发新话题
打印

[转载]国内外计算机取证设备对比与分析

[转载]国内外计算机取证设备对比与分析

作者简介 : 王玉福 (1974 年 ), 男 , 山东省平度市人 , 大学本科 , 主要研究领域为 计算机取证软硬件设备 ;

摘 要 : 对电子证据的获取、分析和发现是打击各种犯罪行为的一种全新手段。随着国内涉及计算机取证的案件不断增多,法律部门越来越需要精确、高速、多功能、智能化、适应于不同场合的专业计算机取证设备来武装自己。多年来,国外科研机构、院校、军警部门一直在努力加强计算机取证技术的研究,研制开发了各种各样的软硬件产品;国内科研机构也注意加强年来也出现一些专业的计算机取证产品。如何充分地利用这些已有的计算机取证工具,提高国内法律部门的计算机取证水平,有效地打击犯罪行为具有重要的意义。本文通过对比国内外各种计算机取证工具的特点,分析发现不同取证工具的使用优势,便于同行对不同取证设备的认识。

关键词 : * 计算机取证 ; 设备评测 *


硬盘作为计算机最主要的信息存储介质,是计算机取证的重要获取内容,也是目前各种计算机取证工具的主要方向。目前国内外市场上,用于硬盘拷贝、数据获取的专业产品较多:有为司法需要而特殊设计的 MD5 、 SF-5000 、 SOLO II 硬盘拷贝机,有适合 IT 业硬盘复制需要的 SONIX 、 Magic JumBO DD-212 、 Solitair Turbo 、 Echo 硬盘拷贝机;有以软件方式实现硬盘数据全面获取的取证分析软件,如 FTK 、 Encase 、 Paraben's Forensic Replicator ;有综合软件获取和硬拷贝方式的取证勘察箱,如 Image MASSter Road MASSter 、“天宇”移动介质取证箱、“网警”计算机犯罪取证勘察箱;此外,还有通过 USB 接口、 1394 接口、 PCMCIA 、并口等方式的硬盘获取设备及附件,如 LinkMasster II 、 CloneCard 、 USB WriteProtect 、 Desktop WriteProtect 、“天宇”全能拷贝王等等。

在上述众多的计算机取证产品中,每一种产品都有其自身的特点和可利用的优势。计算机取证人员可以根据不同的工作需要和工作环境选用不同的取证工具。而为了实现最佳的取证效果,应当充分挖掘各种产品的功能,合理组合各种取证工具,形成一套设备精简、功能强大的专业计算机取证勘查工具集合。本文就目前部分国内外计算机硬盘取证专业设备的性能特点进行介绍。

•手持式硬盘取证设备
手持式硬盘取证设备的主要特点是体积小、重量轻,便于携带和使用。在各种取证设备中,手持式硬盘取证设备拷贝速度最快,最高可达 3.3GB/ 分钟。多数手持式拷贝机以硬盘直接拷贝为主要方法,要将疑犯计算机的硬盘取出,直接与拷贝机连接,实现对硬盘数据的全面复制。考虑到不同环境下的不同取证需要,新型拷贝机除硬盘直接拷贝方式外,还增加了 USB 接口拷贝方式、 SATA 硬盘拷贝、 PCMCIA 接口拷贝,增强了拷贝机的功能和使用灵活性,促进了计算机取证技术的发展。正因为具有便于携带和拷贝功能强的特点,手持式拷贝机成为司法取证的首选设备。

国际市场上手持式硬盘拷贝机大致可分为两代产品。以 SF-5000 、 SOLO II 、 SolitareTurbo 为代表的第一代拷贝机,拷贝速度最高可达 1.8GB/ 分钟。以 Forensic MD5 、 Sonix 、 DD-212 为代表的第二代硬盘拷贝机,拷贝速度最高可达 3.3GB/ 分钟。



