電子數(shù)據(jù)取證勘查調(diào)研綜述

張鶴

摘要：由于互聯(lián)網(wǎng)的發(fā)展與新型智能終端的不斷涌現(xiàn)和普及，智能終端在犯罪活動(dòng)中被頻繁使用。在公安機(jī)關(guān)在打擊犯罪一線實(shí)戰(zhàn)中，涉案新型智能終端中的數(shù)據(jù)已成為重要的破案線索和證據(jù)來(lái)源，因此電子數(shù)據(jù)取證技術(shù)的作用愈加重要?，F(xiàn)有的電子數(shù)據(jù)取證技術(shù)及裝備仍面臨著幾方面的問(wèn)題，包括：難以適應(yīng)新型智能設(shè)備及應(yīng)用的快速發(fā)展、無(wú)法對(duì)云環(huán)境下電子數(shù)據(jù)進(jìn)行取證分析、對(duì)新設(shè)備、新環(huán)境支持驗(yàn)證不足的問(wèn)題，使得現(xiàn)有技術(shù)裝備無(wú)法很好地滿足打擊犯罪工作的需要。該文詳細(xì)分析對(duì)比國(guó)內(nèi)外主流的電子數(shù)據(jù)取證技術(shù)及裝備的主要特點(diǎn)、優(yōu)勢(shì)與應(yīng)用情況，并立足于案件一線的應(yīng)用，給出電子數(shù)據(jù)取證目前需應(yīng)對(duì)的挑戰(zhàn)與未來(lái)的研究重點(diǎn)。

關(guān)鍵詞：犯罪活動(dòng);電子數(shù)據(jù);取證鑒定;勘查

中圖分類(lèi)號(hào)：TP393 ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）28-0034-05

Abstract： Due to the development of the Internet and the emergence and popularity of new intelligent terminals， intelligent terminals are frequently used in terrorism activities. In the actual combat of terrorism in the public security organs， the data in the new intelligent terminals involved has become an important source of clues and evidence， so the role of electronic data forensics technology is increasingly important. The existing electronic data forensics technology and equipment still face several problems， including： difficulty in adapting to the rapid development of new intelligent devices and applications， forensic analysis of electronic data in cloud environments， and insufficient support for new devices and new environments. The problem is that the existing technology equipment can not meet the needs of anti-terrorism work well. This paper analyzes in detail the main characteristics， advantages and applications of the mainstream electronic data forensics technology and equipment at home and abroad， and based on the application of the first-line terrorism-related cases， and gives the challenges and future research priorities for electronic data forensics.

Key words：terrorism activities; electronic data;forensics technology;investigation

1引言

隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)、新型智能終端設(shè)備、應(yīng)用的快速發(fā)展，公安機(jī)關(guān)一線實(shí)戰(zhàn)工作中，包括在犯罪案件，涉案新型智能終端中的數(shù)據(jù)已成為重要的破案線索和證據(jù)來(lái)源[1-8]。電子數(shù)據(jù)取證技術(shù)發(fā)揮了至關(guān)重要的作用，同時(shí)，電子數(shù)據(jù)取證相關(guān)設(shè)備也隨之發(fā)展起來(lái)[9]。

目前，公安機(jī)關(guān)配備的電子數(shù)據(jù)取證勘查裝備主要針對(duì)涉案計(jì)算機(jī)設(shè)備、存儲(chǔ)設(shè)備及智能終端進(jìn)行電子數(shù)據(jù)取證分析。設(shè)備具備較強(qiáng)的計(jì)算能力，可獨(dú)立在現(xiàn)場(chǎng)展開(kāi)勘查取證工作，但現(xiàn)有裝備也存在諸多挑戰(zhàn)，主要體現(xiàn)在：隨著新型設(shè)備和云計(jì)算的飛速發(fā)展，現(xiàn)有的取證技術(shù)裝備難以適應(yīng)新型智能設(shè)備及應(yīng)用的快速發(fā)展;無(wú)法對(duì)云環(huán)境下電子數(shù)據(jù)進(jìn)行取證分析;對(duì)新設(shè)備、新環(huán)境支持驗(yàn)證不足的問(wèn)題，使得現(xiàn)有技術(shù)裝備無(wú)法滿足打擊犯罪工作的需要[10-14]。

