取證工具

套用在現場勘查階段的工具主要有線上取證工具和一些硬體類數字取證工具。依據法律程式，對正在運行的系統線上收集電子數據或對存儲在介質上的電子數據進行獲取和固定，確保採集數據的原始性、完整性、有效性。

勘查人員進入一個犯罪現場時，若計算機處於開機狀態，則需要及時收集系統進程信息、註冊表信息、賬戶列表及密碼、計算機網路設定、螢幕截圖、記憶體數據、加密分區、聊天記錄和賬戶密碼、電子郵件及賬戶密碼、上網記錄、手機同步記錄等數據內容。服務於線上調查取證的免費工具和開源工具較多，如First Responders Evidence Disk(FRED)、Incident Response Colection Report(IRCR)、Helix、Windows Forensics Tool chest (WFT)、Computer Online Forensic Evidence Extractor(COFEE)等。目前常見的線上取證工具，大多是在嫌疑人的計算機中直接運行取證軟體，並自動獲取記憶體、註冊表中的數據，同時也可以通過取證軟體，實現對硬碟的完整鏡像，但此種方法缺點在於可能造成記憶體中、硬碟中過多的信息被覆蓋，影響取證效果。另外，在運行的系統下獲取鏡像，將有可能造成系統當機，破壞證據的完整性。F-Response網路線上調查CE版本有效解決了這一難題。F-Response利用網路連線兩台計算機或區域網路內的更多計算機，將任意一台計算機的硬碟或其他存儲介質，以物理磁碟的方式顯示到調查員計算機中，在調查員計算機中直接運行任意分析工具或鏡像工具，實現對嫌疑硬碟數據的完整獲取。這種方法是最為理想的，而且僅在嫌疑計算機中占用極少的記憶體，不會造成當機等問題。線上取證遭遇的另一個問題是：計算機硬碟和記憶體容量增加，海量數據分析逐漸超出了調查員的查看能力，手工分析無法快速準確定位到關鍵和敏感信息，EnCasePortable提供了良好的解決方案，能在現場階段自動搜尋目標計算機並自動收集數據，包括文檔、網頁記錄、圖片和其他數字證據。

硬碟作為計算機最主要的信息存儲介質，是數字取證的重要獲取內容。硬碟複製機提供了對存儲在嫌疑硬碟中（包括已刪除的檔案、未使用空間和檔案空白處）的所有數據嚴格按位拷貝的保證。Dossir、TD1、Quest、Hard Copy、SOLO、Super Sonix、DC-8103都是目前硬碟取證的主流產品。相對於早期的硬碟複製機產品，上述硬碟複製機不僅支持的媒體類型（如對各種類型接口的硬碟、多媒體卡、RAID）更多，速度更快（6～7G/Min ），更為顯著的特性是集成了數據修復、關鍵字快速檢索、自動生成實時取證報告等功能。例如，Talon是Logicube推出的最新電子證據固定解決方案，專為現場或實驗室數字取證使用的攜帶型設備。它兼容所有標準和專有的作業系統，設備中的高級關鍵字搜尋工具能在全速捕獲的同時進行數百個詞的搜尋。用戶把多個預先定義好的關鍵字列表存儲在CF卡中的多個詞組群中，同時可以從CF卡中取出搜尋的結果直接顯示在視窗中。搜尋的關鍵字可以是Unicode編碼，大小寫敏感或忽略。此外，鍵盤方便使用者在現場輸入關鍵字。Talon具有自動生成實時取證工作報告寫入CF卡的功能，報告可以現場列印交給被取證方簽字，也可以事後列印。Talon還運行一個Logicube的程式校驗檔案的內容（目錄），並把校驗結果用ASCII碼添加到檔案的尾部。此外，CPRTools公司的PSIClone硬碟複製機在數據恢復和破損硬碟取證方面也獨具特色。

在獲取嫌疑人電子數據時，必須確保原始數據的安全。防寫接口硬體用於在現場或實驗室利用標準筆記本電腦或普通台式機電腦通過火線或者USB接口獲取硬碟鏡像和分析檔案使用的所有防寫接口，確保證據數據以唯讀的方式讀取到證據分析設備中。WeibeTech公司系列產品和Tebleau公司的UltraKt一直占有較高的市場份額。

數據擦除設備是一類針對所有規格的硬碟、USB存儲設備、存儲卡等電子存儲介質的安全擦除工具。通常情況下，對已完成電子物證鑑定工作且不需要保留的各種存儲介質和涉密數據進行數據清潔，對介質數據擦除，從而確保存儲介質可重新使用。目前，多數的硬碟複製機都提供數據擦除功能，但市場上Hammer硬碟擦除機、DriveWper硬碟擦除機專用設備可以同時操作多塊硬碟。

