三级电子物证实验室建设方案书

共享知识分享快乐

人生不能留遗憾

电子数据取证鉴定实验室建设项目方案书

版本：2.0

2012年03月

盘石软件（上海）有限公司

卑微如蝼蚁、坚强似大象

目录

第1 章技术和工作基础 (6)

1.1公司介绍 (6)

1.2 盘石公司产品介绍 (6)

1.2.1盘石现场计算机取证系统（SafeImager） (6)

1.2.1.1离线取证 (7)

1.2.1.2在线取证 (8)

1.2.1.3产品特性 (9)

1.2.1.4 SafeImager增强型 (10)

1.2.2盘石手机取证分析系统（SafeMobile） (10)

1.2.3盘石介质取证分析系统（SafeAnalyzer） (12)

1.2.4盘石易载镜像助手（SafeMount） (22)

1.2.5盘石计算机仿真取证系统（SafeVM） (24)

1.2.6盘石可视化数据分析平台（IDVP） (26)

1.2.7盘石实验室管理系统（LIMS） (29)

1.2.8盘石计算机现场取证勘察箱（SafeSuite） (32)

1.2.9盘石计算机取证分析平台（SafeForensicPlatform） (33)

1.3 取证专业培训 (34)

第2 章实验室技术规格和要求 (36)

2.1 公安部对鉴定试验室的能力要求 (36)

2.2 实验室装备功能要求 (38)

2.3 实验室的区域设置 (39)

2.4 实验室的管理 (40)

2.4.1实验室域管理环境 (40)

2.4.2流程管理 (41)

2.4.3安防设备 (41)

第3 章实验室设备配置规格说明 (42)

3.1 数据的固定设备 (42)

3.1.1证据数据完整性的保护 (42)

3.1.1.1盘石只读接口套件 (42)

3.1.1.2 Solo-III高速多功能复制机套件 (45)

3.1.1.3 盘石1to 2光盘复制机 (47)

3.1.1.4数据完整性校验值计算软件 (48)

3.1.2证据数据原始性的保护 (48)

3.1.2.1摄像机 (48)

3.1.2.2照相机 (48)

3.1.2.3屏幕录像软件 (48)

3.2 本地数字化设备非运行状态下的数据提取 (49)

3.2.1独立存储介质的数据提取 (49)

3.2.2镜像文件加载软件 (49)

3.3 不可独立访问存储介质的数据提取 (49)

3.3.1 Safemobile手机取证系统介绍 (49)

3.3.2磁存储介质物理数据提取 (50)

3.3.2.1 SafeDisk 硬盘检测、解密和固件恢复系统 (50)

3.3.2.2无尘工作环境 (50)

3.3.3光存储介质物理数据提取 (52)

3.3.3.1光盘修复机/清洗机/软件 (52)

3.4 本地数字化设备运行状态下的数据提取 (52)

3.4.1运行状态下数字化设备上的数据提取 (52)

3.4.1.1盘石仿真取证系统（SafeVM） (52)

3.4.1.2 Rainbow-LmHash (53)

3.4.1.3盘石现场取证系统（SafeImager） (53)

3.4.2运行状态下数字化设备网络通信数据的提取 (53)

3.4.2.1 wireshark (53)

3.5 远程数字化设备的数据提取 (54)

3.5.1远程数字化设备存储处理的数据提取 (54)

3.5.2远程数字化设备运行状态数据提取 (54)

3.6 数据的发现 (54)

3.6.1盘石介质取证分析软件（SA） (54)

3.6.2 R-Studio介绍 (55)

3.7 数据的解密与解码 (56)

3.7.1加密数据的解密:Elcomsoft 密码破解套件 (56)

3.7.2结构化数据的解码 (57)

3.8数据的分析 (57)

3.9 程序功能的黑盒分析 (59)

3.9.1程序功能的静态分析: IDA PRO（专业版+反编译） (59)

3.9.2有害程序搜索软件 (59)

3.10 实验室环境条件 (59)

3.10.1基础环境和设备条件 (59)

3.10.2数据发现提取固定基础条件 (60)

3.10.2.1证据数据存储设备 (60)

3.10.2.2物证存储柜 (61)

3.10.2.3本地数字化设备检验专用主机（取证分析工作站SFP-101） 61

3.10.2.4远程数字化设备检验专用主机 (62)

3.10.2.5物证封存袋、封存条 (63)

3.10.3程序功能检验基础条件 (63)

3.10.4实验室管理条件 (63)

3.11 实验室附属设施 (63)

第4 章实验室建设项目工程实施 (64)

4.1 项目实施概况 (64)

4.2 项目实施甘特图 (64)

第5 章技术培训和支持 (65)

5.1 技术培训 (65)

5.2 技术支持 (65)

5.2.1保证期内服务计划 (65)

5.2.2保证期后服务计划 (66)

修订记录

第 1 章技术和工作基础

1.1 公司介绍

盘石软件(前身“上海盘石数码信息技术有限公司”)成立

于2002年，专业从事网络安全和计算机取证产品的研发和服

务。2004年4月，随着专业取证技术的发展，计算机取证产品

的研发和服务即成为公司的主要发展方向。盘石公司的取证技

术人员曾多次参与针对公安技术人员的全国性的培训讲解，和

公安信息网络安全保卫部门建立了良好的沟通关系，提供专业

的取证产品和技术服务，在一些新的技术领域和案件上提出自己的见解并参与到实际工作中。

在计算机取证研发和实践过程中，盘石公司对国内外电子证据鉴定实验室的建设也十分关注。参照国外实验室的框架我们为公安部、上海、广州、湖北、安徽、浙江等地的实验室提供了建设方案，并参与公安部十一局、湖北省公安厅、安徽省公安厅、上海市公安局等各地电子证据鉴定实验室的建设和装备提供。

盘石软件的企业文化：

企业愿景：成为具有世界水平的电子取证技术专业公司

企业目标：高度专注于电子取证领域的软件开发与技术服务

核心价值观：为社会、客户、员工创造共同价值

企业口号：发展安全、专注取证、坚如磐石

质量方针：持续创新、技术领先、品质卓越、

专业服务

1.2 盘石公司产品介绍

1.2.1 盘石现场计算机取证系统（SafeImager）

盘石计算机现场取证系统（SafeImager）由

可以启动的光盘/U盘、外接的数据存储设备构成。