<DOCPROPERTY"密級(jí)"公司機(jī)密>DOCPROPERTY"Company"上海盤(pán)石數(shù)碼,SAVEDATE\@"yyyy"2015頁(yè)碼：電子數(shù)據(jù)取證鑒定實(shí)驗(yàn)室建設(shè)項(xiàng)目中，我們將協(xié)助設(shè)計(jì)和提供各個(gè)環(huán)節(jié)的報(bào)告模板，協(xié)助建設(shè)實(shí)驗(yàn)室管理流程。安防設(shè)備配備門(mén)禁和視頻監(jiān)控安防管理。根據(jù)市局對(duì)電子取證鑒定實(shí)驗(yàn)室的建設(shè)標(biāo)準(zhǔn)要求，我們建立相應(yīng)的裝備要求，盤(pán)石公司提供了裝備配置與報(bào)價(jià)的詳細(xì)信息（參見(jiàn)附件一），但是在配置報(bào)價(jià)表中未考慮如下因素：室內(nèi)裝修（含門(mén)窗、工位、空調(diào)、電力、燈光等）網(wǎng)絡(luò)基礎(chǔ)設(shè)施（通信、機(jī)柜、交換機(jī)、網(wǎng)絡(luò)布線等）門(mén)禁、監(jiān)控等安保系統(tǒng)海量存儲(chǔ)實(shí)驗(yàn)室認(rèn)可認(rèn)證如果需要上述配置，必須增加相應(yīng)的預(yù)算。下面是各個(gè)裝備的詳細(xì)說(shuō)明：數(shù)據(jù)的固定設(shè)備證據(jù)數(shù)據(jù)完整性的保護(hù)盤(pán)石只讀接口套件盤(pán)石只讀接口套件為分析過(guò)程提供了額外的寫(xiě)保護(hù)功能，使得在分析的過(guò)程中，證據(jù)媒介不會(huì)有任何的更改，從而有效的保護(hù)證據(jù)媒介。Tableau公司的UltraBlock系列是最好的寫(xiě)保護(hù)接口，提供了SCSI、IDE、SATA、USB、存儲(chǔ)卡等各類寫(xiě)保護(hù)設(shè)備。本方案以UltraBlock設(shè)備為主提供寫(xiě)保護(hù)硬件設(shè)備。UltraBlock-IDE/SATAFireWire/USB接口的IDE/SATA取證寫(xiě)保護(hù)設(shè)備。UltraBlock-IDE/SATARO可以通過(guò)FireWire-A(400Mb/s),FireWire-B(800Mb/s),或者USB1.X/2.0接口將IDE硬盤(pán)連接到取證計(jì)算機(jī)硬盤(pán)，為IDE/SATA硬盤(pán)提供只讀的證據(jù)獲取和分析功能。由于該設(shè)備已經(jīng)提供了SATA接口硬盤(pán)設(shè)備的寫(xiě)保護(hù)功能，本方案中使用此增強(qiáng)設(shè)備來(lái)代替SATA只讀接口，不再提供單獨(dú)的SATA只讀接口設(shè)備。UltraBlockUSBWriteBlockUSB接口只讀鎖，通過(guò)UltraBlockUSB接口只讀鎖設(shè)備可以將任何USB存儲(chǔ)設(shè)備變?yōu)橹蛔x。UltraBlockUSB支持USB2.0/1.1和低速設(shè)備接口?？梢杂糜赨盤(pán)，USB存儲(chǔ)卡，USB外部硬盤(pán)等。和其它UltraBlock取證設(shè)備一樣，USB接口只讀鎖可以通過(guò)1394/USB2.0連接到分析用計(jì)算機(jī)，支持各種操作系統(tǒng)平臺(tái)和軟件，在獲取和分析過(guò)程中不用擔(dān)心數(shù)據(jù)會(huì)寫(xiě)入到USB存儲(chǔ)設(shè)備。UltraBlock-SCSIFireWire/USB到SCSI橋設(shè)備的取證寫(xiě)保護(hù)器。UltraBlock-SCSI可以通過(guò)FireWire-A(400Mb/s),FireWire-B(800Mb/s),或者USB1.X/2.0接口將SATAIDE硬盤(pán)連接到取證計(jì)算機(jī)，進(jìn)行只讀的證據(jù)獲取和分析。UltraBlockForensicCardReaders存儲(chǔ)卡只讀接口設(shè)備，包括一個(gè)只讀和一個(gè)可讀寫(xiě)的存儲(chǔ)卡接口設(shè)備，可以處理的存儲(chǔ)卡包括：CompactFlashCard(CFC)MicroDrive(MD)MemoryStickCard(MSC)MemoryStickPro(MSPro)SmartMediaCard(SMC)xDCard(xD)SecureDigitalCard(SDC)MultiMediaCard(MMC)轉(zhuǎn)接口設(shè)備通過(guò)存儲(chǔ)媒介接口轉(zhuǎn)換器，可以有效的對(duì)只讀接口和硬盤(pán)復(fù)制機(jī)功能進(jìn)行擴(kuò)展，使得只讀接口和硬盤(pán)復(fù)制機(jī)支持更多的存儲(chǔ)媒介。