手機取證成為近年來最熱門的取證話題之一，最主要的原因是難以計數的手機生產商不斷為用戶提供外觀、性能、硬體技術、作業系統、物理格式大不相同的手機。最初，全球第一個攜帶型手機取證箱Logicube公司的CELLDEK，僅能識別二三百款手機型號，且只能從中提取機身和SIM卡記憶體儲的重要數據，如電話簿、文本簡訊息、通話記錄。伴隨著智慧型手機的廣泛套用，手機取證市場空前繁榮，Logicube推出了CelXtract，以色列Cellebrite公司也不斷更新UFED的版本。現在，俄羅斯手機取證分析工具OxygenForensicSuite、美國Paraben公司的devicezeizure，以及中國上海盤石公司的SafeMobile和廈門美亞柏科DC-4500、DC-4600也不斷得到用戶的認可。手機取證產品的性能差別主要體現在支持的手機數量、作業系統類型以及連線方式、獲取信息類型數量等方面。

與硬體類取證工具相比，數字取證等工具軟體的使用貫穿於整個案件調查過程。取證工具軟體分為兩大類：單一功能的取證工具和專業司法分析工具。前者主要包括數據恢復類工具、密碼破譯工具、日誌分析工具、通信記錄分析工具、電子郵件分析工具等；專業法證工具多為上述功能的整合，可用於發現、分析和展示犯罪的電子證據。

在獲取電子數據時，使用硬碟複製機可以獲取物理級的數據信息，即獲取全部存儲在硬碟、軟碟、快閃記憶體等存儲設備中的數據信息。這些電子數據除了用戶自建的各種文檔、用戶保護文檔（加密檔案、口令保護檔案、壓縮檔案或隱藏文檔）、計算機創建的文檔（系統檔案、配置檔案、備份檔案、臨時檔案、歷史檔案等），還有其他數據區中可能存在的數據證據（未分配的磁碟空間、Slack空間、被刪除檔案等）。與案件有關的直接線索或間接線索三、證據檢查階段的取證工具及套用都有可能以數據的形式存儲在這些空間的任意位置上。數據恢復工具可將已刪除檔案恢復，對不同程度上的數據破壞進行恢復，以及將不可見區域的數據進行呈現。WinHex、Data Extractor、PC-3000、Easyrecover、Finaldata、R-stdio以及國內效率源科技推出的Data Compass軟體都是數據恢復的利器。近年來，記憶體數據恢復是取證技術研究的熱點，因此記憶體數據還原、對格式化介質數據的恢復、多媒體檔案數據恢復支持、數據恢復速度的快慢等是上述軟體比較的主要功能和性能指標。

在收集涉案電子數據時，常碰到檔案加密的情況，需要強有力的密碼破解軟體。ElcomSoft公司是俄羅斯專業的密碼破解公司，產品以技術先進、使用靈活、功能強大得到業界廣泛認可。Elcom Soft支持破解WinZip、WinRar、AcrobatPDF、Microsoft Office（1995～2007）、Outlook、EFS、ICQ、Yahoo、MSN、Google Talk、WindowsNT/2000/XP和其他常用加密檔案或系統的密碼破解，新版本還支持WIFI以及iPhone、iPad、黑莓手機加密備份檔案的破解。Elcomsoft除了具有常見的暴力破解和字典破解方式以外，還可以由用戶自定義破解的參數，包括破解的密碼長度、數字詞組合、已知字元等，縮短破解的時間。俄羅斯另外一家非常優秀的密碼破解公司的Passware軟體也有其獨特的優點，不僅能夠智慧型掃描計算機中的加密檔案、快速重置本地和Windows管理員密碼、快速破解MSWord和Excel檔案、恢復由BitLocker產生的硬碟加密密鑰、對虛擬磁碟解密，而且在業內率先使用CPU+GPU混合併行運算提高破解速度。美國AccessData公司密碼破譯工具PRTK（Password Recovery ToolKt）也是密碼破譯不錯的選擇。