上述不足使得現(xiàn)有裝備難以滿足打擊犯罪處突事件現(xiàn)場(chǎng)對(duì)智能終端、計(jì)算機(jī)系統(tǒng)和多類(lèi)別存儲(chǔ)設(shè)備進(jìn)行高效取證勘驗(yàn)的工作需求。針對(duì)打擊犯罪處突現(xiàn)場(chǎng)的實(shí)戰(zhàn)業(yè)務(wù)需求，研制的裝備為便攜、高效、多功能的電子數(shù)據(jù)現(xiàn)場(chǎng)取證分析裝備。支持公安機(jī)關(guān)在打擊犯罪現(xiàn)場(chǎng)和案件、事件現(xiàn)場(chǎng)對(duì)智能終端、計(jì)算機(jī)系統(tǒng)的全方位電子數(shù)據(jù)取證分析。

2國(guó)內(nèi)外電子數(shù)據(jù)取證裝備研究現(xiàn)狀

2.1國(guó)外同類(lèi)武器裝備或主流技術(shù)現(xiàn)狀及發(fā)展趨勢(shì)分析

國(guó)外同類(lèi)武器裝備或主流技術(shù)的概況如表1所示，以下對(duì)各個(gè)技術(shù)進(jìn)行具體的分析。

2.1.1 Cellbrite UFED

Cellebrite公司的UFED Touch 高級(jí)版[15]是新一代、高性能的手機(jī)司法取證解決方案。通過(guò)直觀的用戶操作界面和簡(jiǎn)單易用的觸摸屏，UFED Touch高級(jí)版支持對(duì)各種品牌、型號(hào)的手機(jī)、GPS和移動(dòng)設(shè)備進(jìn)行物理鏡像獲取、邏輯提取和文件系統(tǒng)獲取，包括已經(jīng)刪除的數(shù)據(jù)和密碼。

主要特點(diǎn)：

（1）完整獲取已經(jīng)存在的、隱藏的和刪除的數(shù)據(jù)：如通話記錄、短消息、聯(lián)系人、日歷、郵件、多媒體文件、物理位置信息、密碼、位置信息（如Wi-Fi、手機(jī)基站以及導(dǎo)航程序等）和 GPS信息等。

（2）高級(jí)搜索。支持文本搜索和特定參數(shù)搜索。

（3）時(shí)間線分析。按時(shí)間順利展示所有手機(jī)行為。

（4）查看列表。支持按照提前設(shè)定的條件查看重點(diǎn)信息。

（5）圖片挖掘。支持從手機(jī)鏡像和碎片中恢復(fù)已經(jīng)刪除的圖片文件。

（6）按用戶要求定制生成報(bào)告，支持PDF、HTML、XML以及Excel等多種不同的報(bào)告格式。

（7）支持對(duì)SQLite數(shù)據(jù)庫(kù)文件中的數(shù)據(jù)進(jìn)行查看、搜索和導(dǎo)出（包括已經(jīng)刪除的數(shù)據(jù)）。

主要優(yōu)勢(shì)：

（1）獨(dú)有的手機(jī)鏡像獲取和數(shù)據(jù)解析功能，支持對(duì)BlackBerry所有操作系統(tǒng)〔4、5、6和7〕的實(shí)時(shí)解密和解析。

（2）支持對(duì)ios各版本系統(tǒng)的用戶密碼獲取，兼容越獄和非越獄各版本系統(tǒng)。

（3）支持繞過(guò)各種版本安卓系統(tǒng)的PIN碼、圖形密碼和數(shù)字密碼。

（4）支持對(duì)NOKIABB5手機(jī)物理鏡像獲取。

（5）為中國(guó)山寨手機(jī)提供了最強(qiáng)大的解決方案。

（6）獨(dú)家支持TomTomR和其他GPS導(dǎo)航設(shè)備的路徑信息獲取。

（7）完整獲取已經(jīng)存在的、隱藏的和刪除的數(shù)據(jù)：如通話記錄、短消息、聯(lián)系人、日歷、郵件、多媒體文件、物理位置信息、密碼、位置信息（如Wi-Fi、手機(jī)基站以及導(dǎo)航程序等）和GPS信息等。

應(yīng)用情況：

Cellebrite的UFED手機(jī)取證設(shè)備能夠讓執(zhí)法機(jī)關(guān)、打擊犯罪與安全單位從普通手機(jī)、智能手機(jī)和個(gè)人數(shù)據(jù)助理獲取重要的司法證據(jù)，目前除了美國(guó)的中央情報(bào)機(jī)構(gòu)外全美的警局也基本在使用該工具。該工具如圖1所示。

案例：

2012 年的時(shí)候，英國(guó)警員曾經(jīng)請(qǐng)求Cellebrite幫忙，恢復(fù)了一支 iPhone 3GS 上被刪除的資料。