本方案中提供的轉(zhuǎn)接設(shè)備如下：IDE3.5-2.5，標(biāo)準(zhǔn)IDE轉(zhuǎn)接到2.5筆記本硬盤(pán)IDE3.5-1.8，標(biāo)準(zhǔn)IDE轉(zhuǎn)接到1.8寸筆記本硬盤(pán)IDE3.5-ZIF，標(biāo)準(zhǔn)IDE轉(zhuǎn)接到ZIF硬盤(pán)SCSI68-80，68針SCSI轉(zhuǎn)接到80針接口SCSI68-50，66針SCSI轉(zhuǎn)接到50針接口MINISATA，迷你SATA轉(zhuǎn)標(biāo)準(zhǔn)SATASolo-III高速多功能復(fù)制機(jī)套件本方案在現(xiàn)場(chǎng)復(fù)制機(jī)的選型方面，采用了ImageMASSterSolo-III硬盤(pán)復(fù)制機(jī)。ImageMASSterSolo-III取證系統(tǒng)是一套手持式、輕便、高速的硬盤(pán)數(shù)據(jù)獲取設(shè)備，專為司法取證用途而設(shè)計(jì)。利用該設(shè)備的同步數(shù)據(jù)校驗(yàn)功能，可確保疑犯數(shù)據(jù)的精確復(fù)制，不會(huì)造成數(shù)據(jù)傳輸過(guò)程中疑犯硬盤(pán)數(shù)據(jù)修改和數(shù)據(jù)重置。系統(tǒng)特性:中文菜單和操作界面。MD5和CRC32哈希校驗(yàn)：在復(fù)制的過(guò)程中可以同時(shí)計(jì)算MD5和CRC32哈希校驗(yàn)值。觸摸屏用戶界面：高級(jí)觸摸屏用戶界面和可編程的鍵盤(pán)，方便用戶使用。高速數(shù)據(jù)復(fù)制：數(shù)據(jù)復(fù)制速度超過(guò)3GB/分鐘。內(nèi)置寫(xiě)保護(hù)：對(duì)嫌疑人硬盤(pán)提供內(nèi)置的寫(xiě)保護(hù)功能。內(nèi)置1394B和USB2.0接口：用來(lái)獲取不能打開(kāi)的嫌疑人筆記本和PC。通過(guò)寫(xiě)保護(hù)端口連接后可以預(yù)覽嫌疑人硬盤(pán)。同時(shí)獲取到兩塊硬盤(pán)：可以將數(shù)據(jù)高速獲取道兩塊硬盤(pán)。支持IDE、SATA和SCSI硬盤(pán)設(shè)備（SCSI設(shè)備通過(guò)附加硬件設(shè)備支持）。多獲取模式：用位到位的方式將嫌疑人硬盤(pán)數(shù)據(jù)復(fù)制到，分段的DD文件，這樣可以將多個(gè)鏡像復(fù)制到一塊證據(jù)硬盤(pán)。擦除功能：擦除數(shù)據(jù)的速度超過(guò)3GB/分鐘?？截怘PA和DCO區(qū)域。HPA是獨(dú)立于硬盤(pán)正常操作系統(tǒng)文件系統(tǒng)之外的保留區(qū)域。該設(shè)備可檢測(cè)并獲取此區(qū)域。DCO允許系統(tǒng)修改硬盤(pán)提供的相關(guān)參數(shù)。該設(shè)備可檢測(cè)并獲取此區(qū)域。壞扇區(qū)處理。增強(qiáng)的壞扇區(qū)處理功能，允許操作者跳過(guò)整個(gè)扇區(qū)壞塊。審計(jì)日志：詳細(xì)的操作日志可以打印或者保存到CF卡中。多種介質(zhì)設(shè)備支持：支持IDE、SATA、SCSI硬盤(pán)之間的數(shù)據(jù)復(fù)制。也可以閃存和筆記本硬盤(pán)獲取數(shù)據(jù)（SCSI設(shè)備通過(guò)附加硬件設(shè)備支持）。升級(jí)：軟件和固件可以通過(guò)CF卡進(jìn)行升級(jí)。硬件規(guī)格:電壓：90-230V/50-60Hz功率：在未接硬盤(pán)時(shí)10W溫度：5-55攝氏度相對(duì)濕度：20%-60%凈重：2.2磅尺寸：8.3"x5.8"x2.2"同時(shí)包括如下硬件選項(xiàng)組成高速?gòu)?fù)制機(jī)取證箱，提供對(duì)SCSI硬盤(pán)的高速?gòu)?fù)制和獲取能力?？