各种手持式硬盘拷贝机中,通过用途划分可分为司法专用型和民用型两种。

司法专用型 以 Forensic MD5 、 SF5000 、 SOLO II 为代表。这些设备通过精确的数据校验机制,实时计算疑犯硬盘和证据硬盘的哈希值,确保疑犯硬盘数据未被改动、疑犯硬盘与证据硬盘完全一致。目前主要的校验方法有 MD5 和 CRC32 ,基于此种方法进行校验,复制的硬盘能够作为司法证据被部分国家法律认可。但是,由于采用的严格的数据校验机制,司法专用型拷贝机的硬盘拷贝速度也因数据校验时间而受影响。以 MD5 拷贝机为例,获取 80GB 容量硬盘时,拷贝速度达到 3GB/ 分钟,应该可在 30 分钟内完成,但由于额外花费了近一倍的数据校验时间,导致最终完成时间为 55 分钟。

民用型 以 Sonix 、 DD-212 、 Solitare Trubo 、 Echo 为代表。这些设备突出的特点是速度快、功能多、使用灵活。但因为不具备精确的数据校验功能,使其无法作为司法取证工具使用。但是如果在一些特殊的条件下,对拷贝精确没有非常严格的要求,那么此类设备将是非常理想的拷贝工具。比如利用 Solitare Trubo 复制一个 Windows XP 操作系统仅需 1-2 分钟即可完成,比软件方式的拷贝速度快数倍。再如 Sonix 拷贝机具有硬盘直接拷贝、 USB 接口拷贝、 SATA 硬盘拷贝、 PCMCIA 接口拷贝、双向拷贝、智能拷贝、分区拷贝、硬盘管理等功能,最高拷贝速度可达 3.3GB/ 分钟,是目前所有产品中功能最强、速度最快的拷贝设备。

•市场各种型号手持式硬盘拷贝机简介
•MD5 硬盘拷贝机
MD5 硬盘拷贝机是美国 Logicube 公司根据司法部门的特殊需求而设计的最新型计算机硬盘取证设备, 2004 年 3 月上市,目前已开始应用于各国司法部门。

MD5 拷贝机与 SF5000 相比速度有明显的提高,经实际测试,其最高速度达到 3GB/ 分钟。在拷贝方式上, MD5 具有硬盘直接拷贝、 USB 接口拷贝、 PCMCIA 接口拷贝,并口拷贝等四种方式。其独特的 DD 镜像捕获方式支持对疑犯硬盘进行数据镜像,并可在获取成功后直接利用 FTK 、 ENCASE 进行数据分析。 DD 镜像捕获方式可在大容量硬盘中保存多个疑犯硬盘的镜像,解决了疑犯硬盘数量多而证据硬盘数量不足的问题。具备 CF 卡,预先设定关键字,进行关键词搜索。支持对其他操作系统,如 Linux 、苹果格式硬盘拷贝。由于采用了 MD5 和 CRC32 数据校验机制, MD5 硬盘拷贝机可确保数据位对位的准确,是一种最精确、功能强的专业计算机取证设备。

优势:启动时间短,拷贝精度高、拷贝速度快、拷贝方式多、关键字搜索、 USB 只读保护。

不足:相比 SF5000 ,拷别速度提高一倍,但实际完成时间仍然较长。

•SONIX 硬盘拷贝机
Sonix 是美国 Logicube 公司最新研制并发布的民用型硬盘拷贝机, 2004 年 6 月完成。这种硬盘拷贝机具有拷贝速度快、适应范围广、功能多样、体积小巧等特点。