2013 年，F(xiàn)BI 和Cellebrite簽訂合約，確定后者為指定的手機(jī)破解服務(wù)合作伙伴。

2.1.2 Secure View

SecureView4移動(dòng)手機(jī)取證包[16]是美國(guó)Susteen公司最新研制的電子物證取證工具包產(chǎn)品。整套產(chǎn)品由SecureView4 取證軟件、完整的數(shù)據(jù)線包、加固手提箱三個(gè)部分組成。

SecureView4擁有獨(dú)家開(kāi)發(fā)的svProbe嵌入式分析功能。svProbe是一個(gè)包含案例文件創(chuàng)建和書(shū)簽功能的獨(dú)有程序，與我們現(xiàn)有的分析工具結(jié)合之后，便能在一個(gè)完整的軟件包里完成全部數(shù)據(jù)處理工作流程。它是手機(jī)取證市場(chǎng)上唯一能提供3個(gè)具體調(diào)查流程的產(chǎn)品，這三個(gè)流程分別是：獲取、分析（處理）和報(bào)告

主要特點(diǎn)與優(yōu)勢(shì)：

（1）功能強(qiáng)大：包括：搜索、時(shí)間軸、順序表、關(guān)聯(lián)圖、圖庫(kù)、活動(dòng)統(tǒng)計(jì)圖、網(wǎng)絡(luò)行為等。

（2）平臺(tái)簡(jiǎn)單易用：流線型的數(shù)據(jù)采集形式，將使用時(shí)的準(zhǔn)確度最大化，提高獲取成功率。

（3）高端軍警裝備級(jí)別：Secure View軟件解決方案可作為軍事、政府和執(zhí)法機(jī)構(gòu)的基本取證工具，幫助這些機(jī)構(gòu)實(shí)現(xiàn)移動(dòng)設(shè)備調(diào)查的高效性和徹底性。

（4）多種報(bào)告選項(xiàng)：擁有獨(dú)家svProbe分析工具。

（5）是一款強(qiáng)大的個(gè)案管理工具。

（6）具備審計(jì)跟蹤功能。

（7）WHQL驅(qū)動(dòng)程序（經(jīng)Microsoft測(cè)試和認(rèn)證）。

應(yīng)用情況：

SecureView4目前可支持10000多種不同功能的手機(jī)，可獲取聯(lián)系人信息、通話記錄、短信、彩信、日歷以及其他類(lèi)型的數(shù)據(jù)。SecureView 4是一款手機(jī)取證產(chǎn)品中功能更加齊全的首選工具。該工具如圖2所示。

2.2國(guó)內(nèi)同類(lèi)武器裝備或主流技術(shù)現(xiàn)狀及發(fā)展趨勢(shì)分析

國(guó)內(nèi)電子數(shù)據(jù)取證技術(shù)及主流技術(shù)概述如表2所示。以下對(duì)各裝備及技術(shù)展開(kāi)分析。

2.2.1 DC-8811取證魔方

DC-8811 取證魔方.V3具備全面勘查取證能力的便攜式裝備，標(biāo)配萬(wàn)兆網(wǎng)卡，可以快速完成現(xiàn)場(chǎng)計(jì)算機(jī)、手機(jī)、視頻的快速勘查，還可對(duì)接大屏或投影儀應(yīng)用于實(shí)驗(yàn)室的固定、分析、仿真等取證分析工作。產(chǎn)品引入智能取證模式，可在接入存儲(chǔ)介質(zhì)后一鍵完成日常取證工作。

特點(diǎn)與優(yōu)勢(shì)：

（1）支持對(duì)Windows 系統(tǒng)（最新支持Win8） 進(jìn)行仿真取證。

（2）支持對(duì)MAC OS X ?（最新支持10.8） 進(jìn)行仿真取證。

（3）支持對(duì)Linux ?（最新支持Ubuntu 13.10） 進(jìn)行仿真取證。

（4）配置取證大師最新版本，支持更全面，更智能的取證分析功能。

（5）配置 Intel i7 ?四核八線程CPU，配置16G內(nèi)存容量，配置lT容量硬盤(pán)。

（6）配置 USB3.0只讀接口，支持對(duì) USB3.0設(shè)備進(jìn)行高速?gòu)?fù)制。

（7）硬盤(pán)復(fù)制速度最高可達(dá) 27GB/min。

應(yīng)用情況：

國(guó)內(nèi)主要省級(jí)、地市級(jí)公安單位、檢察院、監(jiān)察委、工商、稅務(wù)、海關(guān)、證監(jiān)和政府等司法機(jī)關(guān)及行政執(zhí)法部門(mén)。該裝備如圖3所示。

