国内外计算机取证设备对比与分析

国内外计算机取证设备对比与分析

作者简介: 王玉福(1974 年), 男, 山东省平度市人, 大学本科, 主要研究领域为计算机取证软硬件设备;

摘要: 对电子证据的获取、分析和发现是打击各种犯罪行为的一种全新手段。随着国内涉及计算机取证的案件不断增多，法律部门越来越需要精确、高速、多功能、智能化、适应于不同场合的专业计算机取证设备来武装自己。多年来，国外科研机构、院校、军警部门一直在努力加强计算机取证技术的研究，研制开发了各种各样的软硬件产品；国内科研机构也注意加强年来也出现一些专业的计算机取证产品。如何充分地利用这些已有的计算机取证工具，提高国内法律部门的计算机取证水平，有效地打击犯罪行为具有重要的意义。本文通过对比国内外各种计算机取证工具的特点，分析发现不同取证工具的使用优势，便于同行对不同取证设备的认识。

关键词: * 计算机取证; 设备评测*

硬盘作为计算机最主要的信息存储介质，是计算机取证的重要获取内容，也是目前各种计算机取证工具的主要方向。目前国内外市场上，用于硬盘拷贝、数据获取的专业产品较多：有为司法需要而特殊设计的MD5 、SF-5000 、SOLO II 硬盘拷贝机，有适合IT 业硬盘复制需要的SONIX 、Magic JumBO DD-212 、Solitair Turbo 、Echo 硬盘拷贝机；有以软件方式实现硬盘数据全面获取的取证分析软件，如FTK 、Encase 、Paraben's Forensic Replicator ；有综合软件获取和硬拷贝方式的取证勘察箱，如Image MASSter Road MASSter 、“天宇”移动介质取证箱、“网警”计算机犯罪取证勘察箱；此外，还有通过USB 接口、1394 接口、PCMCIA 、并口等方式的硬盘获取设备及附件，如LinkMasster II 、CloneCard 、USB WriteProtect 、Desktop WriteProtect 、“天宇”全能拷贝王等等。

在上述众多的计算机取证产品中，每一种产品都有其自身的特点和可利用的优势。计算机取证人员可以根据不同的工作需要和工作环境选用不同的取证工具。而为了实现最佳的取证效果，应当充分挖掘各种产品的功能，合理组合各种取证工具，形成一套设备精简、功能强大的专业计算机取证勘查工具集合。本文就目前部分国内外计算机硬盘取证专业设备的性能特点进行介绍。

•手持式硬盘取证设备

手持式硬盘取证设备的主要特点是体积小、重量轻，便于携带和使用。在各种取证设备中，手持式硬盘取证设备拷贝速度最快，最高可达3.3GB/ 分钟。多数手持式拷贝机以硬盘直接拷贝为主要方法，要将疑犯计算机的硬盘取出，直接与拷贝机连接，实现对硬盘数据的全面复制。考虑到不同环境下的不同取证需要，新型拷贝机除硬盘直接拷贝方式外，还增加了USB 接口拷贝方式、SATA 硬盘拷贝、PCMCIA 接口拷贝，增强了拷贝机的功能和使用灵活性，促进了计算机取证技术的发展。正因为具有便于携带和拷贝功能强的特点，手持式拷贝机成为司法取证的首选设备。

国际市场上手持式硬盘拷贝机大致可分为两代产品。以SF-5000 、SOLO II 、SolitareTurbo 为代表的第一代拷贝机，拷贝速度最高可达 1.8GB/ 分钟。以Forensic MD5 、Sonix 、

DD-212 为代表的第二代硬盘拷贝机，拷贝速度最高可达3.3GB/ 分钟。

各种手持式硬盘拷贝机中，通过用途划分可分为司法专用型和民用型两种。

司法专用型以Forensic MD5 、SF5000 、SOLO II 为代表。这些设备通过精确的数据校验机制，实时计算疑犯硬盘和证据硬盘的哈希值，确保疑犯硬盘数据未被改动、疑犯硬盘与证据硬盘完全一致。目前主要的校验方法有MD5 和CRC32 ，基于此种方法进行校验，复制的硬盘能够作为司法证据被部分国家法律认可。但是，由于采用的严格的数据校验机制，司法专用型拷贝机的硬盘拷贝速度也因数据校验时间而受影响。以MD5 拷贝机为例，获取80GB 容量硬盘时，拷贝速度达到3GB/ 分钟，应该可在30 分钟内完成，但由于额外花费了近一倍的数据校验时间，导致最终完成时间为55 分钟。

民用型以Sonix 、DD-212 、Solitare Trubo 、Echo 为代表。这些设备突出的特点是速度快、功能多、使用灵活。但因为不具备精确的数据校验功能，使其无法作为司法取证工具使用。但是如果在一些特殊的条件下，对拷贝精确没有非常严格的要求，那么此类设备将是非常理想的拷贝工具。比如利用Solitare Trubo 复制一个Windows XP 操作系统仅需1-2 分钟即可完成，比软件方式的拷贝速度快数倍。再如Sonix 拷贝机具有硬盘直接拷贝、USB 接口拷贝、SATA 硬盘拷贝、PCMCIA 接口拷贝、双向拷贝、智能拷贝、分区拷贝、硬盘管理等功能，最高拷贝速度可达 3.3GB/ 分钟，是目前所有产品中功能最强、速度最快的拷贝设备。

•市场各种型号手持式硬盘拷贝机简介

•MD5 硬盘拷贝机

MD5 硬盘拷贝机是美国Logicube 公司根据司法部门的特殊需求而设计的最新型计算机硬盘取证设备，2004 年 3 月上市，目前已开始应用于各国司法部门。

MD5 拷贝机与SF5000 相比速度有明显的提高，经实际测试，其最高速度达到3GB/ 分钟。在拷贝方式上，MD5 具有硬盘直接拷贝、USB 接口拷贝、PCMCIA 接口拷贝，并口拷贝等四种方式。其独特的DD 镜像捕获方式支持对疑犯硬盘进行数据镜像，并可在获取成功后直接利用FTK 、ENCASE 进行数据分析。DD 镜像捕获方式可在大容量硬盘中保存多个疑犯硬盘的镜像，解决了疑犯硬盘数量多而证据硬盘数量不足的问题。具备CF 卡，预先设定关键字，进行关键词搜索。支持对其他操作系统，如Linux 、苹果格式硬盘拷贝。由于采用了MD5 和CRC32 数据校验机制，MD5 硬盘拷贝机可确保数据位对位的准确，是一种最精确、功能强的专业计算机取证设备。

优势：启动时间短，拷贝精度高、拷贝速度快、拷贝方式多、关键字搜索、USB 只读保护。

不足：相比SF5000 ，拷别速度提高一倍，但实际完成时间仍然较长。

•SONIX 硬盘拷贝机

Sonix 是美国Logicube 公司最新研制并发布的民用型硬盘拷贝机，2004 年6 月完成。这种硬盘拷贝机具有拷贝速度快、适应范围广、功能多样、体积小巧等特点。