焖賁CSI選項(xiàng)：完成從一塊SCSI硬盤(pán)到另外一塊SCSI硬盤(pán)的復(fù)制，速度超過(guò)4GB/分鐘。通過(guò)可選的其它適配器完成SCSI硬盤(pán)到SATA和IDE硬盤(pán)的復(fù)制。SCSI到SATA適配器：允許從SCSI硬盤(pán)復(fù)制到另外一塊SATA硬盤(pán)。SCSI到IDE(P-ATA)適配器：允許從SCSI硬盤(pán)復(fù)制到另外一塊IDE硬盤(pán)。筆記本適配器：使得Solo-3可以從各種型號(hào)的筆記本硬盤(pán)獲取數(shù)據(jù)。PCMCIA-ATA適配器：提供從ATA兼容的閃存設(shè)備獲取數(shù)據(jù)。盤(pán)石1to2光盤(pán)復(fù)制機(jī)盤(pán)石1：2光盤(pán)復(fù)制機(jī)專為光盤(pán)取證所設(shè)計(jì)，支持一對(duì)二復(fù)制，支持盤(pán)片格式有：DVD-ROM、DVD-Video、DVD-R、DVD-Audio、DVD-RAM、DVD-RW、DVD+R、DVD+RW、DVD-R、DVD-RW等規(guī)格。其主要規(guī)格如下：顯示方式LED液晶面板顯示寫(xiě)入模式自動(dòng)偵測(cè)(DAO,TAO)功能模式直接刻錄模式,模擬刻錄模式,擦除光盤(pán),母片糾錯(cuò)測(cè)試，安全刻錄模式,比對(duì)刻錄碟片,系統(tǒng)功能設(shè)定。操作方式脫機(jī)拷貝,多鍵式觸控面板控制產(chǎn)品性能：不需接計(jì)算機(jī)只需插上電源即可使用。操作簡(jiǎn)單,拷貝完成后碟片自動(dòng)彈出。采用IDE接口，刻錄DVD-R/DVD-RW只需5-10分鐘,可同時(shí)復(fù)制4.7GBDVD-R/DVD-RW光盤(pán)1-2張。支持目前所有格式。液晶面板全程顯示，聲音提示。具有直接刻錄，盤(pán)片檢測(cè)，仿真刻錄功能。數(shù)據(jù)完整性校驗(yàn)值計(jì)算軟件數(shù)據(jù)完整性效驗(yàn)已涵蓋在SafeAnalyzer中證據(jù)數(shù)據(jù)原始性的保護(hù)攝像機(jī)索尼手持便攜式攝像機(jī)照相機(jī)佳能單反數(shù)碼相機(jī)屏幕錄像軟件屏幕錄像大師：是一款專業(yè)的屏幕錄像制作工具。使用它可以輕松地將屏幕上的軟件操作過(guò)程、網(wǎng)絡(luò)教學(xué)課件、網(wǎng)絡(luò)電視、網(wǎng)絡(luò)電影、聊天視頻等錄制成FLASH動(dòng)畫(huà)、WMV動(dòng)畫(huà)、AVI動(dòng)畫(huà)或者自播放的EXE動(dòng)畫(huà)。本軟件具有長(zhǎng)時(shí)間錄像并保證聲音完全同步的能力。本軟件使用簡(jiǎn)單，功能強(qiáng)大，是制作各種屏幕錄像和軟件教學(xué)動(dòng)畫(huà)的首選軟件。軟件基本功能如下：支持長(zhǎng)時(shí)間錄像并且保證聲音同步。(V3V3.5V5V5.5V6等以前的舊版本聲音同步有問(wèn)題，請(qǐng)使用最新版)。在硬盤(pán)空間足夠的情況下,可以進(jìn)行不限時(shí)間錄象(只有V7.5版有此功能)。定時(shí)錄像。錄制生成EXE文件，可以在任何電腦(操作系統(tǒng)為windows98/2000/2003/XP等)播放，不需附屬文件。高度壓縮，生成文件小。錄制生成AVI動(dòng)畫(huà)，支持各種壓縮方式。生成FLASH動(dòng)畫(huà)，文件小可以在網(wǎng)絡(luò)上方便使用，同時(shí)可以支持附帶聲音并且保持聲音同步。錄制生成微軟流媒體格式WMV/ASF動(dòng)畫(huà)，可以在網(wǎng)絡(luò)上在線播放。支持后期配音和聲音文件導(dǎo)入，使錄制過(guò)程可以和配音分離。錄制目標(biāo)自由選?。嚎梢允侨?、選定窗口或者選定范圍。錄制時(shí)可以設(shè)置是否同時(shí)錄制聲音，是否同時(shí)錄制鼠標(biāo)?？梢宰詣?dòng)設(shè)置最佳幀數(shù)?？梢栽O(shè)置錄音質(zhì)量。本地?cái)?shù)字化設(shè)備非運(yùn)行狀態(tài)下的數(shù)據(jù)提取獨(dú)立存儲(chǔ)介質(zhì)的數(shù)據(jù)提取SATA、1.8寸IDE、2.5寸IDE、USB、SCSI、SAS、CF、SD（含microSD、miniSD等）、SM、MMC、PCMICATA、MemoryStick、CD、DVD等各類接口存儲(chǔ)介質(zhì)離線轉(zhuǎn)換接口。