2.2.2 RH-6900手機(jī)取證分析儀

RH-6900除了可應(yīng)用于新型智能手機(jī)的取證，還可以應(yīng)用于國(guó)產(chǎn)非智能手機(jī)的取證分析。

系統(tǒng)可全面提取移動(dòng)終端的已刪除、未刪除數(shù)據(jù)，并進(jìn)行綜合性的取證數(shù)據(jù)分析。同時(shí)，系統(tǒng)可繞過(guò)手機(jī)權(quán)限，達(dá)到破解、取證、分析的全流程。

特點(diǎn)與優(yōu)勢(shì)：

（1）針對(duì)硬件狀態(tài)正常的手機(jī)，可采取免拆機(jī)、數(shù)據(jù)線連接直接提取的數(shù)據(jù)提取方式。

（2）針對(duì)智能手機(jī)，在手機(jī)無(wú)法開(kāi)機(jī)、無(wú)法通過(guò)手機(jī)數(shù)據(jù)接口提取數(shù)據(jù)、甚至部分外圍硬件已損壞的情況下，可使用JTAG技術(shù)提取所需數(shù)據(jù)。

（3）針對(duì)傳統(tǒng)功能手機(jī)及部分早期智能手機(jī)，在手機(jī)屏幕、按鍵、數(shù)據(jù)接口甚至電路板大部分已損壞的情況下，可通過(guò)通用芯片提取技術(shù)提取所需數(shù)據(jù)。

（4）針對(duì)新型大容量智能手機(jī)，在手機(jī)屏幕、按鍵、數(shù)據(jù)接口甚至電路板大部分已損壞的情況下，可通過(guò)EMMC芯片提取技術(shù)提取所需數(shù)據(jù)。

（5）系統(tǒng)自帶的手機(jī)數(shù)據(jù)綜合分析軟件，可全面解析電話本、通訊錄、圖片、音視頻、QQ、微信等多種已刪除、未刪除數(shù)據(jù)。

該裝備如圖4所示。

3 現(xiàn)有裝備存在的主要問(wèn)題分析

新型智能設(shè)備和新型應(yīng)用的數(shù)據(jù)存儲(chǔ)模型、數(shù)據(jù)保護(hù)機(jī)制，重點(diǎn)突破在數(shù)據(jù)提取、破解還原、刪除數(shù)據(jù)恢復(fù)、應(yīng)用程序數(shù)據(jù)解析和關(guān)聯(lián)分析等方面關(guān)鍵技術(shù)瓶頸。

面向移動(dòng)智能終端的取證主要基于通過(guò)直接連接智能終端或者通過(guò)設(shè)備備份來(lái)提取數(shù)據(jù)。針對(duì)移動(dòng)智能終端設(shè)備的提權(quán)和鎖屏破解也有較多研究，但仍然無(wú)適用較廣的技術(shù)方案。針對(duì)智能終端操作系統(tǒng)的證據(jù)數(shù)據(jù)分析方面，已支持短信、通信錄等設(shè)備數(shù)據(jù)的取證分析，支持目前主流網(wǎng)絡(luò)如即時(shí)通訊、微博、電子郵件、瀏覽器、下載工具等應(yīng)用的取證分析，但是智能終端應(yīng)用程序種類(lèi)繁多、升級(jí)換代頻繁，需要持續(xù)緊跟其發(fā)展，研究主流、重點(diǎn)及犯罪類(lèi)應(yīng)用程序數(shù)據(jù)的取證分析技術(shù);刪除數(shù)據(jù)恢復(fù)功能方面，支持短信、通訊錄、通話記錄的刪除恢復(fù)以及即時(shí)通訊、電子郵件、瀏覽器記錄等網(wǎng)絡(luò)應(yīng)用的刪除恢復(fù);支持GPS軌跡信息、網(wǎng)絡(luò)連接信息的取證分析。

隨著移動(dòng)智能終端不斷地技術(shù)革新和App應(yīng)用普及，智能手機(jī)、無(wú)限終端等設(shè)備的功能和應(yīng)用不斷出新出奇，電子數(shù)據(jù)安全與備份也不斷地隨之變化。移動(dòng)智能終端目前逐漸加強(qiáng)了數(shù)據(jù)安全保護(hù)機(jī)制均比較復(fù)雜，如何繞過(guò)訪問(wèn)權(quán)限的限制直接進(jìn)行智能終端中的數(shù)據(jù)提取仍然是當(dāng)前取證工作的難題。

