硬盘作为计算机主要的信息存储介质,是计算机取证技术的重要获取内容,也是目前各种计算机取证工具的主要方向。
国内外计算机硬盘取证设备:
1. 用于司法取证:MD5、SF-5000、SOLO II硬盘拷贝机;
2. 用于IT业硬盘复制:SONIX、Magic JumBO DD-212、Solitair Turbo、Echo硬盘拷贝机;
3. 以软件方式实现硬盘数据全面获取的取证分析软件,如FTK、Encase、Paraben's Forensic Replicator;
4. 综合软件获取和硬拷贝方式的取证勘察箱,如Image MASSter Road MASSter、“天宇”移动介质取证箱、“网警”计算机犯罪取证勘察箱;
5. 通过USB接口、1394接口、PCMCIA、并口等方式的硬盘获取设备及附件,如LinkMasster II、CloneCard、USB WriteProtect、Desktop WriteProtect、“天宇”全能拷贝王;
手持式硬盘取证设备:
手持式硬盘取证设备的主要特点是体积小、质量轻,便于携带和使用。在各种取证设备中,手持式硬盘取证设备拷贝速度快,高可达3.3GB/min。
多数手持式拷贝机以硬盘直接拷贝为主要方法,要将疑犯计算机的硬盘取出,直接与拷贝机连接,实现对硬盘数据的全面复制。考虑到不同环境下的
不同取证需要,新型拷贝机除硬盘直接拷贝方式外,还增加了USB接口拷贝方式、SATA硬盘拷贝、PCMCIA接口拷贝,增强了拷贝机的功能和使用灵
活性,促进了计算机取证技术的发展。正因为具有便于携带和拷贝功能强的特点,手持式拷贝机成为司法取证的首选设备。
国际市场上手持式硬盘拷贝机大致可分为两代产品:
以SF-5000、SOLO II、SolitareTurbo为代表的第一代拷贝机,拷贝速度高可达1.8GB/分钟。
以Forensic MD5、Sonix、DD-212为代表的第二代硬盘拷贝机,拷贝速度高可达3.3GB/分钟。
产品简介:
MD5硬盘拷贝机
MD5硬盘拷贝机是美国Logicube公司根据司法部门的特殊需求而设计的新型计算机硬盘取证设备,2004年3月上市,目前已开始应用于各国司法部门。
MD5拷贝机与SF-5000相比速度有明显的提高,经实际测试,其高速度达到3GB/min。在拷贝方式上,MD5具有硬盘直接拷贝、USB接口拷贝、PCMCIA接口拷贝、并口拷贝等四种方式。其独特的dd镜像捕获方式支持对疑犯硬盘进行数据镜像,并可在获取成功后直接利用FTK、Encase进行数据分析。dd镜像捕获方式可在大容量硬盘中保存多个疑犯硬盘的镜像,解决了疑犯硬盘数量多而证据硬盘数量不足的问题。具备
CF卡,预先设定关键字,进行关键词搜索。支持对其他操作系统,如Linux、苹果格式硬盘拷贝。由于采用了MD5和CRC32数据校验机制,MD5
硬盘拷贝机可确保数据位对位的准确,是一种精确、功能强的专业计算机取证设备。
优势:启动时间短、拷贝精度高、速度快、方式多、关键字搜索、USB只读保护。
不足:相比SF一5000,拷贝速度提高一倍,但实际完成时间仍然较长。
Sonix硬盘拷贝机
Sonix是美国Logicube公司新研制并发布的民用型硬盘拷贝机,2004年6月完成。这种硬盘拷贝机具有拷贝速度快、适应范围广、功能多样、体积小巧等特点。
Sonix拷贝机是目前市场上拷贝速度快的产品,高可达3.3GB/min,复制完成80GB硬盘仅需30min。拷贝方式支持硬盘直接拷贝、
