电子数据取证工具的分类及规则运用

研究角度的不同，电子数据取证工具分类也是多样的。笔者通过文献梳理，发现当前对电子数据取证工具的分类主要有按取证工具功能的分类、按取证过程的分类、按硬件软件的分类、按商用开源与否的分类。

(一)按工具功能的工具分类

取证工具依工具功能划分为三大类:实时响应工具、取证复制工具和取证分析工具。^[5]

1.实时响应类工具

实时响应类证据主要是开机状态下的易失性数据，包括打开并未保存的文档、登录的用户名和密码、运行的进程列表、文件的时间信息、网络用户的连接信息、打开的套接字列表等，由于系统关闭后这些数据便会全部丢失，而且不可能恢复。

Windows系统中一些常用的实时响应工具包括:md.exe(系统内置)、PsLoggedOn(www.Foundsfone.com)、rasusers(W lndows NT资源工具包(NTRK))、netStat(系统内置)、Fport(www.foundstone.com)、PsList、ListDlls、rmtshare(Windows NT资源工具包(NTRK))、netcat(www.atstake.com)、cryptcat(http://sourceforge.net)等。

2.取证复制工具

取证复制工具指包含每个比特源信息的文件，采用原始的比特流格式，对硬盘数据进行备份。这个过程是制作司法鉴定复件或者制作合格的司法鉴定复件的过程。

具体包括:Unix系统命令dd，dd工具用于将二进制数据流从一个文件复制到另外一个文件中；采用客户机/服务器模式的开放数据复制工具(ODD)，允许调查人员对一个局域网上的多合计算机系统同时进行司法鉴定复制；Safeback、Encase工具。

3.取证分析工具

常见的取证分析工具主要有同时具有取证复制和取证分析功能的EnCaSe、AccessData公司的FTK(Forensic Toolkit)、The Coroner's Tookit(TCT工具包)、ForensiX、New TechnoIogies Inc.(NTI)等。

(二)按取证过程的工具分类

通俗地讲，调查取证过程一般是证据的获取、保全、分析和报告的过程，因此按照证据取证的过程可对取证工具进行分类。^[6]

1.证据获取工具

证据获取工具就是用来从这些证据源中得到准确的数据。证据来源包括主机系统方面的和网络方面的。针对证据获取，关于主机系统取证的工具有主机系统及文件基本信息的获取工具；磁盘映像工具，如Safe Back、SnapBack、Linux“dd”、DIBS PERU等；磁盘擦除工具和反删除工具，如NTI公司的DiskScrub工具、Unrm、Higher Ground Software lnc.的软件Hard Drive Mechanic等；磁盘特殊区域数据获取工具，如NTI公司的GetFree工具等；磁盘特殊文件获取工具。

网络信息获取工具用来监测网络信道，获取特定的可成为证据的信息。常用的网络信息获取工具有windump、iris、tcpdump、ngrep、snort、sniflit、dsniff、grave-robber等。还有一些获取本地网络状态信息的工具，如netstat、route、arp等。

2.证据保全工具

在电子数据取证过程中，为了保全证据通常使用数字摘要、数据签名和数字时间戳技术。可以利用Hash函数的单向不可逆性，通过比较前后数字摘要的不同，验证电子数据的完整性，也可将电子数据的数字摘要与时间信息结合起来，采用数字签名技术，验证电子数据的完整性。

Md5sum、CRCMd5、DiskSig、DiskSig pro、Seized等是常用的数字证据保全工具，其中Md5sum用MD5算法对给定的数据计算MD5校验和；CRCMd5可以对给定的数据计算CRC和MD5校验和；DiskSig验证映像文件拷贝精确性的CRC哈希工具；DiskSig pro验证映像文件拷贝精确性的CRC或MD5哈希工具；Seized保证用户无法对正在被调查的计算机或系统进行操作。

3.证据分析工具

证据分析内容包括分析计算机的类型，采用的操作系统类型，是否有隐藏的分区，有无可疑外设，有无远程控制和木马程序及当前计算机系统的网络环境等。

New Technology公司的Ptable工具可以用来分析硬盘驱动器的分区情况；New Technology公司的FileList工具是一个磁盘目录工具，浏览文件系统的目录树；16进制编辑器UltraEdit32和winhex等工具来检查磁盘的主引导记录和引导扇区；Net Threat Analyzed使用人工智能中的模式识别技术，分析slack磁盘空间、未分配磁盘空间、自由空问中所包含的信息，研究Swap文件、缓存文件、临时文件及网络流动数据；Ethereal能在UINX和Windows系统中运行，能捕捉通过网络的流量并进行分析，能重构诸如上网和访问网络文件等；Quick View Plus文件浏览器等。

4.证据归档工具(www.xing528.com)

证据归档对涉及计算机犯罪的时间、地点、直接证据信息、系统环境信息、取证过程，以及取证专家对电子数据的分析结果和评估报告等进行归档处理。

证据归档工具比较典型的是NTI公司的软件NTIDOC，可用于自动记录电子数据产生的时间、日期及文件属性。还有Guidance Software公司的Encase工具等。

(三)按硬件软件的工具分类

以证据的来源为标准，取证技术可分为单机取证技术、网络取证技术和相关设备取证技术，而应用于取证的工具可以分为软件工具和硬件工具两大类。^[7]

