关键词搜索:数据恢复教程、数据采集、电子数据取证...
2.1鉴定试验室的能力要求
电子物证检验鉴定实验室能力分级标准 |
|||||||
---|---|---|---|---|---|---|---|
√-应当具备的能力。○-应当部分具备的能力。×-可以不具备的能力。 |
|||||||
能力项目 |
能力子项目 |
能力细目 |
说明 |
能力要求 |
|||
国家级 |
一级 |
二级 |
三级 |
||||
数字化设备证据数据发现提取固定 |
数据的固定(能够保证数据的完整性和原始性) |
证据数据完整性的保护 |
能够采取技术措施保证数据在被提取后未被修改。如对数据进行完整性保护、对数据进行复制并在备份上实施操作。 |
√ |
√ |
√ |
√ |
证据数据原始性的保护 |
能够采取技术措施保证数据是按照所述步骤从数字化设备提取获得的。如采取审计措施保证能够再现或证实数据提取过程。 |
√ |
√ |
√ |
√ |
||
本地数字化设备非运行状态下的数据提取(能够读取数字化设备中存储的数据) |
独立存储介质的数据提取 |
能够读取各类磁盘、活动硬盘、光盘、RAID等存储介质中存储的数据。包括存储介质的镜像文件、复合文档等可加载的文件系统。 |
√ |
√ |
○ |
○ |
|
不可独立访问存储介质的数据提取 |
能够读取手机、PDA、路由器等专用数字化设备中存储的数据,这些数字化设备中的存储介质通常需要依附于数字化设备才能访问。 |
√ |
○ |
○ |
○ |
||
受损磁存储介质物理数据提取 |
能够在硬盘、磁带等磁存储介质硬件损伤的情况下,通过替换磁片等方式使该磁存储介质中的数据可读。 |
√ |
○ |
× |
× |
||
受损光存储介质物理数据提取 |
能够在光盘等光存储介质物理损伤的情况下进行适度的修复,使该光存储介质中的数据可读或部分可读。 |
√ |
○ |
× |
× |
||
存储芯片的物理数据提取 |
能够在存储介质或专用数字化设备部分硬件接口组件损伤的情况下,通过拆解存储芯片移入到同一型号的其他设备中,使该芯片中存储的数据可读(并非所有存储芯片都可以通过移植到其他同型号设备进行提取,本能力仅要求对于可以替换芯片情形下的数据提取)。 |
√ |
○ |
× |
× |
||
本地数字化设备运行状态下的数据提取(能够截获系统运行过程中产生的数据) |
运行状态下数字化设备上的数据提取 |
能够启动数字化设备并在数字化设备运行状态下提取内存内容、网络状态、文件访问状态等不可再现数据以及特定文件、特定数据(如注册表内容)等可再现数据。 |
√ |
○ |
○ |
○ |
|
运行状态下数字化设备网络通信数据的提取 |
能够启动数字化设备并在数字化设备运行状态下,截获其通过网络传输的数据,包括在网络链路上截获,也包括在数字化设备上截获。 |
√ |
√ |
○ |
○ |
||
远程数字化设备的数据提取 |
远程数字化设备存储处理的数据提取 |
提取远程计算机(如网站、路由器)上存储的数据、处理的数据(如视频表演过程中视频信息)。 |
√ |
√ |
√ |
√ |
|
远程数字化设备运行状态数据提取 |
能够通过探测获取远程数字化设备拓扑结构、网络链接状态、网络安全状态等状态信息,此类信息并非数字化设备自身存储或处理的,而是通过辅助工具探测分析产生的。 |
√ |
○ |
○ |
× |
||
数据的发现(从可提取的数据中查找、恢复出所需要的数据) |
文件级数据的发现 |
能够根据文件的特征寻找所需要的文件以及文件的附属信息(MetaData,如文件的时间信息、存储位置等。)。如恢复被删除的文件、通过文件的特性(如关键字、哈希值、病毒特征、修改日期等附属特征)识别出所需的文件。 |
√ |
√ |
√ |
√ |
|
记录级数据的发现 |