Sonix 拷贝机是目前市场上拷贝速度最快的产品,最高可达 3.3GB/ 分钟,复制完成 80GB 硬盘仅需 30 分钟。拷贝方式支持硬盘直接拷贝、 USB 接口拷贝、 PCMCIA 接口拷贝,并口拷贝,且所有接口均设计于拷贝机内部,无需再外接任何如 USB 适配器、 SATA 适配器等额外配件,减少了所需携带的设备数量。数据据获取功能方面, Sonix 支持双向拷贝方式,既可以从内向外方向拷贝数据,以可以从外向内拷贝数据,增加使用灵活性,快速拷贝各种品牌、型号、容量的 2.5” 和 3.5” IDE, EIDE 和 Ultra-DMA 硬盘。具有选择性拷贝分区功能,允许选择性拷贝如第一个、第八个分区。支持对所有类型分区进行扇区对扇区的全面拷贝,包含对 Mac, Linux, Unix, Sun, OS6 的支持。 Sonix 拷贝机据有智能拷贝功能,可跳过硬盘剩余空间,仅拷贝数据区域,加快拷贝速度。拷贝过程中,可自动根
据目标盘容量调整各分区比例。 NTFS 智能拷贝方式支持所有基于 NT 的文件系统,如 Windows 2000/XP 。

在使用方面, Sonix 具有独特的硬盘管理功能,其内置的主盘能够在 Windows 环境直接使用和管理。可利用 Windows 环境下的工具软件对主盘调整分区、重新格式化;利用 Windows 资源管理器对主盘中的数据拷贝或删除;对主盘中的数据进行删除与恢复;对主盘中的数据进行备份或恢复。可将不同来源的硬盘分区组合于一块硬盘中,即可替换现有分区,也可将分区添加到主盘不同位置。

Sonix 是一款适合民用的计算机拷贝工具,但其 3.3GB/ 分钟的拷贝速度和灵活的使用方式,特别适宜某些特殊环境、特殊需要的情况。因此,该设备可以作为计算机取证辅助工具。

优势:启动时间短,拷贝速度快、拷贝方式多, SATA 硬盘、拷贝无需额外配件、双向拷贝、磁盘管理。

不足:拷贝精度同司法专业性相比略显差距,双向拷贝使用不当可能造成意外损失。

•慧全 DD-212/DD-128 硬盘拷贝机
DD-212 和 DD-128 是台湾慧全公司研制生产的两款不同的民用型硬盘拷贝机。主要特点是拷贝速度快,实测为 2.8GB/ 分钟。

DD-212 型拷贝机可以实现一次同时拷贝 2 个 IDE 目标硬盘, DD-128 支持 SCSI 硬盘和 IDE 硬盘的互换拷贝。两款拷贝机同时支持 5.25 寸、 3.5 寸、 2.5 寸 IDE 硬盘和 SATA 硬盘, DD-128 额外增加了 SCSI I/II 、 Ultra-SCSI 和 SCA-SCSI 硬盘的支持。

两款拷贝机适用于 MS-DOS, IBM-DOS, OS/2, NCR, NEC, Windows NT/2000/XP,Windows 95/98/ME, Macintosh, Unix/Xenix , Novell, Linux, FreeBSD, BeOS, HPA 格式及非 FAT 格式等不同操作系统。拷贝方式采用同步独立式,硬盘的格式化、复制、快速复制、比较、校验、数据擦除等功能可同时完成。数据拷贝、数据比较和校验功能可单独进行。拷贝功能方面,可选择完全复制、快速复制、分区复制。

优势:拷贝速度快,使用简单,处理坏扇区较好, SCSI 硬盘拷贝, 1 对 2 拷贝。

不足:体积较大,拷贝精度不足,硬盘电源线定义不同,绝不可与其他厂商硬盘电源线互换使用。

•SF-5000 硬盘拷贝机
SF-5000 硬盘拷贝机是美国 Logicube 公司研制的司法专业型硬盘取证设备。虽然 MD5 拷贝机必将逐步取代 SF-5000 拷贝机成为今后司法取证的主流产品,但由于其具有优秀的性能价格比, SF-5000 将继续在世界计算机取证领域中扮演重要的角色。