通過(guò)對(duì)公安機(jī)關(guān)裝備的取證設(shè)備實(shí)地調(diào)研和業(yè)務(wù)搜索，取證裝備在未來(lái)的發(fā)展趨勢(shì)主要包括技術(shù)的改進(jìn)和指標(biāo)的提升。技術(shù)改進(jìn)和指標(biāo)提升包括：

針對(duì)現(xiàn)場(chǎng)取證分析業(yè)務(wù)需求，從智能終端系統(tǒng)的存儲(chǔ)系統(tǒng)分析與提取技術(shù)、文件系統(tǒng)分析與文件提取技術(shù)和數(shù)字證據(jù)保全技術(shù)等方面展開(kāi)研究。

（1）移動(dòng)智能終端目前逐漸加強(qiáng)了數(shù)據(jù)安全保護(hù)機(jī)制均比較復(fù)雜，如何繞過(guò)訪問(wèn)權(quán)限的限制直接進(jìn)行智能終端中的數(shù)據(jù)提取是重要研究方向。

（2）智能終端設(shè)備具備自有獨(dú)特的操作系統(tǒng)，提供的接口和數(shù)據(jù)存儲(chǔ)方式都不一樣。需要分析研究其系統(tǒng)數(shù)據(jù)存儲(chǔ)機(jī)制、分析對(duì)應(yīng)文件系統(tǒng)結(jié)構(gòu)，研究掌握新型文件系統(tǒng)解析和刪除恢復(fù)，文件屬性（時(shí)間屬性、安全屬性）與文件內(nèi)容提取的技術(shù)方法。

（3）智能終端應(yīng)用程序種類(lèi)繁多、升級(jí)換代頻繁，需要持續(xù)緊跟其發(fā)展，研究主流、重點(diǎn)及犯罪類(lèi)應(yīng)用程序數(shù)據(jù)的取證分析技術(shù)。

（4）電子證據(jù)固定保全方面，研究支持多類(lèi)存儲(chǔ)接口的高速并行只讀復(fù)制，支持在不同的接口規(guī)格和尺寸之間實(shí)現(xiàn)轉(zhuǎn)換復(fù)制;具備良好的數(shù)據(jù)完整性校驗(yàn)。

（5）數(shù)據(jù)刪除恢復(fù)，通過(guò)全盤(pán)扇區(qū)掃描根據(jù)文件類(lèi)型格式識(shí)別被刪除文件，支持對(duì)被格式化或者文件系統(tǒng)扇區(qū)損壞的磁盤(pán)。

（6）對(duì)即時(shí)通訊、瀏覽器、郵箱、下載工具等主流網(wǎng)絡(luò)應(yīng)用程序數(shù)據(jù)的取證分析和刪除數(shù)據(jù)恢復(fù)。

（7）通過(guò)系統(tǒng)仿真模擬運(yùn)行，取證系統(tǒng)地動(dòng)態(tài)數(shù)據(jù)信息。

4 未來(lái)研究方向與技術(shù)難點(diǎn)

針對(duì)項(xiàng)目的目標(biāo)和主要任務(wù)，我們將從面向存儲(chǔ)介質(zhì)的取證技術(shù)和硬件裝備兩個(gè)方面展開(kāi)研究。

4.1面向存儲(chǔ)介質(zhì)的取證技術(shù)

4.1.1 存儲(chǔ)介質(zhì)多路只讀復(fù)制

數(shù)據(jù)存儲(chǔ)介質(zhì)多路只讀復(fù)制設(shè)備采用橫向多插槽方案設(shè)計(jì)，支持SATA、SAS、IDE、SCSI、存儲(chǔ)卡等多種接口。各種介質(zhì)插槽都預(yù)留只讀接口和讀寫(xiě)接口，存儲(chǔ)介質(zhì)從設(shè)備兩側(cè)接入，一側(cè)只讀。

上層取證分析軟件通過(guò)硬件設(shè)備驅(qū)動(dòng)程序訪問(wèn)和操作接口設(shè)備：支持?jǐn)?shù)據(jù)只讀讀取，同種數(shù)據(jù)介質(zhì)位對(duì)位復(fù)制;支持在不同的接口規(guī)格和尺寸之間實(shí)現(xiàn)轉(zhuǎn)換復(fù)制;支持多個(gè)設(shè)備對(duì)多個(gè)設(shè)備并行復(fù)制;支持1個(gè)設(shè)備對(duì)多個(gè)設(shè)備的冗余復(fù)制。