1.电子数据取证硬件工具

电子数据取证硬件工具主要包括数据复制设备、写保护设备(只读设备)、分析检验设备、接口转换设备、数据保护擦除设备等。^[8]数据复制设备包括硬盘复制设备和光盘复制设备；写保护设备可以通过硬件或软件方式实现对嫌疑人硬盘或其他存储器中的原始数据采取“读”信号而不允许“写”信号获取电子数据；分析检验设备用于分析检验涉案介质中的电子数据；接口转换设备用于通过接口转换设备将之互联互通；数据保护擦除设备用以快速擦除不同规格的硬盘中的数据，防止将其被再次恢复。

2.电子数据取证软件工具

从功能上划分，主要包括查看软件、镜像软件、数据恢复软件、密码破解软件、检验分析软件等。其中查看软件是查看数据文件的阅读工具，如Quick View Plus，Conversion Plus等，也包括一些图片检查工具，如TnumbsPlus等；检验分析软件中常见的EnCase、FTK都是集成化的综合检验分析软件，如Encase集成了基于Windows界面的取证应用程序，其功能包括数据浏览、搜索、磁盘浏览、数据预览、建立案例、建立证据文件、保存案例等。

(四)按商用开源与否的工具分类

在电子数据取证早期阶段，少有商业的专业取证工具，非专用取证工具成为当时电子数据取证的唯一选择，随着对电子数据取证的需求，国内外每年都有各种各样的工具不断涌现或更新。有学者将取证工具分为商业取证工具、开源(免费)取证工具和为执法部门服务的专用取证工具。^[9]

1.专用法证工具^[10]

专用法证工具也是商业取证工具，专用法证工具指为执法部门提供全面、彻底的数据获取、分析和发现能力的软件，分析结论受法院认可。^[11]

(1)Encase系列取证分析工具。EnCase是Guidance Software公司推出的取证产品，该软件是一款目前国际上主流的数据分析取证软件，在执法部门、司法部门及公司监察部门等得到最为广泛的运用。Encase能物理获取而非逻辑获取目标盘上的数据，获取的方式多样化，并通过预览到证据盘文件形式进行数据获取，对新的证据文件格式(Ex01和LEFx)直接加密，这是其功能之一。另一个Encase的主要功能特色是多样化的证据分析手段，也是其核心功能之一，主要包括文件恢复、文件签名验证、哈希分析、强大搜索引擎、查看和解析证据文件中复合文件的组成成分、用于Enscripts脚本开发的环境的内置开发平台等。^[12]自Encase v7后，其又增加了对平板电脑和多种操作系统智能手机的支持。

(2)FTK司法分析软件。由美国AccessData公司推出的FTK(Forensic Toolkit)软件内置Outside In Viewer技术，可查看超过270种不同格式的文件，可自定义的过滤选项能满足用户从上万份文件中快速查找所需的证据，全文索引功能可即时生成搜索结果，具有超强的图像和互联网信息搜索功能。FTK电子邮件和压缩文件分析是FTK的特色之一，可查看、搜索、打印、导出电子邮件信息和附件，可恢复删除部分邮件信息。

(3)X-Ways Forensics综合取证分析工具。X-ways Forensics是由德国Xways出品的一个法证分析软件，它其实是Winhex的一个法证授权版，跟Winhex界面完全一样。它可以运行在所有可用的Windows版本上。X-Ways Forensics可进行完整数据获取的磁盘克隆和镜像；可分析RAW/dd/ISO/VHD/VMDK格式原始数据镜像文件中的完整目录结构；支持对JBOD、RAID0、RAID5、RAID5EE、RAID 6、Windows动态磁盘和LVM2等磁盘阵列；支持FAT12/16/32、NTFS、Ext2/3/4、CDFS/ISO9660/Joliet、UDF文件系统；支持多种哈希计算方法。X-Ways Forensics具备多种数据恢复功能，可对特定文件类型恢复；其强大的物理搜索和逻辑搜索功能，可同时搜索多个关键词；可创建证据文件中的文件和目录列表；可以运行在Windows FE等Windows环境中，配合F-Response可进行远程计算机分析等。

(4)Nuix电子邮件数据分析系统。澳大利亚Nuix公司的FBI Forensic Desktop目前是世界领先的电子邮件及电子数据图形化分析工具，版本V3之后不再只针对电子邮件进行分析，已成为专业的海量电子数据分析工具，通过分析服务器/多工作站的协同工作，可快速分类、预览各种数据。Nuix Forensic Desktop支持邮件格式的种类覆盖所有常见的邮件类型，具备强大的图形展示功能，目前Nuix拥有多国语言版本，可提供简体中文、英文等版本。

(5)NetAnalsis分析软件。NetAnalsis软件由Digital Detective公司推出，用于对互联网历史访问纪录进行分析和恢复。NetAnalsis软件功能包括直接从写保护的物理和逻辑磁盘中查找记录；从未分配空间、Swap交换文件、DD镜像和二进制文件中查找、恢复历史记录；能自动过滤并分类搜索词汇；NetAnalysis还支持关键词库和SQL查询等。

2.开源代码的取证工具

犯罪安全与计算机取证公司在2011年列举出了常见的开源(免费)的取证工具，在2017年11月29日进行了各取证工具的最近版本的更新。^[13]开源的取证工具种类包括磁盘和数据捕获工具、文件分析工具、互联网分析工具、文件查看器、电子邮件分析工具、注册表分析工具、移动设备分析工具、Mac OS分析工具、一般性取证工具以及一些以供参考的取证工具，笔者归纳整理其开源代码的取证工具如表7-1所示。

表7-1　开源代码的取证工具

续表