SF-5000 拷贝机包含有 MD5 拷贝机的许多功能,只是拷贝速度相比稍慢,仅达到 2GB/ 分钟。此外,不具备 MD5 拷贝机的关键词搜索功能、 CF 卡插槽和 DD 镜像拷贝方式。其独特的 CRC-32 校验机制(软件方式和硬件方式)能同时计算疑犯硬盘和证据硬盘的 CRC-32 校验值,并通过打印机现场输出报告。 SF-5000 拷贝机能够与 USB 写保护适配器、 Desktop 写保护适配器和 CloneCard 配合使用,是一种使用灵活,安全可靠的计算机取证设备。目前,世界各地正有几千台 SF-5000 拷贝机被司法部门大量使用,在国内,它也是司法部门抗击计算机犯罪活动最广泛的武器。

优势:启动时间短,拷贝精度高、拷贝方式多、 USB 接口只读保护、 PCMAIC 接口拷贝。

不足:拷贝完成时间相比其他设备较慢。

•ICS Solo2 Forensics 硬盘拷贝机
Solo2 Forensics 是美国 ICS 公司研制的司法专用型硬盘取证设备。从疑犯硬盘到证据硬盘的拷贝速度可以达到 1.8GB/ 分钟,具有 CRC32 校验机制,可确保数据位对位的准确。由于该公司的 SOLO3 尚在开发中,没有成品问世,但由于具有优秀的性能价格比,因此 Solo2 目前仍是 ICS 公司在各国司法部门中主要推广的产品。

SOLO2 可在对各种 IDE 硬盘进行快速拷贝,配合 PCMCIA SCSI 适配器可对 SCSI 硬盘进行拷贝。能够复制基于任何操作系统的硬盘,如 DOS , Windows3.x , Windows95/98/2000 , WindowsNT , OS/2 , Macintosh ,
UNIX , Novell 等。可通过并口与计算机连接,适应硬盘无法拆卸的计算机取证问题。具备坏扇区跳过功能,可加快硬盘的复制完成时间。具有智能拷贝功能,可跳过对硬盘空白区域,仅对数据区域进行拷贝。具备硬盘数据擦除功能。配合 ICS 公司提供的东芝 1.8 寸硬盘硬盘配器,可直接拷贝 1.8 寸硬盘。配合各种笔记本计算机硬盘转接卡,无需将笔记本计算机的专用转接卡卸除,即可直接利用拷贝机进行快速拷贝。

优势:拷贝精度高、 SCSI 接口拷贝、坏扇区跳过、 1.8 寸硬盘拷贝、硬盘转接卡品种多。

不足:启动时间相比较长,灵活性不够。

•Solitaire Turbo 硬盘拷贝机
Solitaire Turbo 是美国 Logicube 公司研制的一款民用型硬盘拷贝机,能够高速进行硬盘数据的复制工作,速度可达 1.8GB/ 分钟。

该设备主要特点:支持双向拷贝,可从内部硬盘向外部端口拷贝,或从外部端口向内部硬盘拷贝,增加了使用灵活性;具备智能拷贝功能,拷贝单独的 Windows XP 系统不到 2 分钟,非常适于进行系统日常维护;可配合 USB Adaptor 和 CloneCard ,无需拆卸硬盘直接对计算机硬盘进行拷贝。配合 USB Adaptor ,可作为 USB 硬盘盒使用,直接察看硬盘数据,进行硬盘维护。

由于系统默认从内部向外部端口拷贝,这与所有司法专用型拷贝机使用方式相反,一旦操作失误将会覆盖疑犯硬盘,因此如使用此种设备必须谨慎,或配合硬盘写保护设备以便保护疑犯硬盘数据安全。