记录是指在数据库文件中存储的数据项的集合。能够根据记录的特征寻找所需要的记录,如数据库的记录查找、数据库记录的恢复等。 |
√ |
√ |
○ |
○ |
||
碎片级数据的发现 |
能够根据所要查找的数据的特征寻找所需的数据碎片。如基于关键字查找、基于结构匹配查找、基于统计查找,寻找IE记录碎片、DOC文档碎片等。 |
√ |
√ |
○ |
○ |
||
数据的解密与解码(将发现的数据转换为可理解的数据) |
加密数据的解密 |
包括对操作系统口令的破解、加密文件的解密和加密数据(如口令)的解密等。 |
√ |
○ |
○ |
× |
|
结构化数据的解码 |
能够对各类编码的数据解码形成可理解是数据。如邮件编码、网址编码、复合文档编码、文件附属数据等。 |
√ |
○ |
○ |
○ |
||
数据的分析(对数据的逻辑关系进行分析,产生结论的过程) |
一般数据逻辑关系分析 |
能够对数据之间的一般性关系进行逻辑分析,产生特定的判定结论。如时间关系分析、空间关系分析、拓扑关系分析、事件因果关系分析、统计分析等。 |
√ |
√ |
√ |
√ |
|
特定数据的逻辑关系分析 |
能够对特定应用服务的特定数据进行分析,产生特定的判断结论。如网站日志的分析、系统操作日志的分析、异常网络行为分析等。 |
√ |
○ |
× |
× |
||
程序功能检验 |
程序功能的黑盒分析 |
程序功能的静态分析 |
能够通过逆向工程等方式分析程序的代码,识别程序的功能。 |
√ |
√ |
× |
× |
程序功能动态分析 |
能够通过跟踪程序的运行状态,识别程序的功能。 |
√ |
√ |
○ |
○ |
||
程序功能白盒分析 |
程序功能白盒分析 |
能够对代码的源程序进行分析,识别程序的功能。 |
√ |
√ |
○ |
× |
|
实验室管理 |
实验室管理 |
实验室质量控制 |
实验室对检验鉴定流程、检材、仪器设备、文件等管理的相关规定要符合ISO/IEC 17025的相关要求 |
√ |
√ |
√ |
√ |
鉴定资格 |
鉴定机构 |
实验室鉴定机构在登记主管部门登记并取得鉴定资格,同时通过司法部门向社会公告 |
√ |
√ |
√ |
√ |
|
鉴定人 |
实验室鉴定人在登记主管部门登记并取得鉴定资格,同时通过司法部门向社会公告 |
至少5名鉴定人 |
至少4名鉴定人 |
至少3名鉴定人 |
至少3名鉴定人 |
2.2实验室装备功能要求
在计算机相关的案件处理中,案情和现场都是复杂多变的。电子数据取证鉴定实验室建设项目从技术需求上来看可以分为如下几个功能部分:
现场取证:提供快速现场取证和分析支持所需要的设备。
密码破解系统:提高对文档密码破解方面的支持和能力。
电子数据鉴定:提供对各类电子数据进行鉴定所需要的设备和能力,包括各类介质和设备的证据固定和获取、各类介质和应用的分析、仿真分析环境、软件数据恢复、手机取证和分析、数据销毁等能力。
硬盘恢复:提供对硬盘硬件损伤的恢复能力。
案件数据存储:提供实验室中案件数据的存储能力。
实验室基础设施:提供实验室办公、物证存放、网络、安防、管理等实验室基础支持设施
2.3实验室的区域设置
电子数据取证鉴定实验室建设项目从业务流程和逻辑来划分,可以分为业务受理、勘查取证(数据的固定、分析)、鉴定、存储、归档、计算、密码破解、介质修复和数据恢复等,实验室可以按照功能的不同划分为几个功能区域:
业务受理区:用于电子证据鉴定业务的受理、委托人接待、送检物品的初检、送检物品建档、合同签订、分析报告提交和送检物品清退等各项工作。
勘查取证区:对送检介质进行无侵入地证据固定、介质复制、数据预检和仿真分析。
物理恢复区:对物理损坏的证据介质进行修复工作。
鉴定分析区:对电子证据介质进行详细的分析,包括数据分析、提取、搜索、环境重建等各项工作。
介质销毁区:对勘察、恢复、鉴定分析过程中生成的中间数据或其它可能残留证据信息的介质进行销毁
