Invisible Man

對於磁盤鏡像、Encase證據文件、dd鏡像文件，有些時候調查員希望能夠利用第三方工具對證據文件進行分析，因此Mount Image Pro， Smart Mount這類的鏡像文件加載工具就非常有用了。他們可以把鏡像文件重新虛擬為邏輯磁盤或物理磁盤，可以通過Windows直接察看其中的內容，或使用 FinalData 3.0，Winhex15.2 這類的數據恢復、磁盤編輯工具對其中的刪除數據進行恢復。 但有些時候，調查員不滿足於僅僅通過瀏覽器的方式察看磁盤和證據文件內容，而希望通過虛擬機加載鏡像文件中的操作系統，以察看Windows啟動的過程，這時候VFC這種虛擬仿真工具就非常有用了。 VFC是英國MD5公司推出的一個虛擬仿真工具，可以利用VMware Player加載物理硬盤，也可以配合Smart Mount或Mount Image Pro，首先將鏡像文件加載為虛擬的硬盤，然後再利用VFC和VMplayer進行虛擬啟動。這個工具使用非常簡單，效果也不錯。 1、使用VFC，首先需要安裝VMware DiskMount和VMware Player。 2、啟動VFC後，插入軟件鎖，即可看到軟件正式版的界面。當前最新版本為VFC 1.2.4.3。調用物理磁盤，可以選擇Physical/Mounted Disk。Mounted Disk就是被Mount Image Pro或Smart Mount加載的證據文件鏡像。 3、可以看到當前系統中可以發現的物理磁盤，選擇所需要的磁盤即可。 4、選擇的物理磁盤內包含有多個分區，選擇需要利用VMware加載的可引導分區。 5、選擇Generate Virtual Machine，利用VFC創建一個虛擬機文件。 6、虛擬機創建成功後，Launch Virtual Machine按鈕變為可用，選擇Launch Virtual Machine。 7、VmWare Player啟動，加載vfc所創建的證據文件/物理磁盤虛擬機，可看到系統狀態。 利用Smart Mount和Mount Image Pro，不會改變原是證據文件內容。而直接利用物理磁盤，則有可能造成數據改變。因此建議使用虛擬加載軟件，而不要直接對證據硬盤進行操作。轉自計算機取證技術

ForensicSoft公司 (http://www.forensicsoft.com) 近日發佈了 SAFE 法證證啟動光盤，據其稱是世界上第一個基於Windows的具有寫保護功能的啟動光盤。正式版本將於2009年3月份開始發售，現在可以下載並測試BETA版 SAFE 啟動光盤，下載地址：http://www.forensicsoft.com.

SAFE 啟動光盤可以啟動所有基於Intel架構的計算機，並從物理層上對所有內置硬盤實施寫保護。啟動光盤的功能不僅僅是防止自動加載硬盤，或以只讀模式加載硬 盤，而是具備像Helix或其他Linux "法證" 啟動光盤一樣的功能。用戶可以通過一鍵操作，即可啟動或取消寫保護功能。

SAFE 基於正版Windows (Windows PE 2.0)，可以運行各種您常用的 Windows 取證工具，如FTK， EnCase， X-Ways，FinalForensics等等。可以對各種RAID 服務器、筆記本計算機、工作站硬盤進行磁盤鏡像，速度可達4GB/分鐘。想像一下，您將不再因為缺少RAID控制器的驅動而無法獲取RAID陣列數據，也 可以直接將數據直接獲取至 NTFS 或壓縮格式 NTFS分區中，不再因必須將數據寫入FAT32、EXT2 或其他 Linux 文件系統而煩惱。