优势:拷贝速度高、使用灵活、智能拷贝、 USB 接口拷贝、 USB 硬盘管理、 CloneCard 。

不足:双向拷贝使用不当可能造成意外损失。

•DriveCopy 硬盘拷贝机
DriveCopy 是美国 MyKey 公司研制的一种司法专用型硬盘取证设备,拷贝速度约为 1.5GB/ 分钟。

该设备的优点是简单易用,只需连接好硬盘,开启电源,即可自动对疑犯硬盘和证据硬盘进行复制,并在拷贝结束后自动提示。拷贝机具备硬盘只读功能,可保护疑犯硬盘数据不被改动。整个拷贝机体积只有两块硬盘大小,有效地节省了空间。由于操作简单,可由任何非专业的人员使用。

优势:操作简单,数据只读。

不足:无进度显示。

•Echo 硬盘拷贝机
Echo 是美国 Logicube 公司研制的一种民用型硬盘拷贝设备,拷贝速度接近 900MB/ 分钟。

Echo 是目前国内外市场上所能见到的体积最小的硬盘拷贝设备,虽然拷贝速度在所评测的所有拷贝机中相比较慢,但是利用其默认的智能拷贝方式,拷贝 Windows 98/ME/2000/XP 的数据文件仍比软件方式快许多,对于系统维护、硬盘数据备份等任务非常有效。 Echo 以单向传输数据拷贝,操作非常简单,仅需简单按动几下按钮,既可根据需要以智能拷贝或以全盘拷贝方式进行硬盘复制。同时支持与 CloneCard 配合使用,无需拆卸笔记本计算机硬盘,即可通过 Pcmcia 接口传输数据。

Echo 作为一款简单易用的硬盘拷贝设备,其 1GB 的智能拷贝速度相对于低廉的售价来说,应该具有极高的性价比。

优势:体积最小,操作简单,智能拷贝, CloneCard 拷贝,有拷贝速度和进度显示。

不足:速度较低,无时间显示。

•硬盘拷贝机性能对比
表 1 硬盘拷贝机速度对比

直接对拷速度
获取 80GB 硬盘完成时间
点 评

SONIX
3.3GB/ 分钟
约 25 分钟
具有最快的拷贝速度,欠缺精度

DD-212/128
2.8GB/ 分钟
约 30 分钟
拷贝速度较快,拷贝精度欠缺

Solitare Trubo
1.8GB/ 分钟
约 45 分钟
校验可选,拷贝速度较快,兼容性好

Solo II
1.8GB/ 分钟
约 45 分钟
校验可选,拷贝速度较快,兼容性好

MD5
3.0GB/ 分钟
约 50 分钟
精度最高,拷贝同时必须校验,实际完成时间较长

DriveCopy
1.5GB/ 分钟
约 60 分钟
操作简单,数据只读,速度缺乏优势

SF 5000
1.8GB/ 分钟
约 100 分钟
由于拷贝同时进行精确校验,实际完成时间较长

Echo
900MB/ 分钟
约 100 分钟
操作简单,硬盘完全拷贝没有优势,智能拷贝出色


表 2 硬盘拷贝机功能对比

MD5
SONIX
DD-212
DriveCopy
SF 5000
Trubo
Solo II
Echo

直接对拷方式
支持
支持
支持
支持
支持
支持
支持
支持

直接对拷方向
单向
双向
单向
单向
单向
双向
单向
单向

通过 USB 口拷贝
需配件
支持
* * 需配件
需配件
* *
通过并口拷贝
支持
支持
* * 支持
支持
支持
支持

通过 Pcmcia 接口
需配件
需配件
* * 需配件
需配件
* 需配件

复制 SCSI 硬盘
* * DD-128
* * * 需配件
*
复制 SATA 硬盘
需配件
支持
需配件
需配件
需配件
需配件
需配件
*
1 对 2 拷贝
* * 支持
* * * 支持
*
USB 硬盘盒方式
支持
支持
* * 支持
支持
* *
DD 镜像获取
支持
* * * * * * *
分区选择拷贝
支持
支持
支持
* * 支持
支持
*
智能拷贝
* 支持
支持
* * 支持
支持
支持