机房:提供管理系统、服务器环境和数据存储环境,为其它业务功能提供支撑。
备件库:备件和电子证据介质的保管和发放。
与2.1节讨论的功能需求相结合,以及实际实验室的空间配置情况。各功能模块可以按照业务流程的需求设置在各个功能区域。实验室的大致结构参见下图所示:
2.4实验室的管理
2.4.1实验室域管理环境
鉴定实验室的核心是鉴定所处理的数据,案件数据一般都具有保密的属性,所以必须设置严格的授权访问控制机制,这点可以通过设置实验室的域管理环境来实现。
在电子数据取证鉴定实验室建设项目中,可以配置了海量数据存储模块,用来集中保存案件所涉及到的数据,每个案件相关的数据单独存放相关目录中。
海量存储服务器同时也是域管理服务器,为实验室的工作人员和鉴定工作站提供了授权和认证服务。只有授权的用户才能使用鉴定工作站、访问相关案件的数据。
2.4.2流程管理
按照实验室的功能模块需求,电子数据鉴定流程涉及设备、案件、证据、鉴定分析、报告、审核、报告提交、数据归档等各环节的管理。
在电子数据取证鉴定实验室建设项目中,我们将协助设计和提供各个环节的报告模板,协助建设实验室管理流程。
2.4.3安防设备
配备门禁和视频监控安防管理。
第 3 章实验室设备配置及功能说明
根据天津市消防部对电子取证鉴定实验室的建设标准要求,我们建立相应的装备要求,雷超科技有限公司提供了装备配置与报价的详细信息(第6章)
建立实验室方案如下图所示:
3.1有损机械硬盘的数据提取
便携式机械硬盘数据恢复设备-HDDOK
便携式机械硬盘数据恢复设备中集成了有损硬盘扫描、有损硬盘镜像提取、固件修复以及监控视频恢复软件。
3.1.1有损机械硬盘的扫描
当从事故现场获取到机械硬盘后,首先需要检测硬盘。硬盘扫描功能可以非常详细的检测硬盘坏道及显示读取时间,通过全盘扫描,可以了解硬盘的实际工作状态,
发现坏道及读取时间较长的假性坏道,其扫描报告也可做为硬盘质保检测报告以及数据恢复报告的重要部分。
扫描硬盘时软件按照读取时间将块用不同的颜色标注。当遇到块内有坏道时,软件可以检测块内的坏道的具体位置和坏道数量,使扫描日志精确化。
HDDOK的扫描功能,采用了工厂级的扫描机制,只探测轨道状态,不读取轨道数据,这样扫描的速度提升了2-5倍,机械硬盘能达到每秒200多MB的速度,
固态硬盘能达到每秒2-3GB的惊人速度。并且在遇到坏道的时候,多数情况下不会卡死,既保护了硬盘又提高了扫描速度,
在短的时间内扫描出硬盘是否有坏道及健康状况,这是目前比较先进的一种扫描技术。
3.1.2有损机械硬盘的数据镜像
我们的研发团队在驱动加速方面进行了大量的优化,使得HDDOK在保证原有镜像质量的基础上,镜像速度基本达到了机械硬盘的峰值https://v.youku.com/v_show/id_XNDYwMTI5MzI5Mg==.html。
业内创新技术(雷达镜像),所谓的雷达镜像就是边探测边镜像,快速发现磁介质划伤区域,快速跳过。雷达镜像的好处有以下5点:
1:在很大程度上降低了盘片划伤面积扩大的风险;
2:有效降低了磁头报废的风险;
3:变相的节约了磁头配件成本;
4:对于坏道多的硬盘,镜像速度明显比同类产品更快,有效的节约了时间;
5:可以尽量帮助客户挽回更多地数据;
3.2硬盘数据恢复取证工具HDDOKPRO
3.2.1HDDOK-PRO硬盘检测及故障判断功能
3.2.1.1硬盘扇区扫描
检测硬盘扇区状态及定位坏道位置
3.2.1.2硬盘S.M.A.R.T检测
支持硬盘S.M.A.R.T信息的检测,获取硬盘的磁头单元、硬盘温度、盘片表面介质材料、马达、驱动系统、硬盘内部电路等监测数据,可分析并预报硬盘可能发生的问题
3.2.1.3硬盘详细参数获取
支持获取硬盘型号、序列号、家族号、容量、固件版本号、磁头位图等参数
3.2.1.4基于电流波形的故障判断
蓝色线条代表5V的实时电流波形,黑色代表12V的实时电流波形。