已包含在盤(pán)石只讀接口套件中。鏡像文件加載軟件盤(pán)石易載鏡像系統(tǒng)（SafeMount），參見(jiàn)本方案1.2.4小節(jié)。不可獨(dú)立訪問(wèn)存儲(chǔ)介質(zhì)的數(shù)據(jù)提取Safemobile手機(jī)取證系統(tǒng)介紹詳見(jiàn)1.2.2章節(jié)。磁存儲(chǔ)介質(zhì)物理數(shù)據(jù)提取SafeDisk硬盤(pán)檢測(cè)、解密和固件恢復(fù)系統(tǒng)SafeDisk是一段高度集成的硬盤(pán)修復(fù)系統(tǒng)。它的功能涵蓋了數(shù)據(jù)恢復(fù)、硬盤(pán)故障診斷、密碼解碼、內(nèi)容瀏覽及掃描，同時(shí)支持對(duì)硬盤(pán)進(jìn)行鏡像。支持所有的ATA/IDE和SATA設(shè)備。主要特性：原生的SATA1代和2代，IDE接口內(nèi)建RS-232接口，用于連接希捷、三星、日立等硬盤(pán)的CPU內(nèi)建寫(xiě)保護(hù)開(kāi)關(guān)支持HPA的修改硬盤(pán)密碼獲取及移除實(shí)時(shí)狀態(tài)監(jiān)控固件備份及修復(fù)案件管理系統(tǒng)自動(dòng)診斷硬盤(pán)部件無(wú)塵工作環(huán)境涉及硬盤(pán)盤(pán)體級(jí)數(shù)據(jù)恢復(fù)的情況，需在電子專業(yè)級(jí)無(wú)塵的環(huán)境下操作，以確保數(shù)據(jù)恢復(fù)的高成功率，避免造成硬盤(pán)的二次損壞。無(wú)塵環(huán)境構(gòu)成（工作臺(tái)潔凈度：100級(jí)，無(wú)塵室潔凈度：1000級(jí)）：風(fēng)淋室無(wú)塵工作室傳遞窗空氣過(guò)濾換風(fēng)系統(tǒng)光存儲(chǔ)介質(zhì)物理數(shù)據(jù)提取光盤(pán)修復(fù)機(jī)/清洗機(jī)/軟件自動(dòng)光盤(pán)修復(fù)機(jī)主要特性如下：專業(yè)修復(fù)激光碟片（CD/DVD/CD-R/CD-RW等）操作簡(jiǎn)單，6分鐘自動(dòng)完成打磨/修補(bǔ)/清潔，使碟片恢復(fù)正常播放有效去除劃傷/灰塵/污點(diǎn)及指紋修復(fù)后可在碟片表面產(chǎn)生保護(hù)層環(huán)保無(wú)毒修補(bǔ)液/清潔液（獲得SGS認(rèn)證）獨(dú)特的抽屜式設(shè)計(jì)將所有配件放在產(chǎn)品內(nèi)本地?cái)?shù)字化設(shè)備運(yùn)行狀態(tài)下的數(shù)據(jù)提取運(yùn)行狀態(tài)下數(shù)字化設(shè)備上的數(shù)據(jù)提取盤(pán)石仿真取證系統(tǒng)（SafeVM）詳見(jiàn)前面產(chǎn)品介紹章節(jié)Rainbow-LmHashWindows密碼破解工具，同時(shí)也是雜亂算法加密（hashalgorithm，比如:lm、md5、sha1、customizable）的破解利器，其它的加密方式破解也可以很容易地添加到該軟件中。同時(shí)支持Windows和Linux系統(tǒng)，而且在一個(gè)系統(tǒng)上上生成的表單可以直接轉(zhuǎn)換到另一種系統(tǒng)上使用。RainbowCrackMD5、LM哈希表可提供高效的字典式攻擊，快速破解密碼。盤(pán)石現(xiàn)場(chǎng)取證系統(tǒng)（SafeImager）詳見(jiàn)前面產(chǎn)品介紹章節(jié)1.2.1。運(yùn)行狀態(tài)下數(shù)字化設(shè)備網(wǎng)絡(luò)通信數(shù)據(jù)的提取wireshark通訊線路中截獲通訊數(shù)據(jù)包括了專用的監(jiān)控計(jì)算機(jī)及嗅探軟件系統(tǒng)。該計(jì)算機(jī)于普通計(jì)算機(jī)的區(qū)別在于普通計(jì)算機(jī)的以太網(wǎng)卡會(huì)在監(jiān)聽(tīng)網(wǎng)絡(luò)通訊數(shù)據(jù)是發(fā)送數(shù)據(jù)，而專用計(jì)算機(jī)在監(jiān)聽(tīng)過(guò)程一直處于純監(jiān)聽(tīng)狀態(tài)，不會(huì)發(fā)送任何無(wú)關(guān)數(shù)據(jù)包。