Windows 驅動程序 The most common problem with 基於Linux系統的啟動光盤的最常見的問題，就是通常不包括RAID陣列和其他磁盤控制器的驅動。有時即便有了驅動程序，很多非LINUX用戶也很難自 行將驅動程序添加到自己的Linux啟動光盤中。現在，Windows驅動已經基本包含了所有 Intel架構的 RAID 和磁盤控制器。SAFE 可以加載所有已有的 Windows 驅動，並可以在需要的時候通過很簡單的方法安裝其他的 Windows 驅動。.
支持NTFS 文件系統 DOS 或 Linux OS 啟動光盤都無法將鏡像文件寫入採用NTFS文件系統的硬盤，因此調查員不得不將磁盤鏡像寫入FAT32分區中。利用SAFE，調查員可以可充分利用大容量 NTFS分區和大文件的優勢。同時利用NTFS分區，SAFE 還可以節省調查員的大量時間和精力。
SAFE 寫保護技術 具有防止軟件寫操作的SAFE Block XP已經內置在 SAFE 啟動光盤中。這意味著在利用SAFE啟動光盤啟動計算機的過程中，所有與該計算機連接的磁盤、閃存都被自動實施寫保護。而且，這是一種真正的寫保護措施， 而不是像其他Linux啟動光盤採用的邏輯只讀或防止磁盤自動加載方式。
啟動後，如果調查員希望將證據文件鏡像寫入至一個磁盤，可以簡單地解除所需磁盤的寫保護，但同時可保證其他磁盤繼續處於寫保護狀態中。如果調查員只是需要預覽或進行關鍵詞搜索，那麼您無序改變任何選項，啟動後所有存儲介質都將一直處於寫保護狀態中。
使用熟悉的Windows法證工具 很多法證調查員不得不使用Linux 啟動光盤來完成一些法證需要，而且不得不使用 DD、 DCFLDD、 MD5SUM、 SHA1SUM 和很多其他不熟悉、不喜歡的 Linux 工具。現在利用 SAFE 啟動光盤，調查員可以使用他們在 Windows 環境中喜愛的各種法證工具。
案件日誌. SAFE 內置了日誌功能，可以創建調查員的工作日誌，包含系統屬性和所執行的各種操作步驟。

內置工具. SAFE的 Windows環境中已經內置了一些工具，可以用於瀏覽、查看、預覽，同時包含一些簡單的法證功能。

轉自計算機取證技術

澳大利亞GetData公司推出的Mount Image Pro目前已經到了2.6版。新版本比過去的版本更加好用。這個軟件主要用於加載多種格式的證據文件/鏡像文件，以便用戶可以使用第三方工具對數據進行進 一步分析/恢復刪除等操作。簡單介紹如下：

Mount後可以直接選擇鏡像文件。目前支持的鏡像格式有Encase、Smart、DD鏡像、ISO鏡像。

也可能同時加載多個鏡像文件。需要瀏覽鏡像中的數據，可以選擇某個鏡像文件，點擊鼠標右鍵，選擇Explore，即可通過Windows 打開該鏡像。

• 可以看到每一個鏡像文件中的信息，包含鏡像創建時間、創建工具軟件等。

• 卸載鏡像，選擇鼠標右鍵，unmount image或unmount all 即可。

這個軟件就是這個簡單。感興趣的朋友可以下載一個演示版試用一下。轉自計算機取證技術

很多人都聽說到了FinalData公司推出了新的專業法證分析工具FinalForensics 3.0，但是沒有多少人見過這個軟件的真正界面。最近，基本完成了漢化工作，還有一些小問題需要檢查，但基本不影響正常使用。下面把主要的功能給大家介紹一下。
1、啟動畫面，顯示軟件版本

2、創建案件，輸入案件信息

3、添加需要分析的物理設備，選擇數據分析方式。


也可以打開以下幾種格式證據文件：


4、開始掃瞄磁盤數據，查找刪除的數據，進行文件類型、簽名分析等。


進一步掃瞄


5、分析結果，顯示出分析結果，包括各種類型文件數量、分類結果。

6、通過文件簽名真實類型過濾文件

7、FinalForensics 分析本機內存儲的重要類型文件

8、解析壓縮文件，並可以查看壓縮文件內數據

9、對本機內即時通訊歷史紀錄進行分析，直接察看數據內容。

10、分析Ie歷史記錄

11、關鍵詞搜索


轉自計算機取證技術

每分鐘6GB的硬盤複製速度是否能夠真的達到？為了證實此疑問，對Tableau公司推出的TD1進行了測試。
測試1：
硬盤SATA 7200轉硬盤2塊，容量320GB和500GB。
TD1啟動速度非常快，操作簡單，無需培訓。測試中，平均速度為5.7GB/分鐘，最高時為5.8GB/分鐘。如此速度還是非常理想的。測試320GB硬盤（無校驗），用時1小時。

測試2：
IDE 7200轉硬盤2塊，容量320GB和400GB。測試中，平均速度為4.6GB/分鐘，最高為4.8GB/分鐘。
測試的IDE硬盤型號不是很新，但此速度也算不錯了。
評價：
TD1體積較小，輕便，操作簡單，啟動速度快，支持IDE,SATA兩種接口硬盤。感覺是一個不錯的設備。
轉自計算機取證技術