上图可以看出磁头的两次归位操作,然后硬盘电机就停转了,典型的磁头故障。
3.2.1.5检测报告输出
支持硬盘的预检报告输出,硬盘预检完毕之后,会自动输出硬盘预检报告。报告里面会详细列出:硬盘的实时状态、硬盘的磁头磁道状态、硬盘的参数(品牌、家族、型号、序列号、固件版本号、容量)、硬盘的S.M.A.R.T信息等参数
3.3通过PC3000-UDMA数据提取
PC3000-UDMA 是由俄罗斯著名硬盘实验室-- ACE Laboratory研究开发的商用的专业修复硬盘综合工具。这款设备是PCI-e接口,需插入主机对应接口使用,与HDDOK数据恢复设备互补,具有坏道镜像、修复固件的功能。
3.3.1.1有损机械硬盘的扫描
用于检测机械硬盘是否存在坏道,若存在坏道则需要进行磁盘镜像。
3.3.1.2有损机械硬盘的数据镜像
对于有坏道的硬盘进行数据镜像功能,有坏道的部分会先跳过,然后慢慢回读。
支持NTFS\FAT32等文件系统的目录解析。
3.4机械硬盘固件修复
3.4.1通过HDDOK修复机械硬盘固件
3.4.1.1希捷硬盘固件Firmware修复功能
希捷固件专修模块,适用于希捷F3系列的硬盘。可以对希捷F3系列硬盘进行固件的读写。也可以通过指令线COM口,进入硬盘终端出指令,通过指令修复硬盘的固件问题,如:启动慢、先就绪后长忙、不认盘、前好后坏等。
3.4.1.2西数硬盘固件Fireware修复功能
西数专修程序可以对西数固件进行操作,读、写模块,读、写固件及固件模块。通过此功能可以修复一些西数盘常见的固件问题。如:启动慢;不认容量、型号;长忙不就绪等。
西数专修模块,支持几十个家族,可以自动识别家族。详细情况请看下图:
支持对固件的读写、ROM的读写、轨道的读写、通病修复等功能。简单实用。
3.4.1.3三星硬盘固件Fireware修复功能
三星专修程序可以对三星固件进行操作,读、写固件及固件模块。通过此功能可以修复一些三星盘常见的固件问题。
3.4.1.4东芝硬盘固件Fireware修复功能
东芝专修程序可以对东芝固件进行操作,读、写固件及固件模块。通过此功能可以修复一些东芝盘常见的固件问题。
3.4.1.5日立硬盘固件Fireware修复功能
日立硬盘固件专修程序可以对日立硬盘的固件区进行读模块、写模块的操作。通过此功能可以修复一些日立硬盘的常见固件问题。
3.4.1.6富士通硬盘固件Fireware修复功能
富士通硬盘专修程序可以对富士通硬盘固件进行读取、写入、修复等操作。可以修复一些富士通硬盘常见的一些固件问题。
3.4.2通过PC3000-UDMA修复机械硬盘固件
PC3000作为与HDDOK互补的产品,支持修复固件的机械硬盘品牌有:希捷、西数、三星、东芝、日立、富士通等。如果在一台设备上无法修复的固件问题,可以再另外一台设备上尝试修复。
3.5基于HDDOKPRO的监控、视频数据恢复
便携式硬盘数据恢复工具HDDOK中监控模块为试用版。
3.5.1监控取证恢复
对于市场上主流的监控:海康、大华、中维、天地伟业、WFS、汉邦、乔安、狮安等35种常见监控品牌。
通过我们的雷超监控视频专业版,可以通过文件系统解析和碎片扫描两种方式恢复视频数据,大家可以根据需要自行选择。
我们集成了海康的两种类型:H264和MSV2、大华监控类型、WFS0.4(如:帝防)、汉邦监控类型;乔安监控类行。
对于监控碎片扫描,可以设置时间区间、扇区区间,进行专向扫描,也可以通过先初步扫描底层生成监控时间,通道大小日志来快速锁定所需要的监控位置。
3.5.2视频取证恢复
HDDOK同时拥有不俗的视频碎片恢复能力,目前主要支持的类别有:MXF/MPG/MTS/佳能MOV。HDDOK软件能够通过每种格式视频底层特征,
采用按帧扫描方法来分析源设备里的视频数据,并将其碎片逐一扫描出来。对于佳能MOV不仅可以扫描出碎片,还支持将其拼接为完整视频。
