三级电子物证实验室建设方案书

精品

电子数据取证鉴定实验室建设项目方案书

版本：2.0

2012年03月

盘石软件（上海）有限公司

可编辑修改

目录

第1 章技术和工作基础 (6)

1.1 公司介绍 (6)

1.2 盘石公司产品介绍 (6)

1.2.1 盘石现场计算机取证系统（SafeImager） (7)

1.2.1.1 离线取证 (7)

1.2.1.2 在线取证 (8)

1.2.1.3 产品特性 (9)

1.2.1.4 SafeImager增强型 (10)

1.2.2 盘石手机取证分析系统（SafeMobile） (11)

1.2.3 盘石介质取证分析系统（SafeAnalyzer） (13)

1.2.4 盘石易载镜像助手（SafeMount） (22)

1.2.5 盘石计算机仿真取证系统（SafeVM） (24)

1.2.6 盘石可视化数据分析平台（IDVP） (27)

1.2.7 盘石实验室管理系统（LIMS） (31)

1.2.8 盘石计算机现场取证勘察箱（SafeSuite） (34)

1.2.9 盘石计算机取证分析平台（SafeForensicPlatform） (35)

1.3 取证专业培训 (36)

第2 章实验室技术规格和要求 (37)

2.1 公安部对鉴定试验室的能力要求 (37)

2.2 实验室装备功能要求 (42)

2.3 实验室的区域设置 (42)

2.4 实验室的管理 (43)

2.4.1 实验室域管理环境 (43)

2.4.2 流程管理 (44)

2.4.3 安防设备 (44)

第3 章实验室设备配置规格说明 (45)

3.1 数据的固定设备 (45)

3.1.1 证据数据完整性的保护 (45)

3.1.1.1 盘石只读接口套件 (45)

3.1.1.2 Solo-III高速多功能复制机套件 (48)

3.1.1.3 盘石1to 2光盘复制机 (50)

3.1.1.4 数据完整性校验值计算软件 (51)

3.1.2 证据数据原始性的保护 (51)

3.1.2.1 摄像机 (51)

3.1.2.2 照相机 (51)

3.1.2.3 屏幕录像软件 (51)

3.2 本地数字化设备非运行状态下的数据提取 (52)

3.2.1 独立存储介质的数据提取 (52)

3.2.2 镜像文件加载软件 (52)

3.3 不可独立访问存储介质的数据提取 (52)

3.3.1 Safemobile手机取证系统介绍 (52)

3.3.2 磁存储介质物理数据提取 (53)

3.3.2.1 SafeDisk 硬盘检测、解密和固件恢复系统 (53)

3.3.2.2 无尘工作环境 (53)

3.3.3 光存储介质物理数据提取 (56)

3.3.3.1 光盘修复机/清洗机/软件 (56)

3.4 本地数字化设备运行状态下的数据提取 (57)

3.4.1 运行状态下数字化设备上的数据提取 (57)

3.4.1.1 盘石仿真取证系统（SafeVM） (57)

3.4.1.2 Rainbow-LmHash (57)

3.4.1.3 盘石现场取证系统（SafeImager） (57)

3.4.2 运行状态下数字化设备网络通信数据的提取 (57)

3.4.2.1 wireshark (57)

3.5 远程数字化设备的数据提取 (58)

3.5.1 远程数字化设备存储处理的数据提取 (58)

3.5.2 远程数字化设备运行状态数据提取 (59)

3.6 数据的发现 (59)

3.6.1 盘石介质取证分析软件（SA） (59)

3.6.2 R-Studio介绍 (59)

3.7.1 加密数据的解密:Elcomsoft 密码破解套件 (61)

3.7.2 结构化数据的解码 (62)

3.8 数据的分析 (62)

3.9 程序功能的黑盒分析 (64)

3.9.1 程序功能的静态分析: IDA PRO（专业版+反编译） (64)

3.9.2 有害程序搜索软件 (64)

3.10 实验室环境条件 (64)

3.10.1 基础环境和设备条件 (64)

3.10.2 数据发现提取固定基础条件 (65)

3.10.2.1 证据数据存储设备 (65)

3.10.2.2 物证存储柜 (66)

3.10.2.3 本地数字化设备检验专用主机（取证分析工作站SFP-101）.66

3.10.2.4 远程数字化设备检验专用主机 (67)

3.10.2.5 物证封存袋、封存条 (67)

3.10.3 程序功能检验基础条件 (67)

3.10.4 实验室管理条件 (68)

3.11 实验室附属设施 (68)

第4 章实验室建设项目工程实施 (69)

4.1 项目实施概况 (69)

第5 章技术培训和支持 (71)

5.1 技术培训 (71)

5.2 技术支持 (71)

5.2.1 保证期内服务计划 (71)

5.2.2 保证期后服务计划 (72)

