信息犯罪与电子取证:取证大师
2021-11-04
来源:计算机与网络安全
取证大师(Forensics Master)是国内计算机取证领域上市企业厦门市美亚柏科信息股份有限公司自主研发的一款综合计算机取证拳头产品。美亚柏科在国内率先提出自动取证、并行取证理念,并迅速将多年的一线实战经验与多个取证技术理念融合,研发出专业性强且容易操作的计算机取证分析软件“取证大师”。
取证大师提供电子数据证据固定、分析、报告生成等取证功能,该软件可独立使用,也内嵌于多种综合取证设备(如取证魔方、取证塔等),可应用于现场勘验及计算机取证实验室的检验鉴定等不同应用场景。
取证大师广泛应用在公安机关、司法机关、行政执法单位、电子数据司法鉴定中心以及国内大中型企业,目前已超过15000名取证人员在使用该工具。取证大师分为专业版、教育版以及实验室版(“取证金刚”分布式取证系统),已成为中国最具有代表性的计算机取证工具,并已走向国际化,在东南亚、欧洲等多个国家执法部门已得到应用。
(1)案例管理及设备添加
① 启动取证大师,选择“新建案例”,填写案件相关信息并选择相关选项。
② 取证大师自动弹出“添加设备”窗口,选择“磁盘镜像”,选择证据文件的正确位置。
③ 取证大师自动弹出“自动取证”窗口,选择微软的Windows图标,然后选择要分析的项目及相关参数设置。如图1所示。
图1 取证大师自动取证窗口
④ 取证结果分析
取证大师自动将取证分析结果集成汇聚到一个名为“取证结果”的标签页。调查员可方便地查看分析的结果内容,包括系统痕迹、用户痕迹、上网记录、即时通信、解析网络软件分析、反取证软件、文件分析、下载工具分析、日志分析、输入法、密码/密钥检索等。如图2所示。
图2 取证大师取证结果分析窗口
(2)文件快速查找
① 选择取证大师软件窗口上方的“文件过滤”按钮,可以根据预定义的文件类型,也可以直接输入文件名称或扩展名进行文件查找。
② 通过取证大师菜单中【设置】|【搜索关键词】,输入要搜索的关键词的名称及搜索词,同时选择常用的编码。不同软件在生成文件时,可能会对中文文字进行不同编码,简体中文常用的编码为GB2312、Unicode和UTF-8。在电子邮件取证过程中,有时需要搜索未分配簇中残留的邮件片段,则还可以勾选区分大小写,然后选择【Base64】和【Quoted-Printable】,取证大师将自动生成多个电子邮件编码十六进制,可直接进行搜索。如图3所示。
图3 取证大师文件快速查找窗口
③ 取证大师也支持正则表达式(GREP语法)进行关键词的模糊搜索,默认该软件已内置多个常用GREP语法搜索表达式,支持搜索手机号码、身份证号、银行卡号、护照、电子邮件地址、IP地址等。如图4所示。
图4 取证大师正则表达式(关键词模糊搜索)窗口
(3)数据恢复
取证大师具备国际上主流计算机取证软件的所有数据恢复功能,包括对删除文件恢复、分区恢复、格式化恢复、签名恢复、RAID阵列重组等功能。以下主要对其中的分区恢复、格式化恢复、签名恢复做简要介绍。
① 分区恢复
分区恢复是取证大师数据恢复重要功能之一,通过该功能,对于用户手工删除的分区,可以有效快速地恢复,无需复杂操作。
② 格式化恢复
取证大师支持对格式化的分区进行数据恢复,其恢复原理是基于文件系统元数据特性的文件搜索定位,目前支持FAT、NTFS以及exFAT等文件系统。以NTFS为例,NTFS分区被格式化后,虽然文件系统已经重建,$MFT等文件已经清空,然而原有的$MFT记录大部分还可以从未分配空间中恢复出来,其头部特征为FILE,取证大师通过解析未被覆盖的$MFT记录,将所有丢失的文件全部恢复出来。如图5所示。
图5 取证大师数据恢复(格式化恢复)窗口
③ 签名恢复
签名恢复是计算机取证中常用的一种数据恢复方法。在文件系统被破坏后,文件系统的元数据信息丢失,无法通过从未分配簇中搜索$MFT记录或目录项找到文件的元数据信息,因此软件无法定位已删除或丢失文件的位置。唯一的办法就是根据各类文件自身的文件头部及尾部特征(常称为文件签名)进行搜索,定位到文件头部后,将文件数据内容导出。部分文件的文件头之后还有描述文件大小的标志位,因此可以借助该信息来精确恢复文件数据。目前,取证大师、EnCase、X-Ways Forensic及WinHex均具备这种精确恢复的能力。
取证大师签名恢复界面带有绿色图标的类型均属于可以通过文件头部判断文件大小,实现精确恢复文件原始数据内容。如图6所示。
图6 取证大师数据恢复(签名恢复)窗口