避免了無(wú)用的通信數(shù)據(jù)干擾正常截獲工作。同時(shí)，該計(jì)算機(jī)還配置有強(qiáng)大的數(shù)據(jù)截獲軟件系統(tǒng)Wireshark。這款網(wǎng)絡(luò)數(shù)據(jù)嗅探截獲軟件系統(tǒng)在目前行業(yè)內(nèi)處于領(lǐng)先位置，其很多特性為用戶所喜愛(ài)。同時(shí)作為一款跨平臺(tái)的軟件系統(tǒng)，它可以運(yùn)行在Unix、Linux和Windows下，滿足了各類用戶對(duì)數(shù)據(jù)截獲的需要。其主要特性包括了以下幾點(diǎn)：深入檢測(cè)上百種網(wǎng)絡(luò)協(xié)議，并且不斷添加更新；實(shí)時(shí)抓取并且支持離線的分析支持多平臺(tái)操作系統(tǒng)：Windows,Linux,OSX,Solaris,FreeBSD,NetBSD等強(qiáng)大的過(guò)濾系統(tǒng)豐富的VoIP分析支持讀取寫(xiě)入多種抓取包文件格式遠(yuǎn)程數(shù)字化設(shè)備的數(shù)據(jù)提取遠(yuǎn)程數(shù)字化設(shè)備存儲(chǔ)處理的數(shù)據(jù)提取使用wget、SamSpade、GetIFSNMPMIBBrowser和各種數(shù)據(jù)庫(kù)客戶端等類似免費(fèi)軟件可以完成遠(yuǎn)程獲取HTTP、FTP、SNMP、數(shù)據(jù)庫(kù)等各網(wǎng)絡(luò)服務(wù)應(yīng)用數(shù)據(jù)。遠(yuǎn)程數(shù)字化設(shè)備運(yùn)行狀態(tài)數(shù)據(jù)提取使用XScan、Nmap、Xenu等免費(fèi)工具可以獲得遠(yuǎn)程網(wǎng)絡(luò)服務(wù)設(shè)備和主機(jī)的狀態(tài)、端口及服務(wù)信息。數(shù)據(jù)的發(fā)現(xiàn)盤(pán)石介質(zhì)取證分析軟件（SA）可以完成文件的通用查找、操作系統(tǒng)應(yīng)用分析和數(shù)據(jù)提取、文件的恢復(fù)、數(shù)據(jù)記錄提取、碎片級(jí)的數(shù)據(jù)發(fā)現(xiàn)、結(jié)構(gòu)化的數(shù)據(jù)解碼等各項(xiàng)數(shù)據(jù)鑒定和分析工作。詳見(jiàn)本方案1.2.2小節(jié)。R-Studio介紹R-Studio是一個(gè)功能強(qiáng)大、節(jié)省成本的反刪除和數(shù)據(jù)恢復(fù)軟件系列。它采用獨(dú)特的數(shù)據(jù)恢復(fù)新技術(shù)，為恢復(fù)FAT12/16/32、NTFS、NTFS5（由Windows2000/XP/2003/Vista創(chuàng)建或更新）、Ext2FS/Ext3FS（LINUX文件系統(tǒng)）以及UFS1/UFS2（FreeBSD/OpenBSD/NetBSD文件系統(tǒng)）分區(qū)的文件提供了最為廣泛的數(shù)據(jù)恢復(fù)解決方案。R-Studio運(yùn)行于本地磁盤(pán)和網(wǎng)絡(luò)磁盤(pán)，即使這些分區(qū)已被格式化、損壞或刪除。對(duì)參數(shù)進(jìn)行靈活的設(shè)置，可以讓您對(duì)數(shù)據(jù)恢復(fù)實(shí)施絕對(duì)控制。R-Studio工具恢復(fù)功能：沒(méi)有進(jìn)回收站而被直接刪除的文件，或者當(dāng)回收站被清空時(shí)的文件；因病毒攻擊或電源故障被刪除的文件；文件分區(qū)被重新格式化后的文件（甚至是不同的文件系統(tǒng)）；硬盤(pán)上的分區(qū)結(jié)構(gòu)被改變或損害時(shí)的文件。在這種情況下，R-Studio工具可以掃描硬盤(pán)，嘗試去找到以前存在的分區(qū)并從找到的分區(qū)恢復(fù)文件。有壞扇區(qū)的硬盤(pán)的文件R-Studio數(shù)據(jù)恢復(fù)軟件首先拷貝整個(gè)磁盤(pán)或者部分磁盤(pán)內(nèi)容到一個(gè)鏡像文件中，然后再處理該鏡像文件。當(dāng)新的壞扇區(qū)不斷出現(xiàn)在硬盤(pán)上時(shí)，這一處理方式尤為實(shí)用，其余信息必須立即保存。標(biāo)準(zhǔn)的“WindowsExplorer”風(fēng)格界面。主機(jī)操作系統(tǒng)：Windows9x、ME、NT、2000、XP、2003Server、Vista。