Encase,FTK几种计算机取证工具的比较

国内外计算机取证设备对比与分析作者简介: 王玉福(1974 年), 男, 山东省平度市人, 大学本科, 主要研究领域为计算机取证软硬件设备;摘要: 对电子证据的获取、分析和发现是打击各种犯罪行为的一种全新手段。

随着国内涉及计算机取证的案件不断增多，法律部门越来越需要精确、高速、多功能、智能化、适应于不同场合的专业计算机取证设备来武装自己。

多年来，国外科研机构、院校、军警部门一直在努力加强计算机取证技术的研究，研制开发了各种各样的软硬件产品；国内科研机构也注意加强年来也出现一些专业的计算机取证产品。

如何充分地利用这些已有的计算机取证工具，提高国内法律部门的计算机取证水平，有效地打击犯罪行为具有重要的意义。

本文通过对比国内外各种计算机取证工具的特点，分析发现不同取证工具的使用优势，便于同行对不同取证设备的认识。

关键词: * 计算机取证; 设备评测*硬盘作为计算机最主要的信息存储介质，是计算机取证的重要获取内容，也是目前各种计算机取证工具的主要方向。

目前国内外市场上，用于硬盘拷贝、数据获取的专业产品较多：有为司法需要而特殊设计的MD5 、SF-5000 、SOLO II 硬盘拷贝机，有适合IT 业硬盘复制需要的SONIX 、Magic JumBO DD-212 、Solitair Turbo 、Echo 硬盘拷贝机；有以软件方式实现硬盘数据全面获取的取证分析软件，如FTK 、Encase 、Paraben's Forensic Replicator ；有综合软件获取和硬拷贝方式的取证勘察箱，如Image MASSter Road MASSter 、“天宇”移动介质取证箱、“网警”计算机犯罪取证勘察箱；此外，还有通过USB 接口、1394 接口、PCMCIA 、并口等方式的硬盘获取设备及附件，如LinkMasster II 、CloneCard 、USB WriteProtect 、Desktop WriteProtect 、“天宇”全能拷贝王等等。

网络工程师的挑战网络安全事件的取证与溯源分析方法与工具网络工程师的挑战：网络安全事件的取证与溯源分析方法与工具一、引言网络安全事件的不断增加和复杂性给网络工程师带来了巨大的挑战。