4.1.2 鏡像生成、數(shù)據(jù)保全、磁盤(pán)擦除

取證軟件可以將物理存儲(chǔ)設(shè)備數(shù)據(jù)以鏡像的方式保存的指定位置。數(shù)據(jù)讀取采用直接訪問(wèn)驅(qū)動(dòng)的方法，繞過(guò)文件系統(tǒng)，按照扇區(qū)讀取的方式復(fù)制整塊磁盤(pán)或分區(qū)，保證存儲(chǔ)設(shè)備數(shù)據(jù)的完整性。復(fù)制過(guò)程中能夠?qū)崟r(shí)顯示運(yùn)行狀態(tài)，包括讀取速度，任務(wù)進(jìn)度等。

鏡像提取完成后，能夠自動(dòng)生成鏡像的校驗(yàn)值，支持MD5、SHA-1、SHA-2等多種哈希值，保證鏡像數(shù)據(jù)不被修改。

磁盤(pán)擦除功能能夠?qū)鹘y(tǒng)硬盤(pán)和SSD磁盤(pán)進(jìn)行數(shù)據(jù)擦除，支持多次重復(fù)擦除，支持指定字符擦除功能，數(shù)據(jù)擦除功能同樣采用直接訪問(wèn)驅(qū)動(dòng)的方法訪問(wèn)扇區(qū)，從0扇區(qū)開(kāi)始進(jìn)行操作。

4.1.3 應(yīng)用程序分析

隨著科技信息的發(fā)展，應(yīng)用程序也在不斷新增，常用的應(yīng)用程序主要包括聊天軟件、瀏覽器、郵箱、下載工具等程序。

即時(shí)通訊聊天軟件主要針對(duì)QQ、skype、YY等即時(shí)聊天工具，針對(duì)QQ取證分析出QQ的聊天內(nèi)容的記錄文件以及好友關(guān)系文件。針對(duì)skype、yy能夠直接取證解析聊天信息和好友信息，并支持導(dǎo)出記錄，針對(duì)聊天內(nèi)容支持會(huì)話展示，能夠播放語(yǔ)音和視頻。

瀏覽器主要針對(duì)IE、Chrome、FireFox，查找瀏覽器數(shù)據(jù)的存放目錄，獲取用戶的收藏夾、歷史記錄、cookie信息、緩存文件、瀏覽圖片，獲取輸入控件中自動(dòng)保存的用戶名和密碼。分析出用戶的上網(wǎng)記錄。

郵箱主要針對(duì)Outlook、Foxmail、網(wǎng)易閃電郵等，支持取證保存在本地的郵件列表（包含郵件內(nèi)容），發(fā)件人信息列表，收件人信息列表。

下載工具主要針對(duì)迅雷、網(wǎng)際快車(chē)、電驢等下載工具，分析工具的日志文件，找出下載記錄信息，解析出用戶下載請(qǐng)求的URL地址、請(qǐng)求時(shí)間、下載完成時(shí)間。

4.2 硬件裝備

打擊犯罪電子數(shù)據(jù)取證裝備研制主要包括硬件只讀裝備研制、快速?gòu)?fù)制裝備研制以及取證分析設(shè)備研制等三個(gè)部分。

硬件只讀裝備：設(shè)備通過(guò)軟件或硬件層阻止數(shù)據(jù)寫(xiě)入，保護(hù)電子數(shù)據(jù)介質(zhì)內(nèi)的數(shù)據(jù)不被修改和刪除，保證電子數(shù)據(jù)鑒定的司法有效性和數(shù)據(jù)完整性。

快速?gòu)?fù)制裝備研制：設(shè)備利用高性能的傳輸接口，對(duì)獲取的電子存儲(chǔ)設(shè)備，支持位對(duì)位的復(fù)制。

取證分析設(shè)備：便攜式計(jì)算機(jī)設(shè)備，通過(guò)多種數(shù)據(jù)接口，對(duì)獲取的電子介質(zhì)進(jìn)行數(shù)據(jù)獲取，利用內(nèi)置的取證分析軟件對(duì)獲取的數(shù)據(jù)進(jìn)行取證分析。

