SafeImager 网络版 现场取证分布型系统的部署图

 

一台专用取证设备作为管理服务器,在现场的同一局域网络中,快速的获取多台现场证据设备的证据信息,可以同时获取的设备数量几乎没有限制。

在当今计算机使用如此普及的年代,犯罪分子的犯案手段更加数字化。由于数字信息留下的证据很难被捕捉到,通过计算机来犯案的例子越来越多,就使得计算机现场取证愈加重要。

调查过程中,传统的方法是现场调查人员直接关闭计算机,然后取得系统硬盘的按位镜像。该方法在很多实际的调查过程中不再适用,很多案件中,最佳的证据和信息源存在于计算机内存中(网络连接、及时聊天客户端的内容、即时聊天进程的内存数据等),因为一些即时聊天程序客户端并不自动保存聊天记录信息,在进入传统的计算机取证调查过程(例如,镜像)之前,需要收集一些系统的在线信息,在线信息的最大特征是易变,即:在关掉电源之后,在线信息会消失;在线信息通常存在于物理内存—RAM中,包括进程、网络连接、剪贴板数据等,这些信息描述了调查员到达现场、站在计算机之前时系统的状态,作为调查人员,需要做的就是快速获取并分析这些数据,对事件的特性和范围作出判断,当系统电源关闭、准备镜像时,在线信息就再也没有了。基于此盘石公司在原有现场取证产品SafeImage Pro版本的基础上,增强开发了分布式现场取证版本,即:现场取证系统(网络版)。

现场取证系统(网络版)提取系统的在线信息,提供了系统状态更好的总体描述,访问系统并收集易变(或者非易变)信息,尽可能的对当时当地的计算机系统取证,以更快速度查清事情真相。

盘石计算机现场取证系统(网络版)是现场取证系统的全新版本,其特性处理包含SafeImager现场取证系统的功能以外,还具有如下功能:

  • 可以快速将程序制作进U盘或光盘里,部署到多台机器,通过中心控制台对多台联网机器进行统一取证和分析,而不用到每台机器单独取证分析(分布式);
  • 对现场关机的系统,可以在不启动原有系统的条件下,通过启动该软件获取证据(离线式);
  • 对目标机器上的静态证据都不在目标机器上解析,而是集中到中心控制台解析以减少对在目标机器上的运行时间。(快速方式)
  • 不仅能够满足单机现场获取的所有能力,也更好的满足了现场有大量设备的场景,快速的批量取证能力。
  • 实现对象计算机的硬盘数据镜像,生成复制盘,同时生成数字摘要。复制盘和原始盘具有完全一致的数据。对复制盘的数据分析,具有和对原始盘数据分析同样的效果。通过启动复制盘,模拟对象计算机本地环境。
  • 硬盘复制,包括硬盘克隆、DD镜像文件和AFF镜像文件的制作。实现对象计算机的硬盘和分区数据镜像,生成DD格式、AFF格式的镜像文件,同时生成数字摘要。。DD格式的镜像文件具有和硬盘一样的结构,是对硬盘数据的按位复制,保证数据一致性,是目前法律上认可的数据镜像格式。AFF是高级取证格式,用来保存磁盘镜像信息和相关取证信息的可扩展的开放格式。使用DD格式、AFF格式的镜像文件,可以在各种取证系统中(SafeAnalyzer、 Encase、FTK等)直接加载和分析。
  • 多台证据设备数据合并功能,能够将单机版的多个案件合并为一个案件进行综合分析,有效增强了大量证据数据综合分析和全面分析能力。
  • 增加了对案件数据的分析包含对上网日志,注册表,事件日志,邮件,及时通讯,下载软件,查看日志(记录操作步骤),生成报告(据书签中的内容自动生成的),基本信息和时间线等的分析。
  • 提取系统动态信息(包括进程信息, 登录用户, 网络连接,网络端口, 网络接口, 剪贴板, 路由信息, 进程依赖模块, 网络文件, 网络协议统计, 登录会话, 服务信息, 网络共享资源, ARP信息, 网络会话信息, NETBIOS统计信息, 网络活动连接, 混杂模式端口, 当前打开的文件列表,和计划任务信息);
  • 提取密码信息(包括SAM哈希和火狐浏览器密码);提取相关文件信息(包括浏览器信息, 及时通讯软件文件, 注册表文件, 密码文件, 事件日志信息和邮件文件);提取用户所需文件;
  • 实现对象计算机中的硬盘和分区进行数字摘要计算,文件的数字摘要类似于人的指纹,只有内容完全相同的文件具有相同的数字摘要,便于验证。
  • 实现对象计算机中的特定目录或者文件进行复制。可以选择过滤复制。在复制的同时可以生成每一个文件的数字摘要。

