shù)?？梢栽O(shè)置錄音質(zhì)量。本地數(shù)字化設(shè)備非運(yùn)行狀態(tài)下的數(shù)據(jù)提取獨(dú)立存儲介質(zhì)的數(shù)據(jù)提取SATA、1.8寸IDE、2.5寸IDE、USB、SCSI、SAS、CF、SD（含microSD、miniSD等）、SM、MMC、PCMICATA、MemoryStick、CD、DVD等各類接口存儲介質(zhì)離線轉(zhuǎn)換接口。已包含在盤石只讀接口套件中。鏡像文件加載軟件盤石易載鏡像系統(tǒng)（SafeMount），參見本方案1.2.4小節(jié)。不可獨(dú)立訪問存儲介質(zhì)的數(shù)據(jù)提取Safemobile手機(jī)取證系統(tǒng)介紹詳見1.2.2章節(jié)。磁存儲介質(zhì)物理數(shù)據(jù)提取SafeDisk硬盤檢測、解密和固件恢復(fù)系統(tǒng)SafeDisk是一段高度集成的硬盤修復(fù)系統(tǒng)。它的功能涵蓋了數(shù)據(jù)恢復(fù)、硬盤故障診斷、密碼解碼、內(nèi)容瀏覽及掃描，同時支持對硬盤進(jìn)行鏡像。支持所有的ATA/IDE和SATA設(shè)備。主要特性：原生的SATA1代和2代，IDE接口內(nèi)建RS-232接口，用于連接希捷、三星、日立等硬盤的CPU內(nèi)建寫保護(hù)開關(guān)支持HPA的修改硬盤密碼獲取及移除實(shí)時狀態(tài)監(jiān)控固件備份及修復(fù)案件管理系統(tǒng)自動診斷硬盤部件無塵工作環(huán)境涉及硬盤盤體級數(shù)據(jù)恢復(fù)的情況，需在電子專業(yè)級無塵的環(huán)境下操作，以確保數(shù)據(jù)恢復(fù)的高成功率，避免造成硬盤的二次損壞。無塵環(huán)境構(gòu)成（工作臺潔凈度：100級，無塵室潔凈度：1000級）：風(fēng)淋室無塵工作室傳遞窗空氣過濾換風(fēng)系統(tǒng)光存儲介質(zhì)物理數(shù)據(jù)提取光盤修復(fù)機(jī)/清洗機(jī)/軟件自動光盤修復(fù)機(jī)主要特性如下：專業(yè)修復(fù)激光碟片（CD/DVD/CD-R/CD-RW等）操作簡單，6分鐘自動完成打磨/修補(bǔ)/清潔，使碟片恢復(fù)正常播放有效去除劃傷/灰塵/污點(diǎn)及指紋修復(fù)后可在碟片表面產(chǎn)生保護(hù)層環(huán)保無毒修補(bǔ)液/清潔液（獲得SGS認(rèn)證）獨(dú)特的抽屜式設(shè)計將所有配件放在產(chǎn)品內(nèi)本地數(shù)字化設(shè)備運(yùn)行狀態(tài)下的數(shù)據(jù)提取運(yùn)行狀態(tài)下數(shù)字化設(shè)備上的數(shù)據(jù)提取盤石仿真取證系統(tǒng)（SafeVM）詳見前面產(chǎn)品介紹章節(jié)Rainbow-LmHashWindows密碼破解工具，同時也是雜亂算法加密（hashalgorithm，比如:lm、md5、sha1、customizable）的破解利器，其它的加密方式破解也可以很容易地添加到該軟件中。同時支持Windows和Linux系統(tǒng)，而且在一個系統(tǒng)上上生成的表單可以直接轉(zhuǎn)換到另一種系統(tǒng)上使用。RainbowCrackMD5、LM哈希表可提供高效的字典式攻擊，快速破解密碼。盤石現(xiàn)場取證系統(tǒng)（SafeImager）詳見前面產(chǎn)品介紹章節(jié)1.2.1。運(yùn)行狀態(tài)下數(shù)字化設(shè)備網(wǎng)絡(luò)通信數(shù)據(jù)的提取wireshark通訊線路中截獲通訊數(shù)據(jù)包括了專用的監(jiān)控計算機(jī)及嗅探軟件系統(tǒng)。該計算機(jī)于普通計算機(jī)的區(qū)別在于普通計算機(jī)的以太網(wǎng)卡會在監(jiān)聽網(wǎng)絡(luò)通訊數(shù)據(jù)是發(fā)送數(shù)據(jù)，而專用計算機(jī)在監(jiān)聽過程一直處于純監(jiān)聽狀態(tài)，不會發(fā)送任何無關(guān)數(shù)據(jù)包。