俄羅斯工具：Outlook Express Analyzer 和 Outlook Analyzer Pro 這是俄羅斯的朋友Yuri發佈的新的電子郵件解析工具。這兩個工具名為 Belkasoft Outlook Express Analyzer 和 Belkasoft Outlook Analyzer Pro。區別在於第一個只能分析 Outlook Express郵件，第二個可以用於打開 Outlook 2003/2007 、Outlook Express郵件。 利用這兩個工具，也無需安裝 Outlook 和 Outlook Express，也無需郵箱帳戶名和口令即可直接打開PST和DBX郵件。此工具不需要任何寫操作，因此如果進行法證分析，可以直接與各種寫保護配合使用。同時，軟件帶有 Encase 驅動支持。 需要瞭解更多的信息，可以從 http://belkasoft.com/boa/en/Outlook_Analyzer.asp. 下載免費試用版。 新增的Outlook 分析功能可以支持Outlook附件的導出。如果一封信中帶有附件，那麼這封信的圖標被顯示為曲別針，和Outlook 的標準顯示方式一樣。分析附件，可以直接右鍵點擊此封郵件，並選擇默認的軟件打開附件進行查看，也可以將所有郵件導出，這樣所有附件都會保存到相應的文件 夾中。 目前，這兩個工具已經被加入 Belkasoft Forensic Studio 套裝中，可以處理各種類型的即時通訊、多種瀏覽器歷史紀錄、和Outlook 2003/2007 、Outlook Express郵件。這樣看來，這款俄羅斯法證分析工具已經越來越成熟了，可以幫助數據分析師們進行法證分析。轉自計算機取證技術

最近結識了F-Response的作者Matthew Shannon，並與幾個組員一起測試了F-Response這個軟件後，發現Matthew先生研製的這款新工具的確有獨到之處。看了幾名國外著名專家的博客，都對這個軟件有高度的評價。
簡單來說，這個軟件是一個在線取證工具的一個突破，他讓過去遙不可及的Encase Enterprise企業版（還對中國禁銷，沒道理）具備的功能，成為了任何一個法證工具軟件都可以實現的功能。而且實現的價格還極為低廉。
現 在，X-Ways Forensics已經與F-response結合了，Smart也與F-response結合了，連蘋果機下，都可以與MacForensicsLab 結合。這樣一來，面對Windows, MacOS, Linux三種操作系統，只要具有F-Response單機版，都可以成功實現在線取證。
說到在線取證，還要說說F-Response與目前常見的在線取證工具的區別。
所 謂在線取證，就是在計算機處於開機狀態下的取證方法。一般這種狀態下，為了保證證據的完整性，應該儘量避免去運行額外的程序，以免使操作系統下註冊表、內 存、臨時文件中的數據發生更改。但近年來，由於在線取證日趨重要，很多時候無法向早年國外專家所講的一樣，拔掉計算機電源，然後實施硬盤完整鏡像。一旦關 機往往會失去很多重要的內存數據、加密分區數據。因此，現在很多人都在重點研究在線取證工具。
目前常見的在線取證工具，都是在嫌疑人的計 算機中直接運行取證軟件，並自動獲取內存、註冊表中的數據。同時也可以通過取證軟件，實現對硬盤的完整鏡像。但此種方法缺點在於可能造成內存中、硬盤中過 多的信息被覆蓋，影響取證效果。通過，在運行的系統下獲取鏡像，將有可能造成系統死機，破壞證據的完整性。
F-Response 的方式，是通過網絡連接兩台計算機或局域網內的更多計算機，將任意一台計算機的硬盤或其他存儲介質，以物理磁盤的方式顯示到調查員計算機中，在調查員計算 機中直接運行任意分析工具或鏡像工具，實現對嫌疑硬盤數據的完整獲取。這種方法是最為理想的，而且僅在嫌疑計算機中佔用極少的內存，不會造成死機等問題。
F-Response絕對將是2009年中國計算機法證領域中的一個亮點。大家可以訪問http://www.f-response.com/ 去瞭解更多的情況。
轉自計算機取證技術

Encase 之父，Andraw Rosen 推出的Smart軟件非常優秀。最近，他又開發了一個鏡像加載工具SmartMount。

這個工具對各種鏡像文件的支持種類很多，包括DD鏡像、Encase/Expert Wittness 的E01格式鏡像，VMWare Disk 的vmdk鏡像，蘋果的dmg鏡像，Smart for Linux格式鏡像。同 WinVDK 或 Mount Image Pro比較，效果非常理想，加載速度很快。當SmartMount軟件正式版推出後，相信它將使市場上最全面的一個鏡像加載工具。
希望試用的朋友，可以從http://www.asrdata.com/SmartMount/下載試用版。轉自計算機取證技術