專用計算機法證工具指為執法部門提供全面、徹底的計算機數據獲取、分析和發現能力的軟體，分析結論受法院認可。

Guidance EnCase是最早開發的法證工具，也是目前使用最為廣泛的計算機法證工具，具證據獲取、處理、深度取證分析、案例歸檔的功能，並一向以其獨有的挖掘潛在證據的能力而聞名。最新推出的EnCase7獲取能力更強大，增加了對平板電腦和多種作業系統智慧型手機的支持；可對新的證據檔案格式（Ex01和LEFx）直接加密，確保證據安全；證據處理器自動化程度更高，資料夾恢復、檔案簽名解析、關鍵字搜尋、索引等常用任務自動化運。EnScript處理器新集成了系統信息解析模組、即時通訊解析模組、檔案恢復模組、個人信息提取模組(CC,Phone Numbers,Email,SSN)、Windows事件日誌分析模組、Windows操作記錄解析模組、Unix登錄信息解析模組、Linux系統日誌解析模組，還新增了自定義EnScript功能。在深度取證分析方面，新增加EXT4、HSFX、MicrosoftOffice2010、Checkpoint/Pointsec加密檔案、iOS物理鏡像(iPad,iPhone,iPod)檔案系統和檔案類型的分析，新的電子郵件調查平台可查看郵件互發記錄和相關信息的功能。EnCase7中自定義模板定製報告，確保報告質量和一致性，並提供了案例歸檔功能。另外，新版本中還增加FastblocSE軟體防寫功能，可以對USB、Firewire、IDE、SATA和SCSI存儲器進行防寫。Encase Physical Disk Emulator(PDE)功能可在載入計算機證據到本地磁碟後，通過VMWare虛擬機和其他一些第三方工具進行深入的分析。

美國AccessData公司的FTK（ForensicToolkit）提供了強大的搜尋功能，被公認為世界上對檔案、電子郵件分析的首選軟體。FTK內置OutsideInViewer技術，可查看超過270種不同格式檔案，可自定義的過濾選項能滿足用戶從上萬份檔案中快速查找所需的證據，全文索引功能可即時生成搜尋結果，具有超強的圖像和網際網路信息搜尋功能。電子郵件和壓縮檔案分析是FTK的特色之一，能夠自動從PKZIP、WinZp、iWinRAR、GZIP和TAR格式壓縮檔案中釋放數據，支持MsOutlook、OutlookExpress、AOL、Netscape、Yahoo、Earthlink、Eudora、Hotmail、MSN、e-mail，可查看、搜尋、列印、導出電子郵件信息和附屬檔案，可恢復刪除部分郵件信息。

德國X-ways公司的X-waysForensics是較為出色的計算機法證工具，與WinHex軟體緊密結合，使其具備強大的數據恢復功能和數據分析功能，如可對特定檔案類型恢復；察看並完整獲取RAM和虛擬記憶體中的運行進程；可從磁碟或鏡像檔案中收集殘留空間、空餘空間、分區空隙中的信息；能夠非常簡單地發現並分析ADS數據（NTF Salternate datastreams)，這些數據有時EnCase和ILook也無法檢測的，並增加了很多特有功能，如強大的物理搜尋和邏輯搜尋功能，可同時搜尋多個關鍵字。

澳大利亞Nuix公司的FBIForensicDesktop曾被評為世界領先的電子郵件及電子數據圖形化分析工具，版本3之後不再只針對電子郵件進行分析，已成為專業的海量電子數據分析工具，通過分析伺服器/多工作站的協同工作，可快速對各種數據進行分類、預覽。NuixForensicDesktop處理數據時，直接讀取原有檔案格式，支持郵件格式的種類覆蓋常見郵件類型，其簡潔但非常強大的圖形展示功能，可以清晰地描述事件是如何發生的及證據是如何進入的，內部發生了什麼事情，什麼人涉及在事件當中，揭示通訊人之間的聯絡關係。

Digital Detective公司的NetAnalysis目前已經成為了網際網路歷史紀錄分析和恢復的行業標準。NetAnalsis軟體可以直接從防寫的物理和邏輯磁碟中查找記錄，可以從未分配空間、Swap交換檔案、FileSlack,檔案殘留區、未使用磁碟空間、DD鏡像和二進制檔案中查找、恢復歷史記錄。自動將頁面中的原始圖片找出來，自動重建HTML頁面，恢復出的頁面與嫌疑人所看到的頁面完全一樣。NetAnalysis能自動過濾並分類搜尋辭彙，這使得可以將其作為證據單獨提交。此外，NetAnalysis還支持關鍵字庫和SQL查詢，這些詞庫和查詢可以與其他調查員分享或留作其他分析時使用。離線快取數據查看器DigitalDetectiveHstEx還可以作為其他分析軟體（如Encase，X-Ways Forensics）協同工作，是一個體積小，速度快，支持Flash、圖像，和office文檔、PDF的外掛查看器。