避免了無用的通信數(shù)據(jù)干擾正常截獲工作。同時，該計算機(jī)還配置有強(qiáng)大的數(shù)據(jù)截獲軟件系統(tǒng)Wireshark。這款網(wǎng)絡(luò)數(shù)據(jù)嗅探截獲軟件系統(tǒng)在目前行業(yè)內(nèi)處于領(lǐng)先位置，其很多特性為用戶所喜愛。同時作為一款跨平臺的軟件系統(tǒng)，它可以運(yùn)行在Unix、Linux和Windows下，滿足了各類用戶對數(shù)據(jù)截獲的需要。其主要特性包括了以下幾點(diǎn)：深入檢測上百種網(wǎng)絡(luò)協(xié)議，并且不斷添加更新；實(shí)時抓取并且支持離線的分析支持多平臺操作系統(tǒng)：Windows,Linux,OSX,Solaris,FreeBSD,NetBSD等強(qiáng)大的過濾系統(tǒng)豐富的VoIP分析支持讀取寫入多種抓取包文件格式遠(yuǎn)程數(shù)字化設(shè)備的數(shù)據(jù)提取遠(yuǎn)程數(shù)字化設(shè)備存儲處理的數(shù)據(jù)提取使用wget、SamSpade、GetIFSNMPMIBBrowser和各種數(shù)據(jù)庫客戶端等類似免費(fèi)軟件可以完成遠(yuǎn)程獲取HTTP、FTP、SNMP、數(shù)據(jù)庫等各網(wǎng)絡(luò)服務(wù)應(yīng)用數(shù)據(jù)。遠(yuǎn)程數(shù)字化設(shè)備運(yùn)行狀態(tài)數(shù)據(jù)提取使用XScan、Nmap、Xenu等免費(fèi)工具可以獲得遠(yuǎn)程網(wǎng)絡(luò)服務(wù)設(shè)備和主機(jī)的狀態(tài)、端口及服務(wù)信息。數(shù)據(jù)的發(fā)現(xiàn)盤石介質(zhì)取證分析軟件（SA）可以完成文件的通用查找、操作系統(tǒng)應(yīng)用分析和數(shù)據(jù)提取、文件的恢復(fù)、數(shù)據(jù)記錄提取、碎片級的數(shù)據(jù)發(fā)現(xiàn)、結(jié)構(gòu)化的數(shù)據(jù)解碼等各項數(shù)據(jù)鑒定和分析工作。詳見本方案1.2.2小節(jié)。R-Studio介紹R-Studio是一個功能強(qiáng)大、節(jié)省成本的反刪除和數(shù)據(jù)恢復(fù)軟件系列。它采用獨(dú)特的數(shù)據(jù)恢復(fù)新技術(shù)，為恢復(fù)FAT12/16/32、NTFS、NTFS5（由Windows2000/XP/2003/Vista創(chuàng)建或更新）、Ext2FS/Ext3FS（LINUX文件系統(tǒng)）以及UFS1/UFS2（FreeBSD/OpenBSD/NetBSD文件系統(tǒng)）分區(qū)的文件提供了最為廣泛的數(shù)據(jù)恢復(fù)解決方案。R-Studio運(yùn)行于本地磁盤和網(wǎng)絡(luò)磁盤，即使這些分區(qū)已被格式化、損壞或刪除。對參數(shù)進(jìn)行靈活的設(shè)置，可以讓您對數(shù)據(jù)恢復(fù)實(shí)施絕對控制。R-Studio工具恢復(fù)功能：沒有進(jìn)回收站而被直接刪除的文件，或者當(dāng)回收站被清空時的文件；因病毒攻擊或電源故障被刪除的文件；文件分區(qū)被重新格式化后的文件（甚至是不同的文件系統(tǒng)）；硬盤上的分區(qū)結(jié)構(gòu)被改變或損害時的文件。在這種情況下，R-Studio工具可以掃描硬盤，嘗試去找到以前存在的分區(qū)并從找到的分區(qū)恢復(fù)文件。有壞扇區(qū)的硬盤的文件R-Studio數(shù)據(jù)恢復(fù)軟件首先拷貝整個磁盤或者部分磁盤內(nèi)容到一個鏡像文件中，然后再處理該鏡像文件。