在网络安全事件发生后，必须及时采取措施，快速取证和溯源分析，以便找出事件的源头并采取适当的措施进行应对。

本文将介绍网络工程师在应对网络安全事件时的取证和溯源分析的方法和工具。

二、取证方法与工具1.日志分析网络设备和应用系统都会生成日志文件，记录各种网络活动和事件。

通过对这些日志文件进行分析，可以获取关键信息，从而确定网络安全事件的起因和来源。

常用的日志分析工具有：Snort、Wireshark、Cain & Abel等。

2.数据包采集与分析网络安全事件可能通过网络流量进行传播。

网络工程师可以使用数据包采集工具，如Tcpdump、Wireshark等，抓取并分析网络流量中的信息，以便确定安全事件所涉及的IP地址、协议和端口等关键信息。

3.磁盘取证磁盘取证是指通过对计算机存储介质（硬盘、U盘等）进行获取和分析数据，以找出安全事件的相关证据。

常见的磁盘取证工具有：EnCase、FTK Imager等。

4.内存取证内存取证是指通过获取计算机内存中的数据，以寻找和分析与安全事件相关的信息。

内存中存储了操作系统和应用程序的运行状态，因此可以提供重要的证据。

常用的内存取证工具有：Volatility、LiME等。

5.网络访问记录分析网络工程师可以通过分析网络访问记录，了解用户在特定时间内的网络行为。

这些记录可以帮助确定可能的安全漏洞和攻击方向。

常用的网络访问记录分析工具有：ELK Stack、Splunk等。

三、溯源分析方法与工具1.追踪IP地址网络工程师可以通过追踪安全事件中涉及的IP地址，找到源头或关键节点。

常见的IP追踪工具有：Traceroute、WHOIS等。

2.流量分析通过对网络流量的分析，网络工程师可以了解安全事件的传播方式、受影响的主机和关键节点。

网络犯罪调查与取证随着科技的快速发展和互联网的普及，网络犯罪已经成为一个全球性的问题。

网络犯罪形式多样，包括但不限于网络诈骗、网络盗窃、网络侵犯个人隐私等。

为了维护社会安全与公平，网络犯罪调查与取证显得至关重要。

本文将探讨网络犯罪调查与取证的重要性，并介绍一些常用的取证方法和工具。

一、网络犯罪调查的重要性网络犯罪调查对于打击犯罪行为、维护公平正义、保障人民利益具有重要意义。

首先，网络犯罪调查可以帮助相关部门或机构快速锁定犯罪嫌疑人，并有效收集证据，为后续的司法审判提供有力支持。

其次，网络犯罪调查可以加强网络安全意识，提升公众的网络素养，减少网络犯罪发生的可能性。

最后，网络犯罪调查的成功可以对其他潜在的网络犯罪分子起到威慑作用，从根本上减少了网络犯罪行为。

二、网络犯罪取证的常用方法1. 数据日志取证数据日志取证是通过记录和收集网络活动产生的日志数据，以获取相关证据。

这包括网络访问日志、系统日志、事件日志等。

通过分析这些日志数据，可以还原网络犯罪行为的发生经过，追踪犯罪嫌疑人的行踪，从而为调查提供重要线索。

2. 网络流量分析网络流量分析是指通过监控和分析网络中的数据流量，以确定是否存在异常流量或可疑活动。

通过分析网络流量，调查人员可以了解网络犯罪的攻击路径、攻击手段以及攻击者的身份，进而找到相关证据。

3. 数字鉴定数字鉴定是指通过对电子设备或存储介质中的数字信息进行系统化收集、鉴别、提取、分析和评价，以确定电子证据的真实性、完整性和有效性。

数字鉴定可以帮助调查人员还原被删除、隐藏或加密的信息，为网络犯罪调查提供关键证据。

4. 计算机取证计算机取证是指通过专门的软件和技术手段对计算机硬件和软件进行取证，以获取相关的证据。

计算机取证可以帮助调查人员还原计算机的使用活动、查找被删除或隐藏的文件，从而找到与犯罪行为有关的证据。

三、网络犯罪取证的工具1. 数据恢复工具数据恢复工具用于恢复被删除、损坏或格式化的数据。

计算机网络安全事件溯源与取证的流程与工具推荐随着计算机和互联网的快速发展，网络安全成为了当今世界亟待解决的问题之一。

不论是个人用户还是企业，都面临着来自网络的各种威胁。

面对这些安全事件，溯源和取证成为了解决问题和维护网络安全的重要手段之一。

本文将介绍计算机网络安全事件溯源与取证的流程，并推荐一些常用的工具、技术。

一、计算机网络安全事件溯源的流程1. 收集信息：在面对网络安全事件时，首要任务是收集相关信息，包括事件发生的时间、地点、受影响的主机或网络设备等。

这些信息有助于确定事件的范围和性质。

2. 保留证据：在收集到相关信息后，需要及时采取措施保留证据，例如保存相关日志文件、快照拷贝受影响的主机等。

确保证据的完整性和可靠性对于事件的溯源和取证至关重要。

3. 分析溯源路径：根据收集到的信息和证据，进行溯源路径的分析。

这一步骤可以通过查看相关日志、网络流量记录以及系统调用等方法来确定攻击者的入侵途径和行为。

4. 追踪攻击者：根据溯源路径的分析结果，可以对攻击者进行追踪。

通过进一步的调查和分析，可以确定攻击者的真实身份、攻击手段和意图。

5. 报告与归档：将溯源和取证过程的结果整理成报告，并进行归档保存。

这些报告可以用于进一步的安全防护和教育，以及未来类似事件的处理参考。

二、计算机网络安全事件取证的流程1. 收集物证：物证是指通过技术手段收集到的与网络安全事件相关的物理证据，例如网络设备、存储媒体、硬盘等。

在取证过程中，首先要确保物证的完整性和真实性。

2. 数据采集：对于存储媒体中的数据，需要进行数据采集和提取。

这一步骤可以通过镜像、数据提取工具等方法来实现。

确保采集的数据不受损坏和篡改，保证后续的分析和取证的准确性。

3. 数据分析：对采集到的数据进行分析，包括文件恢复、日志分析、恶意代码分析等。

通过分析，可以还原事件的发生过程，找出攻击者的行为特征和攻击手段。

4. 取证标记：对于分析出的相关证据，需要进行取证标记。

针对计算机取证的专业数据恢复设备DataCompass在过去的司法实践中，涉及到电子证据的计算机犯罪案件层出不穷，这对电子证据的真实性、可靠性和完整性也提出了相当高的要求。