通過(guò)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)恢復(fù)?？梢詮倪\(yùn)行Win95/98/ME/NT/2000/XP/2003/Vista、Linux以及UNIX的網(wǎng)絡(luò)計(jì)算機(jī)上恢復(fù)文件。支持的文件系統(tǒng)：FAT12、FAT16、FAT32、NTFS、NTFS5（由Windows2000/XP/2003/Vista創(chuàng)建或更新）、Ext2FS/Ext3FS(Linux)、UFS1/UFS2(FreeBSD/OpenBSD/NetBSD)。識(shí)別和分析動(dòng)態(tài)(Windows2000/XP/2003/Vista)、基本和BSD(UNIX)分區(qū)布局方案。損壞的RAID恢復(fù)。如果操作系統(tǒng)不能識(shí)別出您的RAID，您可以從其組件創(chuàng)建一個(gè)虛擬的RAID。這樣的虛擬RAID可以當(dāng)作真實(shí)的RAID處理。創(chuàng)建鏡像文件用于整個(gè)硬盤(pán)、分區(qū)或它的一部分。這類鏡像文件可以作為常規(guī)的磁盤(pán)處理。對(duì)被損壞或刪除的分區(qū)、加密文件(NTFS5)、額外的數(shù)據(jù)流(NTFS,NTFS5)進(jìn)行數(shù)據(jù)恢復(fù)。數(shù)據(jù)的解密與解碼加密數(shù)據(jù)的解密:Elcomsoft密碼破解套件EPRB系列套裝提供了用戶訪問(wèn)各種加密文檔的能力。套裝包含的工具使用了最新、最先進(jìn)的密碼分析算法，適用于較大范圍的領(lǐng)域例如：應(yīng)用軟件、文字處理軟件、表格和數(shù)據(jù)庫(kù)管理軟件等的密碼。超過(guò)了100中不同的文件格式和密碼加密算法提供三種版本的套裝供用戶挑選產(chǎn)品標(biāo)準(zhǔn)版司法版商業(yè)版AdvancedACTPasswordRecovery1110AdvancedArchivePasswordRecovery1110AdvancedEFSDataRecovery1110AdvancedIEPasswordRecovery1110AdvancedIMPasswordRecovery1110AdvancedIntuitPasswordRecovery1110AdvancedLotusPasswordRecovery1110AdvancedMailboxPasswordRecovery1110AdvancedOfficePasswordBreaker1(Pro)1(Ent)1(Ent)AdvancedOfficePasswordRecovery(Pro)1110AdvancedOEPasswordRecovery1110AdvancedPDFPasswordRecovery1(Pro)1(Ent)1(Ent)AdvancedWPOfficePasswordRecovery1110ProactiveSystemPasswordRecovery1110ProactivePasswordAuditorupto100

accountsupto500

accountsElcomsoftDistributedPasswordRecoveryupto100

clientsupto500

clientsElcomsoftSystemRecovery1(Std)1(Pro)1(Pro)結(jié)構(gòu)化數(shù)據(jù)的解碼數(shù)據(jù)的分析i2全新的可視化分析調(diào)查功能，使情報(bào)分析人員能快速掌握相關(guān)信息，也為預(yù)防和打擊犯罪提供及時(shí)支持，讓情報(bào)分析更兼具時(shí)效性與準(zhǔn)確性。主要應(yīng)用于刑案分析，由于所涉及到的信息比較分散，而且通常以人工分析為主，加上分析過(guò)程的非結(jié)構(gòu)性和不確定性，所以不易形成固定的分析流程或模式，調(diào)查取證中的信息也很難進(jìn)入警調(diào)現(xiàn)有的系統(tǒng)中。借助功能強(qiáng)大的Analyst’sNotebook可輔助人工操作將數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，并做出完整的分析圖表。圖表中包含所有案件的相關(guān)信息，也完整展示案件分析的過(guò)程和證據(jù)鏈，同時(shí)，這些分析圖表也可透過(guò)免費(fèi)的ChartReader作為辦案人員交流信息的媒介。