當(dāng)新的壞扇區(qū)不斷出現(xiàn)在硬盤上時，這一處理方式尤為實(shí)用，其余信息必須立即保存。標(biāo)準(zhǔn)的“WindowsExplorer”風(fēng)格界面。主機(jī)操作系統(tǒng)：Windows9x、ME、NT、2000、XP、2003Server、Vista。通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)恢復(fù)?？梢詮倪\(yùn)行Win95/98/ME/NT/2000/XP/2003/Vista、Linux以及UNIX的網(wǎng)絡(luò)計算機(jī)上恢復(fù)文件。支持的文件系統(tǒng)：FAT12、FAT16、FAT32、NTFS、NTFS5（由Windows2000/XP/2003/Vista創(chuàng)建或更新）、Ext2FS/Ext3FS(Linux)、UFS1/UFS2(FreeBSD/OpenBSD/NetBSD)。識別和分析動態(tài)(Windows2000/XP/2003/Vista)、基本和BSD(UNIX)分區(qū)布局方案。損壞的RAID恢復(fù)。如果操作系統(tǒng)不能識別出您的RAID，您可以從其組件創(chuàng)建一個虛擬的RAID。這樣的虛擬RAID可以當(dāng)作真實(shí)的RAID處理。創(chuàng)建鏡像文件用于整個硬盤、分區(qū)或它的一部分。這類鏡像文件可以作為常規(guī)的磁盤處理。對被損壞或刪除的分區(qū)、加密文件(NTFS5)、額外的數(shù)據(jù)流(NTFS,NTFS5)進(jìn)行數(shù)據(jù)恢復(fù)。數(shù)據(jù)的解密與解碼加密數(shù)據(jù)的解密:Elcomsoft密碼破解套件EPRB系列套裝提供了用戶訪問各種加密文檔的能力。套裝包含的工具使用了最新、最先進(jìn)的密碼分析算法，適用于較大范圍的領(lǐng)域例如：應(yīng)用軟件、文字處理軟件、表格和數(shù)據(jù)庫管理軟件等的密碼。超過了100中不同的文件格式和密碼加密算法提供三種版本的套裝供用戶挑選產(chǎn)品標(biāo)準(zhǔn)版司法版商業(yè)版AdvancedACTPasswordRecovery1110AdvancedArchivePasswordRecovery1110AdvancedEFSDataRecovery1110AdvancedIEPasswordRecovery1110AdvancedIMPasswordRecovery1110AdvancedIntuitPasswordRecovery1110AdvancedLotusPasswordRecovery1110AdvancedMailboxPasswordRecovery1110AdvancedOfficePasswordBreaker1(Pro)1(Ent)1(Ent)AdvancedOfficePasswordRecovery(Pro)1110AdvancedOEPasswordRecovery1110AdvancedPDFPasswordRecovery1(Pro)1(Ent)1(Ent)AdvancedWPOfficePasswordRecovery1110ProactiveSystemPasswordRecovery1110ProactivePasswordAuditorupto100

accountsupto500

accountsElcomsoftDistributedPasswordRecoveryupto100

clientsupto500