自定义源设备、自定义分区、自定义范围,并可选择镜像文件,如下图:
扫描过程如下图:
可自行选择需要扫描的视频类型,窗口下方中间部分现实的是需要扫描的总扇区数(进度)
3.6有损FLASH的数据提取
工厂、企业等大型建筑内的硬盘监控录像机;家庭安装的无线监控;汽车里安装的行车记录仪都是闪存卡——FLASH闪存芯片。针对这些存储介质失火之后的有损修复及数据恢复主要通过以下设备。
3.6.1通过PC3000 FLASH读取闪存芯片
PC3000 FLASH 可以对U盘FLASH芯片(支持封装类型包括:TSOP-48、BGA52\152、一体式等封装形式)、SD卡、TF卡等介质进行数据恢复。
3.6.1.1PC3000 FLASH 对于 U盘的恢复
pc3000flash 可以直接提取u盘芯片内的数据,并且分析算法重组数据。
U盘FLASH芯片损坏原因有控制器损坏,或者pcb板有严重的机械或电路损坏,这些损坏阻止了驱动器设备的正常工作。
3.6.1.2PC3000 FLASH 对于从设备上取下的NAND FLASH的恢复
除了提供接口以外,闪存驱动器的控制器还根据闪存芯片的容量对数据分配做特殊的运算,目的就是为了控制独立的nand存储单元的类似使用。相应地,损坏的控制器也会导致不可以读取闪存驱动器数据。
在这种情况下,就有必要把驱动器的闪存芯片都拆焊并读取它们的内容。为了这个目的,pc3000闪存工具具备了这样一个特定的读取设备--pc闪存读卡器。
PC3000的提供了TSOP-48、BGA52、BGA152等不同封装类型的读取芯片底座。
PC3000 FLASH,通过软件和硬件相结合,实现了一个控制器的仿真器,即:虚拟主控。通过读取闪存芯片的内容,恢复译码器运算法则,特别是PC3000终端控制器,它可以实现读取用户数据。
这个操作的结果就是可以正确读取闪存驱动器的内容,如果这些内容有逻辑损坏的话,你还可以使用data extractor udma软件提供的逻辑恢复工具来进行修复。软件中还包含一个控制器工作算法的数据库,这个数据库通过直接显示控制器的类型来进行更快的数据恢复。
随硬件携带的适配座如下图所示:
3.6.1.3PC3000 FLASH 对于一体式NAND FLASH的恢复
对于一体式的FLASH芯片,常见于TF卡,部分U盘及SD卡中。在通过玻璃纤维笔将其手动打磨后,PC3000 FLASH提供一款专业性工具-SPIDER来进行辅助读取芯片。
spider
3.6.1.4PC-3000 FLASH支持的NAND FLASH故障类型
驱动器的物理伤害:
- USB端口损坏
- 主控损坏
- 电子单元故障
- 由于受损逻辑板的抗机械冲击
文件系统逻辑故障
数据误删除
软件错误数据后不读或失去 (比如在传输数据时突然断开链接导致)
在服务区使用缺陷控制器翻译机制
3.6.2通过Flash Extractor(FE)读取闪存芯片
FLASH EXTRACTOR(简称FE)数据恢复设备专门解决FLASH介质的数据恢复问题,工作原理是取下NAND FLASH芯片,通过专门的芯片读取设备,读出芯片的底层数据,然后对底层数据进行分析,通过虚拟主控芯片的算法,重组并获得数据。该工具针对市场常见的一些FLASH芯片,其特点有:操作简单,算法独特,成功率高,容易上手。
Flash Extractor
软件用于恢复U盘记忆卡和SSD硬盘内存芯片数据,FLASH存储设备每个月都会出现新的型号,每个新器件都有不同的物理结构和逻辑结构。FE每周都会分析和发布更新软件。软件内有一个支持模型库的程序,这些驱动器可以很容易地恢复一个未知的模型,你可以尝试使用内置的控制器算法框架手动恢复或要求FE的技术支持的帮助。
Flash Extractor
分为读芯片软件:NAND_Reader和分析算法软件:Flash_Extractor