因为不完整的电子数据是很难直接用作电子证据在审判过程中发挥作用。

比如，犯罪分子常常会人为地破坏数据存储介质或直接删除与案件相关的数据。

因此，对于一些电子数据需要通过数据恢复技术，还原数据的真相，才能作为电子数据证据使用。

然而执法机构现有的计算机取证和数据恢复设备并不能满足打击计算机网络犯罪的需求，他们需要一个更为强有力的数据恢复取证设备来提高执法过程中取得的电子物证的可靠性和真实性，为司法机构提供真实、可靠和客观的司法取证结果。

纵观目前国内外的计算机取证和数据恢复设备，可谓数不胜数，如MD5、SOLOII、SONIX、FTK、Encase等，它们各有其自身的优势和特点，但要想真正找到一款适合司法机构在计算机取证和数据恢复实践中使用的工具，并非易事。

在经过多方考察了解后，包括广东省公安厅、湖北省检察院在内的国内多家司法机构在日前选择了国际顶极数据恢复设备研发机构效率源科技的最新数据恢复拳头产品DataCompass数据指南针作为其在计算机取证和数据恢复中的重要设备，以应对日益增长的新型计算机计算机网络犯罪计算机取证需求。

计算机取证和数据恢复设备研发机构效率源科技据悉，DataCompass数据指南针是效率源科技2008年8月最新推出的一款针对计算机取证、数据恢复处理的专业设备，兼顾逻辑层、物理层和固件层，可针对硬盘、U盘、SD、TF卡等存储设备，集成了包括“SWPS安全访问规则”、“绝对只读功能”等在内的顶尖技术，完全保证了所有数据的原始状态，数据恢复成功率高达90%以上；同时它可以与Encase、X-Ways、F-Response等几乎所有的计算机取证、数据恢复软件实现无缝连接，开放式的平台让计算机取证和数据恢复工作可以更完善的开展，其相关功能和操作性在全球同类数据恢复产品中具有绝对领先优势。

网络安全网络犯罪的技术追踪与取证网络安全是当今社会中的一个重要议题，随着科技的发展，网络犯罪也变得越来越猖獗。

从个人信息被盗取到公司的商业秘密被泄露，网络犯罪带来的危害不容忽视。

为了打击网络犯罪，技术追踪和取证变得至关重要。

本文将探讨网络犯罪技术追踪与取证的重要性，并介绍一些常用的技术和方法。

首先，技术追踪和取证有助于揭示网络犯罪的行为和手段。

网络犯罪分子使用各种高级技术进行攻击，如黑客攻击、恶意软件、社交工程等。

通过追踪和取证，我们可以发现攻击者是如何进入系统、攻击目标以及窃取敏感信息的。

例如，我们可以通过研究黑客攻击的IP地址、攻击时间和攻击方式来了解他们的手法，进而采取相应的保护措施。

其次，技术追踪和取证有助于定位和追捕网络犯罪分子。

网络犯罪往往涉及跨国行为和隐藏身份的手段，使得传统的调查方法常常无法奏效。

然而，通过技术追踪和取证，我们可以追踪到攻击者的真实身份和位置。

例如，当黑客使用虚拟私人网络（VPN）隐藏其真实IP地址时，取证人员可以通过分析网络流量和追踪数据包的路径，逐步还原攻击者的真实IP地址和所在地。

此外，技术追踪和取证对于日益增长的网络犯罪证据收集至关重要。

随着越来越多的犯罪活动在网络上进行，取证人员需要能够准确地分析和保护证据。

例如，在金融诈骗案件中，取证人员可以通过分析攻击者的银行转账记录、电子邮件交流和互动日志来还原犯罪行为的轨迹。

这些证据将成为法庭上的重要依据，帮助起诉犯罪分子并保护受害者的权益。

为了实施技术追踪和取证，专业知识和工具至关重要。

取证人员需要具备网络安全和计算机取证的专业知识，同时使用各种先进的工具和技术。

例如，网络流量分析工具和数据包嗅探器可以帮助取证人员收集和分析网络流量，从中提取关键信息。

此外，计算机取证工具如EnCase和FTK可以帮助取证人员获取储存在计算机或其他电子设备上的证据，如恶意软件、聊天记录和访问日志。

尽管技术追踪和取证在打击网络犯罪中起着重要作用，但也面临着一些挑战。

数字取证取证技术计算机取证是计算机科学和法学领域的⼀门新兴交叉学科。

以下内容包括：取证的基本概念、取证的原则与步骤、蜜罐技术、取证⼯具。

取证的基本概念：计算机取证（computer forensics）就是对计算机犯罪的证据进⾏获取、保存、分析和出⽰，实际上可以认为是⼀个详细扫描计算机系统以及重建⼊侵事件的过程。