数据擦除
支持
支持
支持
* 支持
支持
支持
*
数据只读
需配件
* * 支持
需配件
* 需配件
*

表 3 硬盘拷贝机综合评分

拷贝精度对比
拷贝速度 + 完成时间
简单易用性
功能扩展 + 灵活性
评分

SONIX
★★★
★★★★★
★★★★
★★★★★
18

MD5
★★★★★
★★★
★★★★
★★★★
16

Solitare Trubo
★★★
★★★
★★★★
★★★★
14

DD-212/128
★★★
★★★★
★★★★
★★
13

SF 5000
★★★★
★★
★★★★
★★★
13

Solo II
★★★★
★★★
★★★★
★★
13

DriveCopy
★★★
★★★
★★★★★
★★
13

Echo
★★★
★★
★★★★★
★★
12


注:评测标准,总分数为 20 分,单项评比满分为 5 分,每一个★代表 1 分

★★★★★ 单项评比,性能最好者平 5 分,其余得分根据最高分酌减。

•取证勘查箱

计算机取证涉及的各种信息存储介质种类很多,如软盘、硬盘、光盘、 USB闪存、数字相机闪存卡、各种大容量软盘(ZIP等)、可扩充硬盘(JAZ等),此外还有不同品牌的掌上电脑和手机,因此要求取证人员必须拥有一套适应范围广、拷贝功能强、携带方便、使用灵活的移动电子取证平台,通过精简、轻便的设备,实现对不同场合、不同需要的案件数据取证目的。目前在国内外计算机取证产品中,取证勘查箱依据其功能和形式主要分为三种: 改装型、工控型 和 组合型 。


改装型 主要将取证计算机组装于特制的防水、放震工具箱内,优化端口连接方式,将全部端口引于面板上,便于设备的连接使用。由于普通笔记本计算机无法直接连接 3.5寸IDE硬盘,因此改装型勘查取证箱的最大优点是便于对硬盘的检查和拷贝。对于其他存储介质的检查和取证优势不明显。此种产品代表有美国ICS公司的RoadMasster、厦门美亚柏科公司的网警取证勘查箱、北京天宇晶远移动介质取证箱。

图:改装型代表 —ICS公司的RoadMasster

工控型 主要利用工业控制机可携带,扩展方便的特点。此种设备端口齐全,具有防震设计,可接插各种台式机功能扩展卡,能够直接运行其他第三方取证分析类软件。缺点是体积大且重。目前美、英一些公司此种产品较多。如 LC公司的PDRAC、美国Forensic Computer公 司的 Portable Forensic Workhorse。

组合型 将各种常见的计算机取证设备 合理搭配,放置于特制的箱包中,组成功能全面的取证系统。主流方案是采用笔记本计算机,配合各种外设和专业计算机取证器材。这种方案优点是端口齐全,各种设备使用灵活,便于伪装和携带。

•网警案件取证勘查专用机(美亚柏科)
网警取证勘查专用机属于改装型取证设备,基于 PIII/PIV CPU, 具有计算机的全部功能,配有 ENCASE 取证软件,能够实现对硬盘的预览和数据获取。取证箱扩展性能好,连接方式灵活,支持 3.5 寸 IDE 硬盘、 2.5 寸 IDE 硬盘、 SCSI 硬盘的数据获取;支持对 CD 、 CDR 、 CDRW 、 DVD 的检查获取;支持对 3.5 寸软盘的获取和分析;支持数字存储介质的检查与拷贝;可对各种 USB 闪存、大容量存储介质进行拷贝;支持对手机卡( GSM/CDMA )的复制。

优势:接口齐全,具有数据获取和分析功能 , 数据只读

不足:稳定性稍差

•计算机犯罪取证勘查箱( 金诺网安 )
一种组合型计算机取证勘查设备,在笔记本计算机、 SF5000 硬盘拷贝机、 ENCASE 取证软件,的基础上,搭配了各种在计算机犯罪调查过程中经常使用的软件和硬件的集成,可满足复杂多变的现场勘查取证需要、实现符合法律程序要求的计算机犯罪调查过程,提供简单易用的电子取证与证据分析的工具,提高计算机犯罪调查的效率。