clientsElcomsoftSystemRecovery1(Std)1(Pro)1(Pro)結(jié)構(gòu)化數(shù)據(jù)的解碼數(shù)據(jù)的分析i2全新的可視化分析調(diào)查功能，使情報分析人員能快速掌握相關(guān)信息，也為預(yù)防和打擊犯罪提供及時支持，讓情報分析更兼具時效性與準(zhǔn)確性。主要應(yīng)用于刑案分析，由于所涉及到的信息比較分散，而且通常以人工分析為主，加上分析過程的非結(jié)構(gòu)性和不確定性，所以不易形成固定的分析流程或模式，調(diào)查取證中的信息也很難進(jìn)入警調(diào)現(xiàn)有的系統(tǒng)中。借助功能強(qiáng)大的Analyst’sNotebook可輔助人工操作將數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，并做出完整的分析圖表。圖表中包含所有案件的相關(guān)信息，也完整展示案件分析的過程和證據(jù)鏈，同時，這些分析圖表也可透過免費(fèi)的ChartReader作為辦案人員交流信息的媒介。i2的強(qiáng)大功能包括：自動展現(xiàn)：無論檔案數(shù)據(jù)是text、xml、excel或來自業(yè)務(wù)數(shù)據(jù)庫等，用戶均可運(yùn)用建立模型的方式，將數(shù)據(jù)進(jìn)行完全自動的可視化呈現(xiàn)。表格分析：運(yùn)用數(shù)據(jù)表格的方式對圖表中的對象（實(shí)體、連結(jié)、卡片等）進(jìn)行視覺搜尋、分類排序等。關(guān)聯(lián)分析：透過視覺搜尋（VisualSearch）、尋找連結(jié)項目（FindLink）、尋找路徑（FindPath）等方法，發(fā)現(xiàn)不同實(shí)體彼此的關(guān)聯(lián)和隱藏的聯(lián)系，以建立完整的分析證據(jù)。網(wǎng)絡(luò)分析：透過各種圖表呈現(xiàn)網(wǎng)絡(luò)中的群組（例如電話記錄中的通信群組），可用的分析方式包括網(wǎng)絡(luò)圖、分組圖表、環(huán)狀圖、階級圖、時間序列圖等。時序分析：在調(diào)查分析中導(dǎo)入時間緯度，按照時間序列呈現(xiàn)事件發(fā)展的完整過程，進(jìn)而發(fā)現(xiàn)規(guī)律性，并預(yù)測未來趨勢?？臻g分析：在調(diào)查分析中導(dǎo)入空間向度，結(jié)合事件圖表中涉及的實(shí)體、關(guān)聯(lián)和位置等信息，可說明地理空間的關(guān)聯(lián)性。群集分析：在圖表中發(fā)現(xiàn)隱含的群集（例如在某時段內(nèi)多次乘坐相同航班的群組），而用戶可以自行定義群組的條件和連結(jié)強(qiáng)度等。程序功能的黑盒分析程序功能的靜態(tài)分析:IDAPRO（專業(yè)版+反編譯）IDAPro是目前最棒的一個靜態(tài)反編譯軟件，是破解者不可缺少的利器!巨酷的反編譯軟件，破解高手們幾乎都喜歡用這個軟件。IDAPro并不自動的解決程序中的問題，IDAPro會按時您指令的可疑之處，并不去解決這些問題。您的工作是通知IDA怎樣去做。IDAProDisassemblerandDebugger是一款交互式的，可編程的，可擴(kuò)展的，多處理器的，Windows或Linux平臺主機(jī)分析程序。被公認(rèn)為最好的花錢可以買到的反匯編利器，IDAPro已經(jīng)成為事實(shí)上的分析敵意代碼的標(biāo)準(zhǔn)并讓其自身迅速成為攻擊研究領(lǐng)域的重要工具。它的優(yōu)點(diǎn)是可以更好的反匯編和更有深層分析?？梢钥焖俚竭_(dá)指定的代碼位置；可以看到跳到指定的位置的jmp的命令位置；可以看參考字符串；可以保存靜態(tài)匯編等。有害程序搜索軟件SafeAnalyzer實(shí)現(xiàn)對有害程序的搜索,詳細(xì)見SafeAnalyzer的功能介紹。實(shí)驗室環(huán)境條件基礎(chǔ)環(huán)境和設(shè)備條件靜電檢查設(shè)備辦公基礎(chǔ)裝備光盤打印機(jī)碎紙機(jī)擦除軟件數(shù)據(jù)發(fā)現(xiàn)提取固定基礎(chǔ)條件證據(jù)數(shù)據(jù)存儲設(shè)備對于二級和三級實(shí)驗室可以配備2個1T的移動存儲硬盤，實(shí)現(xiàn)對證據(jù)的存儲。