3.6.2.1NAND_Reader
3.6.2.2NAND_Reader功能
选择将存储转储的工作文件夹
选择芯片
选择芯片号
按*选择所有的Banks
按ID检查芯片和适配器之间的连接
按下读取开始读取过程
停止进程断开USB电缆
成功读取“FE”文件夹后,将在工作文件夹中创建。Chip.txt将被复制到这里。它包含芯片参数
3.6.2.3Flash_Extractor
3.6.2.4Flash_Extractor功能
选择适合芯片模板
选择适合主控算法框架布局
ECC 修复
ECC结合
查找文件目录表以快速查询
通过主控算法编译芯片数据
每一步进行结束后,程序会自动提示下一步的操作,自动方便,上手容易
3.7无尘工作环境
涉及硬盘盘体级数据恢复的情况,需在电子专业级无尘的环境下操作,以确保数据恢复的高成功率,避免造成硬盘的二次损坏。
无尘环境构成(工作台洁净度:100级,无尘室洁净度:1000级):
风淋室 无尘工作室
空气过滤换风系统 传递窗
3.8实验室环境条件
3.8.1基础环境和设备条件
静电检查设备
办公基础装备
光盘打印机
碎纸机
擦除软件
3.8.2数据发现提取固定基础条件
3.8.2.1证据数据存储设备
对于二级和三级实验室可以配备2个1T的移动存储硬盘,实现对证据的存储。
对国家级和一级实验室可以采用戴尔AX4-5实现证据存储:
AX4-5,双控制器1G缓存,4个FC4主机接口,每扩展单元12块硬盘,支持60块硬盘,9TB,单盘容量300GB15K SAS,30块硬盘,支持快照。
戴尔AX4-5其它特性包括:
1. 卓越的数据有效性及可靠性:在发生重大故障时,戴尔AX4-5的控制器通过连续的后台磁盘一致性检查、镜像缓存以及缓存降级,提供端到端的数据完整性。数据在控制器、硬盘以及数据传输路径中均能够得到妥善的保护。
2. 简便的部署及先进的管理:戴尔AX4-5装有EMC的Navisphere® Express,一种可以简化安装及操作的直观用户界面。AX4-5承袭了过去仅在更高端的Dell/EMC CX3存储阵列上提供的许多优秀的软件功能。客户可以通过一个控制台对多种EMC阵列及可选的数据复制和迁移工具进行管理。
3. 弹性架构:戴尔AX4-5通过5组机架能够多容纳60块硬盘,支持多达64个主机,能够满足未来数据增长的需求。利用简化的向导式管理,客户能够在数秒内分配更多的存储空间。
4. 灵活性及硬盘选择:戴尔AX4-5 iSCSI阵列可以支持高性价比的IP网络,并且可以通过高性能的4Gb/s接口支持光纤阵列。AX4-5同样可以轻松整合高性能的SAS硬盘与大容量的SATA硬盘。
3.8.2.2物证存储柜
物证室放置2排2联手动密集柜。密集柜采用优质冷轧钢板模压成型,表面经去油--除锈--表调--磷化--清洗--钝化等十道工序加工而成。国际新流行色亚光静电喷粉,高温塑化而成,防锈蚀性能卓越,架体之间的接触面配有缓冲,磁性密封条,顶部有防尘板,底部有防鼠装置。每列架体设有安全限位制动装置及防倾倒装置。边架装有锁具,用于整体锁闭。传动机构通过精加工处理,使用精密轴承,传动灵活平稳。层板间距根据需要可自由调节。
物证室的效果图如下:
3.8.2.3本地数字化设备检验专用主机(取证分析工作站 SFP-101)
SFP-101专为小型实验室设计,能够完成常规的鉴定任务。平台内集成了高速的存储介质只读接口,比常见的外接式只读接口速度提升一倍,解决了外接接口使用时接线烦乱的困扰。
平台预装的操作系统已经为鉴定工作调整到佳状态,无需担心因为操作系统的问题干扰鉴定工作。 能够高效的完成各种存储介质的获取工作,并可以对象系统进行勘察取证。为取证分析定制的盘石SFP-101取证分析平台可以完全满足需求,SFP-101平台的主要硬件配置如下:
Intel 架构主板
Intel 酷睿2 双核CPU
8600GT 独立显卡