i2的強(qiáng)大功能包括：自動(dòng)展現(xiàn)：無(wú)論檔案數(shù)據(jù)是text、xml、excel或來(lái)自業(yè)務(wù)數(shù)據(jù)庫(kù)等，用戶均可運(yùn)用建立模型的方式，將數(shù)據(jù)進(jìn)行完全自動(dòng)的可視化呈現(xiàn)。表格分析：運(yùn)用數(shù)據(jù)表格的方式對(duì)圖表中的對(duì)象（實(shí)體、連結(jié)、卡片等）進(jìn)行視覺(jué)搜尋、分類排序等。關(guān)聯(lián)分析：透過(guò)視覺(jué)搜尋（VisualSearch）、尋找連結(jié)項(xiàng)目（FindLink）、尋找路徑（FindPath）等方法，發(fā)現(xiàn)不同實(shí)體彼此的關(guān)聯(lián)和隱藏的聯(lián)系，以建立完整的分析證據(jù)。網(wǎng)絡(luò)分析：透過(guò)各種圖表呈現(xiàn)網(wǎng)絡(luò)中的群組（例如電話記錄中的通信群組），可用的分析方式包括網(wǎng)絡(luò)圖、分組圖表、環(huán)狀圖、階級(jí)圖、時(shí)間序列圖等。時(shí)序分析：在調(diào)查分析中導(dǎo)入時(shí)間緯度，按照時(shí)間序列呈現(xiàn)事件發(fā)展的完整過(guò)程，進(jìn)而發(fā)現(xiàn)規(guī)律性，并預(yù)測(cè)未來(lái)趨勢(shì)?？臻g分析：在調(diào)查分析中導(dǎo)入空間向度，結(jié)合事件圖表中涉及的實(shí)體、關(guān)聯(lián)和位置等信息，可說(shuō)明地理空間的關(guān)聯(lián)性。群集分析：在圖表中發(fā)現(xiàn)隱含的群集（例如在某時(shí)段內(nèi)多次乘坐相同航班的群組），而用戶可以自行定義群組的條件和連結(jié)強(qiáng)度等。程序功能的黑盒分析程序功能的靜態(tài)分析:IDAPRO（專業(yè)版+反編譯）IDAPro是目前最棒的一個(gè)靜態(tài)反編譯軟件，是破解者不可缺少的利器!巨酷的反編譯軟件，破解高手們幾乎都喜歡用這個(gè)軟件。IDAPro并不自動(dòng)的解決程序中的問(wèn)題，IDAPro會(huì)按時(shí)您指令的可疑之處，并不去解決這些問(wèn)題。您的工作是通知IDA怎樣去做。IDAProDisassemblerandDebugger是一款交互式的，可編程的，可擴(kuò)展的，多處理器的，Windows或Linux平臺(tái)主機(jī)分析程序。被公認(rèn)為最好的花錢(qián)可以買(mǎi)到的反匯編利器，IDAPro已經(jīng)成為事實(shí)上的分析敵意代碼的標(biāo)準(zhǔn)并讓其自身迅速成為攻擊研究領(lǐng)域的重要工具。它的優(yōu)點(diǎn)是可以更好的反匯編和更有深層分析?？梢钥焖俚竭_(dá)指定的代碼位置；可以看到跳到指定的位置的jmp的命令位置；可以看參考字符串；可以保存靜態(tài)匯編等。有害程序搜索軟件SafeAnalyzer實(shí)現(xiàn)對(duì)有害程序的搜索,詳細(xì)見(jiàn)SafeAnalyzer的功能介紹。實(shí)驗(yàn)室環(huán)境條件基礎(chǔ)環(huán)境和設(shè)備條件靜電檢查設(shè)備辦公基礎(chǔ)裝備光盤(pán)打印機(jī)碎紙機(jī)擦除軟件數(shù)據(jù)發(fā)現(xiàn)提取固定基礎(chǔ)條件證據(jù)數(shù)據(jù)存儲(chǔ)設(shè)備對(duì)于二級(jí)和三級(jí)實(shí)驗(yàn)室可以配備2個(gè)1T的移動(dòng)存儲(chǔ)硬盤(pán)，實(shí)現(xiàn)對(duì)證據(jù)的存儲(chǔ)。對(duì)國(guó)家級(jí)和一級(jí)實(shí)驗(yàn)室可以采用戴爾AX4-5實(shí)現(xiàn)證據(jù)存儲(chǔ)：AX4-5，雙控制器1G緩存，4個(gè)FC4主機(jī)接口，每擴(kuò)展單元12塊硬盤(pán)，支持60塊硬盤(pán)，9TB，單盤(pán)容量300GB15KSAS，30塊硬盤(pán)，支持快照。戴爾AX4-5其它特性包括：1.