在民事和刑事調查中，讀取或分析硬盤或其他移動存儲中的數據時，保留原始文件內容和時間戳是非常關鍵的，這也是保持證據原始性的一個要求。但很多人沒有意 識到，將硬盤或移動存儲設備連接到計算機上使用時，會造成硬盤中的數據更改。因此要保證證據的原始性，必須要使用寫保護設備。
律師行、調查公司或其他電子證據服務機構，應該和專業計算機法證機構一樣，更應該注意這一點。大家都知道，讀取刻錄在光盤中的證據數據時不會發生數據更改的情況。但是，應該注意的是，在將證據文件刻錄到光盤的時候，卻會改變原始證據文件的時間戳。
現在市場上有很多硬件設備可以實現硬件寫保護功能。更有一些新開發出的軟件的軟件寫保護方案能夠提供更有效、更易用、更快速的解決方法。
如果需要使用硬件寫保護設備，目前市場上有：Tableau 、WeibeTech、ICS Drive Lock、Disk Jockey PRO Forensic Edition 等。
軟件寫保護工具，可以選用 Safe Block XP。
當選購硬件寫保護設備時，你可能會發現你不得不考慮到各種存儲介質，比如不同類型的硬盤接口，USB閃存（優盤）、閃存卡、火線硬盤等等。這些加在一起需要上萬元了。
相 比起來，我認為選用軟件寫保護方法，如 Safe Block XP ，可能會更加理想。Safe Block XP這種軟件方式價格相比便宜很多，可以運行於 Windows XP 中，允許用戶對各種存儲介質添加只讀保護。此外，Safe Block XP 可以明顯增強數據拷貝、鏡像和哈希校驗的速度。
軟件方式可以使用計算機本身的各種接口，而硬件寫保護設備目前主要侷限於USB和火線接口。
轉自計算機取證技術