修订记录

第 1 章技术和工作基础

1.1 公司介绍

盘石软件(前身“上海盘石数码信息技术有限公司”)成立于

2002年，专业从事网络安全和计算机取证产品的研发和服务。

2004年4月，随着专业取证技术的发展，计算机取证产品的研

发和服务即成为公司的主要发展方向。盘石公司的取证技术人员

曾多次参与针对公安技术人员的全国性的培训讲解，和公安信息网络安全保卫部门建立了良好的沟通关系，提供专业的取证产品和技术服务，在一些新的技术领域和案件上提出自己的见解并参与到实际工作中。

在计算机取证研发和实践过程中，盘石公司对国内外电子证据鉴定实验室的建设也十分关注。参照国外实验室的框架我们为公安部、上海、广州、湖北、安徽、浙江等地的实验室提供了建设方案，并参与公安部十一局、湖北省公安厅、安徽省公安厅、上海市公安局等各地电子证据鉴定实验室的建设和装备提供。

盘石软件的企业文化：

企业愿景：成为具有世界水平的电子取证技术专业公司

企业目标：高度专注于电子取证领域的软件开发与技术服务

核心价值观：为社会、客户、员工创造共同价值

企业口号：发展安全、专注取证、坚如磐石

质量方针：持续创新、技术领先、品质卓越、专业服务

1.2 盘石公司产品介绍

1.2.1 盘石现场计算机取证系统（SafeImager）

盘石计算机现场取证系统（SafeImager）由

可以启动的光盘/U盘、外接的数据存储设备构成。

使用SafeImager光盘/U盘启动对象计算机或者

在对象计算机上直接运行SafeImager应用程序，

可以快速有效地获取对象计算机上的数据，保存到

外接的数据存储设备中。

SafeImager获取的数据可以在各类数据分析

软件（例如SafeAnalyzer、MedAnalyzer、

Encase、FTK、Smart等）中使用，并可以在获取数据的过程中计算数据的摘要，作为数据完整性和有效性的证明。

SafeImager由两个功能模块组成：离线取证（Offline）和在线取证（Online）。

1.2.1.1 离线取证

使用SafeImager光盘/U盘启动对象

计算机，获取对象计算机数据。在不改变

对象计算机数据的前提下，SafeImager

提供简洁易用的的操作界面，确保硬盘复

制位对位的准确率，保证对象计算机的硬

盘数据没有任何的改变，提供现场快速获

取和介质分析的功能。SafeImager支持Unix/Linux/*BSD/Windows等多种操作系统，具有轻便、适合现场应用的特性。

离线取证的主要功能如下：

?实现对象计算机的硬盘数据镜像，生成复制盘，同时生成数字摘要。复制盘和原始

盘具有完全一致的数据。对复制盘的数据分析，具有和对原始盘数据分析同样的效果。通过启动复制盘，模拟对象计算机本地环境。

?实现对象计算机的硬盘和分区数据镜像，生成DD格式、AFF格式的镜像文件，同

时生成数字摘要。。DD格式的镜像文件具有和硬盘一样的结构，是对硬盘数据的按位复制，保证数据一致性，是目前法律上认可的数据镜像格式。AFF是高级取证格式，用来保存磁盘镜像信息和相关取证信息的可扩展的开放格式。使用DD格式、AFF格式的镜像文件，可以在各种取证系统中(SafeAnalyzer、Encase、FTK等)直接加载和分析。

?实现对象计算机中的硬盘和分区进行数字摘要计算，文件的数字摘要类似于人的指

纹，只有内容完全相同的文件具有相同的数字摘要，便于验证。

?实现对象计算机中的特定目录或者文件

进行复制。可以选择需要复制的。

SafeImager在复制的同时可以生成每

一个文件的数字摘要。

?对取证硬盘进行擦除操作。

1.2.1.2 在线取证

在目标系统运行的情况下，对目标系统

内部的易失数据如内存信息，临时文件等进行取证。同时由于现场的复杂性，有可能无法对目标系统进行离线取证，可以通过在线取证系统进行取证。由于在线取证软件需要运行在目标系统的操作环境，所以可能会对证据有效性有所影响，须要配合拍照、摄像等手段保持证据力。在线取证目前支持Windows 2000/XP/2003平台。

在线取证的主要功能如下：

?导出系统信息：

导出运行系统内存中的47类易失信息，分为3个大类：操作系统信息、密码信息和上网记录。

?内存信息复制：

对对象计算机物理内存进行数据镜像，生成DD格式或者AFF格式的数据镜像文件?在线硬盘复制

不关机情况下对对象计算机的硬盘进行数据镜像，可以硬盘克隆、生成DD镜像文件和AFF镜像文件。在复制的同时可以生成数字摘要。

?在线分区复制

不关机情况下对对象计算机的分区进行数据镜像，可以生成DD镜像文件和AFF 镜像文件。支持各种虚拟分区软件（如PrivateDisk）创建的虚拟分区的获取。在复制的同时可以生成数字摘要。

1.2.1.3 产品特性

?不拆机箱的数据获取

?光盘启动/程序直接运行

?在不拆机箱的情况下对

证据计算机的证据硬盘

进行数据获取，可以获取包括整个硬盘、分区、目录和文件等各个级别的

数据。

?在线获取支持获取系统运行信息、内存和常见应用程序密码。

?支持基于IA32架构的笔记本、PC和服务器