對國家級和一級實(shí)驗室可以采用戴爾AX4-5實(shí)現(xiàn)證據(jù)存儲：AX4-5，雙控制器1G緩存，4個FC4主機(jī)接口，每擴(kuò)展單元12塊硬盤，支持60塊硬盤，9TB，單盤容量300GB15KSAS，30塊硬盤，支持快照。戴爾AX4-5其它特性包括：1.卓越的數(shù)據(jù)有效性及可靠性：在發(fā)生重大故障時，戴爾AX4-5的控制器通過連續(xù)的后臺磁盤一致性檢查、鏡像緩存以及緩存降級，提供端到端的數(shù)據(jù)完整性。數(shù)據(jù)在控制器、硬盤以及數(shù)據(jù)傳輸路徑中均能夠得到妥善的保護(hù)。2.簡便的部署及先進(jìn)的管理：戴爾AX4-5裝有EMC的Navisphere?Express，一種可以簡化安裝及操作的直觀用戶界面。AX4-5承襲了過去僅在更高端的Dell/EMCCX3存儲陣列上提供的許多優(yōu)秀的軟件功能?？蛻艨梢酝ㄟ^一個控制臺對多種EMC陣列及可選的數(shù)據(jù)復(fù)制和遷移工具進(jìn)行管理。3.彈性架構(gòu)：戴爾AX4-5通過5組機(jī)架能夠最多容納60塊硬盤，支持多達(dá)64個主機(jī)，能夠滿足未來數(shù)據(jù)增長的需求。利用簡化的向?qū)焦芾?，客戶能夠在?shù)秒內(nèi)分配更多的存儲空間。4.靈活性及硬盤選擇：戴爾AX4-5iSCSI陣列可以支持高性價比的IP網(wǎng)絡(luò)，并且可以通過高性能的4Gb/s接口支持光纖陣列。AX4-5同樣可以輕松整合高性能的SAS硬盤與大容量的SATA硬盤。物證存儲柜物證室放置2排2聯(lián)手動密集柜。密集柜采用優(yōu)質(zhì)冷軋鋼板模壓成型，表面經(jīng)去油--除銹--表調(diào)--磷化--清洗--鈍化等十道工序加工而成。國際最新流行色亞光靜電噴粉，高溫塑化而成，防銹蝕性能卓越，架體之間的接觸面配有緩沖，磁性密封條，頂部有防塵板，底部有防鼠裝置。每列架體設(shè)有安全限位制動裝置及防傾倒裝置。邊架裝有鎖具，用于整體鎖閉。傳動機(jī)構(gòu)通過精加工處理，使用精密軸承，傳動靈活平穩(wěn)。層板間距根據(jù)需要可自由調(diào)節(jié)。物證室的效果圖如下：本地數(shù)字化設(shè)備檢驗專用主機(jī)（取證分析工作站SFP-101） SFP-101專為小型實(shí)驗室設(shè)計，能夠完成常規(guī)的鑒定任務(wù)。平臺內(nèi)集成了高速的存儲介質(zhì)只讀接口，比常見的外接式只讀接口速度提升一倍，解決了外接接口使用時接線煩亂的困擾。 平臺預(yù)裝的操作系統(tǒng)已經(jīng)為鑒定工作調(diào)整到最佳狀態(tài)，無需擔(dān)心因為操作系統(tǒng)的問題干擾鑒定工作。能夠高效的完成各種存儲介質(zhì)的獲取工作，并可以對象系統(tǒng)進(jìn)行勘察取證。為取證分析定制的盤石SFP-101取證分析平臺可以完全滿足需求，SFP-101平臺的主要硬件配置如下：Intel架構(gòu)主板Intel酷睿2雙核CPU8600GT獨(dú)立顯卡160GBSATAII系統(tǒng)硬盤1TBSATAII數(shù)據(jù)存儲支持SATAII高速硬盤千兆網(wǎng)絡(luò)接口內(nèi)建高速USB2.0接口、1394A接口、eSATA接口內(nèi)建多合一讀卡器內(nèi)建司法鑒定專用存儲介質(zhì)只讀接口，支持IDE、SATA、SCSI和USB設(shè)備20寸寬屏液晶顯示器，1680×1050預(yù)裝WindowsXP及取證相關(guān)工具（可選）、2009版內(nèi)置SAS硬件只讀接口為符合取證的需要，要求可以獲取各類平臺和系統(tǒng)的存儲介質(zhì)和架構(gòu)。遠(yuǎn)程數(shù)字化設(shè)備檢驗專用主機(jī)高性能專用電腦物證封存袋、封存條程序功能檢驗基礎(chǔ)條件高性能專用電腦實(shí)驗室管理條件由公安部十一局統(tǒng)一開發(fā)后配發(fā)。實(shí)驗室附屬設(shè)施將按照實(shí)驗室的布局和實(shí)際要求進(jìn)行裝修和配置。項目實(shí)施概況鑒定實(shí)驗室的項目建設(shè)