USB接口拷贝、PCM—CIA接口拷贝,并口拷贝,且所有接口均设计于拷贝机内部,无需再外接任何如USB适配器、SATA适配器等额外配件,减少了所需携带的设备数量。数据获取功能方面,Sonix支持双向拷贝方式,既可以从内向外方向拷贝数据,以可以从外向内拷贝数据,增加使用灵活性,快速拷贝各种品牌、型号、容量的2.5in和3.5inIDE,EIDE和Ultra—DMA硬盘。具有选择性拷贝分区功能,允许选择性拷贝如第一个、第八个分区。支持对所有类型分区进行扇区对扇区的全面拷贝,包含对Mac,Linux,Unix,Sun的支持。Sonix拷贝机具有智能拷贝功能,可跳过硬盘剩余空间,仅拷贝数据区域,加快拷贝速度。拷贝过程中,可自动根据目标盘容量调整各分区比例。NTFS智能拷贝方式支持所有基于NT的文件系统,如Windows2000/XP。
在使用方面,Sonix具有独特的硬盘管理功能,其内置的主盘能够在Windows环境下直接使用和管理。可利用Windows环境下的工具软件对主盘调整分区、重新格式化;利用Windows资源管理器对主盘中的数据拷贝或删除;对主盘中的数据进行删除与恢复;对主盘中的数据进行备份或恢复。可将不同来源的硬盘分区组合于一块硬盘中,既可替换现有分区,也可将分区添加到主盘不同位置。
Sonix;是--款适合民用的计算机拷贝工具,但其3.3GB/min的拷贝速度和灵活的使用方式,特别适宜某些特殊环境、特殊需要的情况。因此,该设备可以作为计算机取证辅助工具。
优势:启动时间短,拷贝速度快、拷贝方式多,SATA硬盘、拷贝无需额外配件、双向拷贝、磁盘管理。
不足:拷贝精度同司法专业性设备相比略有差距,双向拷贝使用不当可能造成意外损失。
慧全DD212/D口128硬盘拷贝机
DD-212和DD-128是台湾慧全公司研制生产的两款不同的民用型硬盘拷贝机。主要特点是拷贝速度快,实测为2.8GB/min。DD-212型拷贝机可以实现一次同时拷贝2个IDE目标硬盘,DD-128支持SCSI硬盘和IDE硬盘的互换拷贝。两款拷贝机同时支持5.25in、3.5in、2.5inIDE硬盘和SATA硬盘,DD-128额外增加了SCSI I/II、Ultra-SCSI和SCA-SCSI硬盘的支持。
两款拷贝机适用于
MS-DOS,IBM-DOS,0S/2,NEC,Windows NT/2000/XP,Windows 95/98/ME,Macintosh,Unix/Xenix,Novell,Linux,FreeBSD格式及非FAT格式等不同操作系统。拷贝方式采用同步独立式,硬盘的格式化、复制、快速复制、比较、校验、数据擦除等功能可同时完成。数据拷贝、数据比较和校验功能可单独进行。拷贝功能方面,可选择完全复制、快速复制、分区复制。
优势:拷贝速度快,使用简单,处理坏扇区较好,SCSI硬盘拷贝,1对2拷贝。
不足:体积较大,拷贝精度不足,硬盘电源线定义不同,绝不可与其他厂商硬盘电源线互换使用。
SF-5000硬盘拷贝机
SF-5000硬盘拷贝机是美国Logicube公司研制的司法专业型硬盘取证设备。虽然MD5拷贝机必将逐步取代SF-5000拷贝机成为今后司法取证的主流产品,但由于其具有较高的性能价格比,SF-5000将继续在世界计算机取证领域中扮演重要的角色。
SF-5000拷贝机包含有MD5拷贝机的许多功能,只是拷贝速度相比稍慢,仅达到2GB/min。此外,不具备MD5拷贝机的关键词搜索功能、
CF卡插槽和dd镜像拷贝方式。其独特的CRC32校验机制(软件方式和硬件方式)能同时计算疑犯硬盘和证据硬盘的CRC32校验值,并通过打印机现场输出报告。SF一5000拷贝机能够与USB写保护适配器、Desktop写保护适配器和CloneCard配合使用,是一种使用灵活,安全可靠的计算机取证设备。目前,世界各地有几千台SF-5000拷贝机被司法部门大量使用,在国内,它也是司法部门打击计算机犯罪活动广泛的武器。
优势:启动时间短,拷贝精度高、拷贝方式多、USB接口只读保护、PCMCIA接口拷贝。
不足:拷贝完成时间相比其他设备较慢。
ICS Solo 2 Forensics硬盘拷贝机