优势:计算机性能稳定,各种配件较全,具有数据获取和分析功能

不足:灵活性稍差

•Forensic Air-Lite V ( Forensic Computer )
Forensic Air-Lite V 是应美政府部门要求研制的一种快速计算机取证设备,可满足严格的证据获取要求,属于改装型设备。该系统配备有可移动的存储设备、DVD RW刻录机、SCSI卡、SATA卡,能够获取各种接口的SCSI硬盘、IDE硬盘和SATA硬盘。兼容各种证据获取、分析软件,如ENCASE、FTK、SMART、SafeBack、和MSDOS环境下的取证工具。

优势:硬盘获取功能强,硬件可由用户定制升级

不足:组合形式简单,功能单一

•Image MASSter Road MASSter ( ICS )
美国 ICS公司研制的改装型计算机取证专业设备,具有证据获取、预览和数据分析的功能。采用Windows98操作系统,具有ICS公司专用拷贝软件,能够以1.5GB/分钟的速度进行硬盘直接对拷,可替代SOLO 2拷贝机。疑犯硬盘和证据硬盘的加载和拷贝由专用软件控制,无需关机即可更换硬盘。支持第三方软件对疑犯硬盘和证据硬盘的获取和分析。

优势:硬盘直接拷贝功能,可代替拷贝机,更换硬盘无需关机

不足: CPU、内存等计算机整体配置低,屏幕小

•电子证据取证平台(天宇晶远)
由北京天宇晶远公司研制的组合型取证设备,基于笔记本计算机、 SONIX 拷贝机、 1394B 取证接口、 PDA 取证设备、手机取证设备,配合 FTK 、全能取证王软件,实现对电子证据的综合取证平台。全套设备采用灵活的组合方式,充分利用笔记本计算机齐全的接口和优秀的扩展功能,以最少的设备组合实现了全面的证据获取需要。可通过拷贝机和软件方式,有效解决 3.5 寸硬盘、 2.5 寸硬盘、 1.8 寸硬盘、 SATA 硬盘、 SCSI 硬盘的数据获取问题,同时可针对 35 种型号 PDA , 38 种手机、 GSM/CDMA 手机卡, ZIP 软盘、各种 USB 存储设备、 PC 卡硬盘、 8 种数字相机存储卡进行证据获取和数据拷贝。

优势:拷贝速度快,拷贝方法多样,可解决电子证据种类多。

不足:设备较多,携带不便。

•结束语
通过对目前国内外 8 种硬盘拷贝机、 5 种取证勘察箱进行评测,我们可以看到国内外的专业计算机取证厂商、科研机构都在努力地加强计算机取证专业设备的开发与改进。国外计算机取证技术和设备属于成熟阶段,以美国 Logicube 、 ICS 、 Guidence 、 Accessdata 为代表的公司不断推出并改进其专业取证、数据分析软硬件产品。而国内科研机构和部分专业公司,也在加强对计算机取证设备的研究,推出了一些适合中国国内司法部门需要的软硬件产品。虽然其中一些产品技术水平含量还比较低,但这种对计算机取证技术发展趋势的
关注、研究与投入,还是值得我们去鼓励的。

而作为最终使用计算机取证专业设备的司法部门,面对众多的专业、民用的取证设备,一方面要充分利用各种已有的工具,从中发现作用明显、优秀实用的设备来武装自己,提高打击计算机犯罪行为的能力;另一方面也应该密切与从事计算机取证研究的公司和专业研究机构合作,研制开发出功能更强的软硬件设备,提高国内计算机取证水平,为打击和防范各种计算机犯罪行为、各种恐怖行为的漫延作出努力。
qq310926是我唯一用号,除此之外有其他号码号自称邪八冰血封情,则非本人。

TOP

发新话题