硬件裝備的研究設(shè)計(jì)中，核心是芯片級(jí)只讀系統(tǒng)的設(shè)計(jì)，包括只讀控制核心單元和擴(kuò)展單元兩部分;通過(guò)訂制不同的擴(kuò)展單元可實(shí)現(xiàn)多種只讀硬件的設(shè)計(jì)。硬件只讀模塊設(shè)計(jì)兼顧了模塊化設(shè)計(jì)、可靠性和快速可擴(kuò)展性。由只讀控制核心單元和接口擴(kuò)展單元組成，核心單元通過(guò)對(duì)存儲(chǔ)設(shè)備的只讀掛載和數(shù)據(jù)交換實(shí)現(xiàn)只讀控制，擴(kuò)展單元可根據(jù)不同的接口功能要求擴(kuò)展全部或部分存儲(chǔ)器接口類(lèi)型。核心單元和擴(kuò)展單元之間通過(guò)通用的PCI-E 接口實(shí)現(xiàn)操作，并且可以擴(kuò)展其他功能。

硬件只讀取證模塊的設(shè)計(jì)方面：硬件只讀取證模塊是存儲(chǔ)設(shè)備取證產(chǎn)品中一項(xiàng)重要的組成部分。通過(guò)只讀取證系統(tǒng)所提供的數(shù)據(jù)拷貝功能，將能夠極大地減少取證人員的工作強(qiáng)度及難度。便攜式只讀取證系統(tǒng)的主要功能是在不破壞現(xiàn)有存儲(chǔ)設(shè)備的情況下，根據(jù)提供的各類(lèi)存儲(chǔ)設(shè)備進(jìn)行數(shù)據(jù)讀取拷貝，從而獲取取證人員所需要的取證資料。硬件只讀取證系統(tǒng)的主要目的是在不破壞存儲(chǔ)設(shè)備的情況下，從各類(lèi)存儲(chǔ)設(shè)備中讀取拷貝數(shù)據(jù)。便攜式只讀取證系統(tǒng)分為兩大模塊：讀寫(xiě)模塊和只讀模塊。讀寫(xiě)模塊相對(duì)應(yīng)的存儲(chǔ)設(shè)備包含有3.5 寸硬盤(pán)、2.5 寸硬盤(pán)、USB3.0 設(shè)備、USB2.0 設(shè)備、RJ45 網(wǎng)口設(shè)備等;只讀模塊相對(duì)應(yīng)的存儲(chǔ)設(shè)備包含有3.5 寸硬盤(pán)、2.5 寸硬盤(pán)、USB3.0 設(shè)備、MS/MS Pro/MS Duo/MS ProDuo卡、SD/MMC/RS MMC 卡、CFI/CFII/MD 卡、Extreme Digital 卡、TF/Micro SD 卡等。

讀寫(xiě)模塊可對(duì)存儲(chǔ)設(shè)備進(jìn)行讀寫(xiě)操作，實(shí)現(xiàn)系統(tǒng)與存儲(chǔ)設(shè)備之間的數(shù)據(jù)相互讀取拷貝，便于取證人員設(shè)置系統(tǒng)時(shí)與外部數(shù)據(jù)交互。

只讀模塊只能對(duì)存儲(chǔ)設(shè)備進(jìn)行只讀拷貝操作，實(shí)現(xiàn)系統(tǒng)從存儲(chǔ)設(shè)備當(dāng)中讀取拷貝數(shù)據(jù)，能讓取證人員在不破壞存儲(chǔ)設(shè)備數(shù)據(jù)情況下，從存儲(chǔ)設(shè)備捕獲所需數(shù)據(jù)，從中取證。根據(jù)需要的存儲(chǔ)設(shè)備，由接口擴(kuò)展單元實(shí)現(xiàn)硬件的對(duì)接，并且由只讀控制核心單元實(shí)現(xiàn)數(shù)據(jù)的只讀拷貝，從而實(shí)現(xiàn)多擴(kuò)展接口的并行數(shù)據(jù)只讀，從而實(shí)現(xiàn)各類(lèi)存儲(chǔ)設(shè)備的數(shù)據(jù)訪問(wèn)。通過(guò)便攜式只讀取證系統(tǒng)可以有效地將外部存儲(chǔ)設(shè)備拷貝到系統(tǒng)當(dāng)中，從而實(shí)現(xiàn)數(shù)據(jù)的恢復(fù)、查找、拷貝、審查、取證等功能，并由取證相關(guān)人員將數(shù)據(jù)交予相關(guān)單位部門(mén)人員分析取證。同時(shí)，為確保電子數(shù)據(jù)的原始性、真實(shí)性、合法性，在電子數(shù)據(jù)收集時(shí)應(yīng)由取證人員全程跟蹤并采用專(zhuān)業(yè)的數(shù)據(jù)拷貝備份將外部存儲(chǔ)設(shè)備數(shù)據(jù)拷貝備份，且要求數(shù)據(jù)拷貝設(shè)備的只讀設(shè)計(jì)及自動(dòng)校準(zhǔn)功能就顯得額外重要。