Solo 2 Forensics是美国ICS公司研制的司法专用型硬盘取证设备。从疑犯硬盘到证据硬盘的拷贝速度可以达到1.8GB/min,具有CRC32校验机制,可确保数据位对位的准确。由于该公司的Solo 3尚在开发中,没有成品问世,但由于具有较高的性能价格比,因此Solo 2目前仍是ICS公司在各国司法部门中主要推广的产品。
Solo 2可对各种IDE硬盘进行快速拷贝,配合PCMCIA SCSI适配器可对SCSI硬盘进行拷贝。能够复制基于任何操作系统的硬盘,如DOS、Windows3.X、Windows95/98/2000、WindowsNT、OS/2、Macintosh、Unix、Novell等。可通过并口与计算机连接,适应硬盘无法拆卸的计算机取证问题。具备坏扇区跳过功能,可加快硬盘的复制完成时间。具有智能拷贝功能,可跳过硬盘空白区域,仅对数据区域进行拷贝。具备硬盘数据擦除功能。配合ICS公司提供的东芝1.8in硬盘适配器,可直接拷贝1.8in硬盘。配合各种笔记本计算机硬盘转接卡,无需将笔记本计算机的专用转接卡卸除,即可直接利用拷贝机进行快速拷贝。
优势:拷贝精度高、SCSI接口拷贝、坏扇区跳过、1.8in硬盘拷贝、硬盘转接卡品种多。
不足:启动时间相对比较长,灵活件不够。
Solitaire Turbo硬盘拷贝机
Solitaire Turbo是美国Logicube公司研制的一款民用型硬盘拷贝机,能够高速进行硬盘数据的复制工作,速度可达1.8GB/min。
该设备主要特点:支持双向拷贝,可从内部硬盘向外部端口拷贝,或从外部端口向内部硬盘拷贝,增加了使用灵活性;具备智能拷贝功能,拷贝单独的WindowsXP系统不到2min,非常适于进行系统日常维护;可配合USB Adaptor和CloneCard,无需拆卸硬盘直接对计算机硬盘进行拷贝。配合USB Adaptor,可作为USB硬盘盒使用,直接察看硬盘数据,进行硬盘维护。
由于系统默认从内部向外部端口拷贝,这与所有司法专用型拷贝机使用方式相反,一旦操作失误将会覆盖疑犯硬盘,因此如使用此种设备必须谨慎,或配合硬盘写保护设备以便保护疑犯硬盘数据安全。
优势:拷贝速度高、使用灵活、智能拷贝、
USB接口拷贝、USB硬盘管理、CloneCard。
不足:双向拷贝使用不当可能造成意外损失。
DriveCopy硬盘拷贝机
DriveCopy是美国MyKey公司研制的一种司法专用型硬盘取证设备,拷贝速度约为1.5GB/min。该设备的优点是简单易用,只需连接好硬盘,开启电源,即可自动对疑犯硬盘和证据硬盘进行复制,并在拷贝结束后自动提示。拷贝机具备硬盘只读功能,可保护疑犯硬盘数据不被改动。整个拷贝机体积只有两块硬盘大小,有效地节省了空间。由于操作简单,可由任何非专业人员使用。
优势:操作简单,数据只读。
不足:无进度显示。
Echo硬盘拷贝机
Echo是美国Logicube公司研制的一种民用型硬盘拷贝设备,拷贝速度接近900MB/min。Echo是目前国内外市场上所能见到的体积小的硬盘拷贝设备,虽然拷贝速度在所评测的所有拷贝机中相对比较慢,但是利用其默认的智能拷贝方式,拷贝
Windows 98/ME/2000/
XP的数据文件仍比软件方式快许多,对于系统维护、硬盘数据备份等任务非常有效。Echo以单向传输数据拷贝,操作非常简单,仅需简单按动几下按钮,即可根据需要以智能拷贝或以全盘拷贝方式进行硬盘复制。同时支持与CloneCard配合使用,无需拆卸笔记本计算机硬盘,即可通过PCMCIA接口传输数据。
Echo作为一款简单易用的硬盘拷贝设备,其1GB的智能拷贝速度相对于低廉的售价来说,应该具有极高的性价比。
优势:体积小,操作简单,智能拷贝,CloneCard拷贝,有拷贝速度和进度显示。
不足:速度较低,无时间显示。