系统组成部分——控制端和取证端

  • 控制端:是对许可和案件的管理,可以生成U盘许可及回收、刻录光盘、案件合并及分析、分布式取证控制。
  • 取证端:对目标计算机进行证据提取

主要有两种工作方式——在线和离线

  • 在线取证:是目标计算机处于开机状态,运行现场取证系统提取在线信息,提供了系统状态更好的总体描述,这就是“现场取证”的重要性:访问系统并收集易变(或者非易变)信息,尽可能的对当时当地的计算机系统取证,以更快速度查清事情真相。
  • 离线取证:是目标计算机处于关机状态,运行现场取证系统提取证据。

提供两种取证方式——单机取证和分布式取证

  • 单机取证:只能一次提取一台计算机的证据;一些只有一台计算机牵涉其中的案件,我们提供了单机取证。直接在一台计算机上运行现场取证系统,然后通过新建案件记录案件的一些基本信息,再对目标计算机进行一些操作,提取里面的信息。
  • 分布式取证:可以对同一网段多台电脑同时进行操作,可以同时提取多台计算机的证据。对一些在一个网段内有多台计算机牵涉其中的案件进行网络取证。是在每个对象计算机上运行现场取证系统,再由自己的计算机(必须在同一网段)启动管理台来控制各个对象计算机,通过新建案件,添加要取证的机器,再对目标计算机进行一些操作,提取里面的信息。

案件查看器

  • 随着SafeImager现场取证系统的应用,从现场取回越来越多的数据需要分析。而网络版需要管理的数据量也越来越大。计算机现场取证管理软件是专门收集获取的数据并对这些数据进行分析。

 

产品特性

  • 支持Windows XP和Windows 7系统
  • 自动生成启动光盘或U盘
  • 不拆机箱的数据获取
  • 光盘启动/程序直接运行
  • 在不拆机箱的情况下对证据计算机的证据硬盘进行数据获取,可以获取包括整个硬盘、分区、目录和文件等各个级别的数据。
  • 在线获取支持获取系统运行信息、内存和常见应用程序密码。
  • 支持基于IA32架构的笔记本、PC和服务器
  • 支持IDE、SATA、SCSI、RAID等各种硬盘和数据架构
  • 支持Dos/Windows文件系统,包括:FAT、FAT32、NTFS
  • 支持常见的其它文件系统,包括:EXT2/3/4、UFS、XFS、HFS、JFS、MINIX、HPFS等
  • 使用USB 2.0/1394A/1394B接口,数据获取速率最高可以达到2.5GB/分钟
  • 获取的数据可以使用SafeAnalyzer、Linux、WinHEX、Encase、FinalData、FTK等各种取证工具进行分析
  • 规范化操作
  • 现在的所有操作进行日志记录
  • 对证据数据进行完整性保护,不破坏现场数据
  • 在数据复制的同时生成MD5或SHA256哈希,便于事后校验
  • 简单易用
  • 所有操作采用图形化的向导界面
  • 操作过程动态显示,获取过程一目了然
  • 提供快速操作,简化现场工作
Copyright © 2002-2017 - 盘石软件(上海)有限公司 版权所有 沪ICP备11022836
返回顶部