硬件只讀模塊主要困難在于對(duì)只讀模塊的只讀設(shè)計(jì)、自動(dòng)校準(zhǔn)、并行數(shù)據(jù)訪問(wèn)、控制核心單元設(shè)計(jì)等的集成化，從而實(shí)現(xiàn)主控單元控制所有數(shù)據(jù)的訪問(wèn)。

5 總結(jié)

本文針對(duì)國(guó)內(nèi)外電子數(shù)據(jù)取證勘察技術(shù)及裝備的進(jìn)展、優(yōu)勢(shì)與應(yīng)用情況，展開(kāi)了詳盡的對(duì)比分析，并指出在涉恐涉暴案件勘察中，當(dāng)前電子數(shù)據(jù)取證技術(shù)及裝備仍面臨著幾方面的問(wèn)題，無(wú)法很好地滿足實(shí)戰(zhàn)需求。最后，從智能手機(jī)終端設(shè)備取證技術(shù)、可穿戴設(shè)備取證技術(shù)、面向存儲(chǔ)介質(zhì)的取證技術(shù)、云取證技術(shù)、反取證技術(shù)、硬件裝備等幾個(gè)方面，給出了重點(diǎn)問(wèn)題和未來(lái)研究方向，為本領(lǐng)域研究人員工作提供了重要的基礎(chǔ)。

參考文獻(xiàn)：

[1] 黃金成，保佳福.論中國(guó)面臨的恐怖主義威脅[J].法制與社會(huì)，2009（18）：210-211.

[2] 金輝.當(dāng)前中國(guó)面臨的恐怖主義威脅：以為“東突”個(gè)案的分析[D].中國(guó)人民大學(xué)， 2007.

[3] 楊延冰.“東突”恐怖主義與中國(guó)國(guó)家安全[D].西安：陜西師范大學(xué)，2006.

[4] 皮勇.全球化信息化背景下我國(guó)網(wǎng)絡(luò)恐怖活動(dòng)及其犯罪立法研究——兼評(píng)我國(guó)《刑法修正案（九）（草案）》和《反恐怖主義法（草案）》相關(guān)反恐條款[J].政法論叢，2015（1）：68-79.

[5] 劉黎明，肖文宇.論我國(guó)反恐怖主義法律制度的完善[J].凈月學(xué)刊，2017，32（4）：70-77.

[6] 蘭迪.論我國(guó)《反恐怖主義法》中的“去極端化與反極端化”[J].鐵道警察學(xué)院學(xué)報(bào)，2017，27（1）：50-56.

[7] 金波，吳松洋，熊雄，等.新型智能終端取證技術(shù)研究[J].信息安全學(xué)報(bào)，2016，1（3）：37-51.

[8] 劉建軍，趙兵，熊道泉，等.新型電信詐騙案件中的電子數(shù)據(jù)研究[J].信息網(wǎng)絡(luò)安全，2013（12）：90-92.

[9] 郭弘，徐志強(qiáng).國(guó)內(nèi)外電子數(shù)據(jù)取證裝備及軟件發(fā)展現(xiàn)狀與趨勢(shì)[J].保密科學(xué)技術(shù)，2016（3）：28-34.

[10] 付忠勇，趙振洲.電子取證現(xiàn)狀及發(fā)展趨勢(shì)[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2014，40（10）：67-70.

[11] 趙小敏，陳慶章.計(jì)算機(jī)取證的研究現(xiàn)狀及趨勢(shì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2003（9）：32-35.

[12] Bunting S. Encase computer forensics[M].Sybex2012.

[13] 北京瑞源文德科技有限公司. FTK實(shí)戰(zhàn)應(yīng)用[M].中國(guó)檢察出版社， 2015.

[14] Shavers B，Zimmerman E.Searching in X-ways forensics[M]//X-Ways Forensics Practitioners Guide.Amsterdam：Elsevier，2014：127-152.

[15] National Institute of Standards and Technology （NIST）United States of America， America U S O. Test Results for Mobile Device Acquisition Tool： CelleBrite UFED 1.1.3.3 - Report Manager 1.6.5[J]. Bureau of Justice Statistics， 2010.

[16] National Institute of Standards and Technology （NIST）United States of America. Test Results for Mobile Device Acquisition Tool SusteenDataPilot Secure View 1.12.0[J]. Bureau of Justice Statistics， 2009.

【通聯(lián)編輯：代影】