卓越的數(shù)據(jù)有效性及可靠性：在發(fā)生重大故障時(shí)，戴爾AX4-5的控制器通過(guò)連續(xù)的后臺(tái)磁盤(pán)一致性檢查、鏡像緩存以及緩存降級(jí)，提供端到端的數(shù)據(jù)完整性。數(shù)據(jù)在控制器、硬盤(pán)以及數(shù)據(jù)傳輸路徑中均能夠得到妥善的保護(hù)。2.簡(jiǎn)便的部署及先進(jìn)的管理：戴爾AX4-5裝有EMC的Navisphere?Express，一種可以簡(jiǎn)化安裝及操作的直觀用戶界面。AX4-5承襲了過(guò)去僅在更高端的Dell/EMCCX3存儲(chǔ)陣列上提供的許多優(yōu)秀的軟件功能?？蛻艨梢酝ㄟ^(guò)一個(gè)控制臺(tái)對(duì)多種EMC陣列及可選的數(shù)據(jù)復(fù)制和遷移工具進(jìn)行管理。3.彈性架構(gòu)：戴爾AX4-5通過(guò)5組機(jī)架能夠最多容納60塊硬盤(pán)，支持多達(dá)64個(gè)主機(jī)，能夠滿足未來(lái)數(shù)據(jù)增長(zhǎng)的需求。利用簡(jiǎn)化的向?qū)焦芾?，客戶能夠在?shù)秒內(nèi)分配更多的存儲(chǔ)空間。4.靈活性及硬盤(pán)選擇：戴爾AX4-5iSCSI陣列可以支持高性價(jià)比的IP網(wǎng)絡(luò)，并且可以通過(guò)高性能的4Gb/s接口支持光纖陣列。AX4-5同樣可以輕松整合高性能的SAS硬盤(pán)與大容量的SATA硬盤(pán)。物證存儲(chǔ)柜物證室放置2排2聯(lián)手動(dòng)密集柜。密集柜采用優(yōu)質(zhì)冷軋鋼板模壓成型，表面經(jīng)去油--除銹--表調(diào)--磷化--清洗--鈍化等十道工序加工而成。國(guó)際最新流行色亞光靜電噴粉，高溫塑化而成，防銹蝕性能卓越，架體之間的接觸面配有緩沖，磁性密封條，頂部有防塵板，底部有防鼠裝置。每列架體設(shè)有安全限位制動(dòng)裝置及防傾倒裝置。邊架裝有鎖具，用于整體鎖閉。傳動(dòng)機(jī)構(gòu)通過(guò)精加工處理，使用精密軸承，傳動(dòng)靈活平穩(wěn)。層板間距根據(jù)需要可自由調(diào)節(jié)。物證室的效果圖如下：本地?cái)?shù)字化設(shè)備檢驗(yàn)專用主機(jī)（取證分析工作站SFP-101） SFP-101專為小型實(shí)驗(yàn)室設(shè)計(jì)，能夠完成常規(guī)的鑒定任務(wù)。平臺(tái)內(nèi)集成了高速的存儲(chǔ)介質(zhì)只讀接口，比常見(jiàn)的外接式只讀接口速度提升一倍，解決了外接接口使用時(shí)接線煩亂的困擾。 平臺(tái)預(yù)裝的操作系統(tǒng)已經(jīng)為鑒定工作調(diào)整到最佳狀態(tài)，無(wú)需擔(dān)心因?yàn)椴僮飨到y(tǒng)的問(wèn)題干擾鑒定工作。能夠高效的完成各種存儲(chǔ)介質(zhì)的獲取工作，并可以對(duì)象系統(tǒng)進(jìn)行勘察取證。為取證分析定制的盤(pán)石SFP-101取證分析平臺(tái)可以完全滿足需求，SFP-101平臺(tái)的主要硬件配置如下：Intel架構(gòu)主板Intel酷睿2雙核CPU8600GT獨(dú)立顯卡160GBSATAII系統(tǒng)硬盤(pán)1TBSATAII數(shù)據(jù)存儲(chǔ)支持SATAII高速硬盤(pán)千兆網(wǎng)絡(luò)接口內(nèi)建高速USB2.0接口、1394A接口、eSATA接口內(nèi)建多合一讀卡器內(nèi)建司法鑒定專用存儲(chǔ)介質(zhì)只讀接口，支持IDE、SATA、SCSI和USB設(shè)備20寸寬屏液晶顯示器，1680×1050預(yù)裝WindowsXP及取證相關(guān)工具（可選）、2009版內(nèi)置SAS硬件只讀接口為符合取證的需要，要求可以獲取各類平臺(tái)和系統(tǒng)的存儲(chǔ)介質(zhì)和架構(gòu)。遠(yuǎn)程數(shù)字化設(shè)備檢驗(yàn)專用主機(jī)高性能專用電腦物證封存袋、封存條程序功能檢驗(yàn)基礎(chǔ)條件高性能專用電腦實(shí)驗(yàn)室管理?xiàng)l件由公安部十一局統(tǒng)一開(kāi)發(fā)后配發(fā)。實(shí)驗(yàn)室附屬設(shè)施將按照實(shí)驗(yàn)室的布局和實(shí)際要求進(jìn)行裝修和配置。項(xiàng)目實(shí)施概況鑒定實(shí)驗(yàn)室的項(xiàng)目建設(shè)