160GB SATAII系统硬盘
1TB SATAII 数据存储
支持SATAII 高速硬盘
千兆网络接口
内建高速USB2.0接口、1394A接口、eSATA接口
内建多合一读卡器
内建司法鉴定专用存储介质只读接口,支持IDE、SATA、SCSI和USB设备
20寸宽屏液晶显示器,1680×1050
预装Windows XP及取证相关工具(可选)、
2009版内置SAS硬件只读接口
为符合取证的需要,要求可以获取各类平台和系统的存储介质和架构。
3.8.2.4远程数字化设备检验专用主机
高性能专用电脑
3.8.2.5物证封存袋、封存条
3.8.3程序功能检验基础条件
高性能专用电脑
3.8.4实验室管理条件
由公安部十一局统一开发后配发。
3.9实验室附属设施
将按照实验室的布局和实际要求进行装修和配置。
第 4 章实验室建设项目工程实施
4.1项目实施概况
鉴定实验室的项目建设有下面个主要组成部分:
无尘工作室施工建设;
鉴定实验室环境建设;
鉴定实验室软硬件采购交货;
鉴定实验室软硬件安装调试;
培训
上述项目有些可以同时进行,有些必须有先后顺序,整体周期在二个月左右,自合同签订之日起,二个月可以完成电子鉴定实验室的建设。
每一项部分的时间周期如下:
序号 |
项目关键点 |
工期周期 |
1 |
无尘工作室施工建设 |
30天 |
2 |
鉴定实验室环境建设 |
30天 |
3 |
鉴定实验室软硬件采购交货 |
30天 |
4 |
鉴定实验室软硬件安装调试 |
15天 |
5 |
培训 |
10天 |
4.2项目实施甘特图
第 5 章技术培训和支持
5.1技术培训
盘石数码对所有提供的设备提供技术培训服务。现场培训在用户指定的现场进行。
序号 |
名称 |
天数 |
说明 |
1 |
取证基础和接口设备介绍 |
0.5 |
集中培训 |
2 |
SafeImager现场取证设备 |
0.5 |
集中培训 |
3 |
SafeAnalyzer分析系统 |
1 |
集中培训 |
4 |
系统仿真使用 |
1 |
集中培训 |
5 |
问题讨论和交流机动 |
0.5 |
集中培训 |
6 |
DNA 安装和使用 |
0.5 |
集中培训 |
7 |
取证平台、服务器使用 |
0.5 |
现场培训 |
8 |
其它设备使用 |
0.5 |
现场培训 |
5.2技术支持
5.2.1保证期内服务计划
当产品提交后,进入产品售后服务阶段。提供的服务内容包括:
售后服务热线:我公司对外提供7*24小时的服务热线。我们通过电话对客户进行产品答疑、操作指导等服务;当客户有任何服务需求时也可以通过售后服务热线进行服务请求。
售后服务EMAIL:客户可以通过电子邮件方式向我公司提交服务请求,或产品疑问。我公司对外提供统一的技术支持EMAIL帐号和各工程师独立的EMAIL信箱。
网站服务:我公司的网站提供对外发布新产品公告、支持信息、产品操作FAQ等产品售后服务内容,网站内容及时更新。
软件版本升级:当我公司提供的产品有新的版本发布时,我公司将为客户提供软件版本升级服务,将客户系统升级到版本。在升级过程中,我公司提供必要的电话指导或现场服务。
维修:当我公司提供的产品不能正常工作时,我公司提供现场的维修/更换服务
现场支持:当客户需要现场支持服务时,我公司将根据问题的种类派出相应的工程师或研发人员。
培训:包括现场的产品操作培训。具体培训课程与安排参见前文中的内容。
在产品售后服务期内,我公司除及时响应客户的服务请求之外,还承诺以下的主动服务:
项目验收后一星期,主动打电话给客户,询问相关运行情况;
产品售后服务期内,每月主动打电话给客户,询问设备运行情况;
当有补丁程序或升级版本时,主动通知客户,并可进行现场的升级操作或指导;
5.2.2保证期后服务计划
在服务保证期后,我公司仍提供和保证期内同样的支持服务,但现场支持和部分产品升级需要酌情收费。