說到電子郵件分析，目前很多工具都聲稱具有電子郵件處理的功能。實際上，基本上說來，每個法證分析工具都多多少少支持電子郵件的解析。從我個人觀點來看，目前在對電子郵件的處理方式上，所有法證軟件基本採取了兩種方式：
第一種方式，是對客戶端郵箱進行拆解，就是將Outlook，Outlook express，Foxmail等電子郵件客戶端軟件的郵箱文件pst,dbx,box中的郵件解釋出來，形成單獨的文件進行察看。
目 前Encase,X-ways Forensics, FinalForensics,Paraben Email Examiner都可以實現這一功能。郵件拆解後，可以通過各個軟件的分析、過濾、搜索功能對郵件數據進行察看、搜索特定文字。至於搜索能力的強弱，就要 看分析工具對語言的支持能力了。個人來說，我非常喜歡X-Ways的郵件拆析能力。畢竟它可以恢復出刪除的電子郵件客戶端，並從未分配空間中查找殘留的郵 件信息。此外，最新出現的Final Forensics 3.0也是一個非常好的工具，他已經聞名多年，且經過幾年的不斷增強提高，數據恢復能力不可小視。連其民用的恢復工具 FinalDATA 3.0版都增添了電子郵件的恢復功能，你說他對郵件的處理上實力如何？
第二種方式就是對郵件進行索引搜索。
目 前典型的是Nuix Forensics Desktop(即fbi Desktop)，Intella和FTK。這種軟件主要對郵件進行處理，多數不具備數據恢復能力。對於刪除的郵件客戶端文件的恢復，需要借助X- Ways Forensics或FinalData,FinalForensics了。但是，Nuix和Intella終究是專門對電子郵件的分析工具，在電子郵件 的處理能力上別的軟件真是無法比擬。這種軟件基於對郵箱文件的解析，然後索引。索引的時間根據郵箱文件大小有所差別，可能會幾十分鐘或幾個小時，但數據索 引之後，即可快速地進行搜索，毋須等待。FTK這個軟件我不想多評述，因為5年前我一直認為FTK是最好的電子郵件分析工具(對於英文郵件)，但2.0版 實在是讓人無法接受，索引速度，運行效率都是很不理想。據說AccessData目前已經意識到了這個問題，正在改進。等新版本推出的時候再說他吧。
峰會和香港培訓年會後，很多朋友都詢問 Nuix和Intella的差別，並且均對Intella報以極大的期望。這兩個漢化和測試都是我做的，我本人對這兩個軟件的發展非常關注。這裡我簡單地對兩個軟件的差別和能力進行一下對比。
1.郵箱支持能力
從支持的郵箱種類來說，目前Nuix還是佔上風的，支持的郵件種類多於Intella.
Nuix可以支持Outlook, Outlook Express, Lotus Notes, Exchange, Foxmail等等。
Intella目前可以支持Outlook, Outlook Express, Lotus Notes.中文版將支持Foxmail。
雖然支持種類有差別，但是，對於企業調查來說，主要需要的是Outlook和Notes，對於民間應用來說已經足夠了。對於中國用戶來說，都支持Foxmail，也沒有什麼差別。因此很多公司都對Intella有足夠的興趣。
2.索引能力
英文索引不用說了，這時他們開發郵件時的主要測試和日後的使用環境。對於中文索引來看，二者不分高下。目前ForensicsMatter官方網站只發佈 了支持英文索引的Intella測試版本，中文版我還在測試中，對外沒有發佈。但搜索中文能力非常好，中文用戶完全可以放心。
3.搜索過濾方式
應該說後起之秀Intella主要的競爭目標就是Nuix Fornesics Desktop，所以在搜索方式上Intella進行了充分的優化。Intella可以通過左側選單來進行所需的過濾操作。比如搜索發件人，收件人，通過 時間段、通過元數據（如文檔作者、製作公司）、文件類型等等，很方便。
而在Nuix中，這些需要在搜索欄中以語句的方式來實現。雖然結果可以實現，但終究複雜了一點。
4.圖形化顯示
兩個軟件都是圖形化顯示電子郵件關聯的典型代表。
Nuix主要通過電子郵件的收發件人之間的聯繫顯示郵件關係，即郵件地址之間的關係。顯示出的關係圖可以清楚地表明包含關鍵詞的郵件之間的來往關係和次數。
Intella主要通過包含關鍵詞的數據顯示關鍵詞之間的關係，即那些文件中包含了特定關鍵詞，利用多個關鍵詞的與、或關係生成的視圖來快速定位所需關注的右鍵或數據。
舉一個例子：如果對一個目錄中的Office文件（不是郵件）進行索引分析，搜索的關鍵詞後，Nuix將無法顯示出圖形關係，因為這些數據不是郵件，沒有 聯絡關係。而Intella仍然可以顯示出圖形和個關鍵詞之間的關係。但是如果搜索的關鍵詞在郵件的附件中，Nuix可以告訴你那封郵件中包含這個附件和 關鍵詞，並以圖形顯示出郵件的往來關係；而Intella同樣可以告訴你這個關鍵詞出現的次數和在那個郵件附件中，郵件的關係需要進一步查看才可以清楚。 這就是兩個軟件的典型差別。
5.價格
兩個軟件都具有很強的郵件處理功能。那麼選擇哪個就需要 看看性價比了。這也是為什麼很多國外用戶不選擇Nuix而期待Intella的原因了。Nuix完全版要十多萬，而Intella只需要三萬多。有幾個公 司能夠願意花費十多萬來購買一套軟件？除非他的需求只有Nuix能夠解決。當然對於需要分析企業的Exchang郵件和需要將分析結果和專用法律軟件結合 的用戶來說，他們願意使用Nuix。
Nuix為了降低軟件使用門檻，特意推出了三郵箱和單郵箱版本。即一次只能夠分析一個或三個郵箱。對 於處理Outlook郵箱來說應該說足夠了，所有郵件都在一個pst或ost文件中。但對於包含收件箱、發件箱、廢件箱以及草稿箱的dbx文件或 Foxmail來說，三郵箱版一樣無法解決問題。
而Intella則沒有郵箱數量的處理限制。你可以利用它處理任意多的數據。
總結：
以上簡單評價的幾個不同的電子郵件分析工具。我沒有任何傾向性。這兩個軟件都非常不錯。其實最好是結合起來一起使用。每個軟件都有自己的優勢，怎麼說也不 會有兩個完全一模一樣的軟件。那樣的話就要出現版權糾紛了。具體使用那個工具，要根據公司的需求，公司的資金和業務情況來選擇。國外都需要軟件分析結果能 夠被第三方軟件的檢驗，幾個工具同時使用，相互檢驗一下也是好的。
轉自計算機取證技術