可以认为，计算机取证是指对能够为法庭接受的、⾜够可靠和有说服性的，存在于数字犯罪场景（计算机和相关外设）中的数字证据的确认、保护、提取和归档的过程。

计算机取证的⽬的是根据取证所得的证据进⾏分析，试图找出⼊侵者或⼊侵的机器，并重构或解释⼊侵的过程。

计算机取证希望能解决的问题：攻击者停留了多长时间？攻击者做了什么？攻击者得到了什么？如何确定在攻击者主机上的犯罪证据？如何赶⾛攻击者？如何防⽌事件的再次发⽣？如何能欺骗攻击者？电⼦证据：在计算机或计算机系统运⾏过程中产⽣的以其记录的内容来证明案件事实的电磁记录物。

与传统证据的不同之处在于它是以电⼦介质为媒介的。

证据的普遍特点：可信的、准确的、完整的、是法官信服的、符合法律法规的电⼦证据的特点：表现形式和存储格式的多样性、⾼科技性和准确性、脆弱性和易毁坏性、数据的挥发性。

电⼦证据的优点：可以被精确地复制；⽤适当的软件⼯具和原件对⽐，很容易鉴别当前的电⼦证据是否有改变；在⼀些情况下，犯罪嫌疑⼈想要销毁证据是⽐较难的。

电⼦证据的来源：1、来⾃系统的：硬盘、移动硬盘、U盘、MP3播放器、各类软盘、磁带和光盘等；系统⽇志⽂件、应⽤程序⽇志⽂件等；交换区⽂件，如386.swp、PageFile.sys；临时⽂件、数据⽂件等；硬盘未分配空间；系统缓冲区等；备份介质等。

2、来⾃⽹络的：防⽕墙⽇志、IDS⽇志；系统登录⽂件、应⽤登录⽂件、AAA登录⽂件（如RADIUS登录）、⽹络单元登录（Network Element logs）；磁盘驱动器、⽹络数据区和计数器、⽂件备份等。

计算机取证工具报告作为安全维护人员，要想知道怎样最好的使用计算机取证工具首先要知道的是计算机取证工具应工作在万能的，灵活的，生命力旺盛的操作系统，文件系统的环境下，同时我们还应当掌握好我们所需要分析的应用文件的种类：如果我们要取证的对象具有从单一的功能成分到复杂的计算机系统和服务，我们就应当采用硬件取证工具；如果我们想要知道取证对象所输入的命令行，图形用户界面等，我们就需要采用软件取证工具。

取证工具还应具有大容量或适宜容量的版本，其自动化功能要非常的理想，此外，还应确保我们所购买商品的卖主的名声要非常的好。

这样才能保证计算机取证工具存活在一个非常健康的环境中，适当的发挥其作用。

一、评价使用计算机取证工具的需求寻找万能的，灵活的，精力充沛的操作系统，文件系统，版本容量，自动化的功能，卖主的名声二、掌握好你所要分析的应用文件的种类计算机取证工具的种类：硬件取证工具，从单一功能的成分到复杂的计算机系统和服务软件取证工具：类型：命令行，图形用户界面：经常用于将数据从嫌疑人的光驱上变成图像文件。

专用的（SafeBack – Disk acquisition only），普遍的（Encase，FTK）Digital Intelligence UltraKitDigital Intelligence F.R.E.D.(Forensic Recovery of Evidence Device)Digital Intelligence F.R.E.D.D.I.E Forensic Recovery of Evidence Device (Diminutive Interrogation Equipment)Digital Intelligence FRED LDigital Intelligence FRED SrDigital Intelligence FRED MDIBS USA三、计算机取证软件的工作获取：为了得到罪犯不法记录的证据，计算机取证要求我们得到的可能是数据的逻辑或物理版本格式，或者是是用户图层界面，或者是命令行的获取，及远距离的信息获取。