來源:興百邦
引言
電子數據證據保全、電子數據快速提取(現場大規模取證)、電子數據深度分析及安全事件的應急響應是執法部門、司法機關、企業內部調查取證及IT安全專家常遇到的應用場景。 一線的電子數據取證人員在現場遇到諸多挑戰,主要體現在以下幾個方面:
設備內置的存儲介質無法拆卸:現場待取證的計算機硬碟無法拆卸或難以拆卸,無法採用傳統的硬碟複製機或只讀鎖設備來進行證據固定。
涉案計算機數量眾多(大規模取證):案件處於前期調查階段,現場有大量的計算機需要快速預檢,從而確認涉案的關鍵主機。
辦案時間緊迫、有定向的特定數據提取要求:一線取證人員需要在有限的時間內對現場的計算機進行快速處置,如快速提取特定數據(如文檔、照片、電子郵件、聊天記錄等)
需在有限的時間內快速進行犯罪現場重現:案件需在保護原始存儲介質數據不被篡改的情況下,直接對虛擬空間的犯罪現場進行重現,如快速調查取證工作及事件應急響應。
興百邦自主研發的取證前鋒(CSI Responder)是一款既符合司法取證要求又簡單易用的綜合現場取證工具,產品分為標準版、專業版和旗艦版。取證前鋒是在電子數據取證現場充分發揮獨特優勢,不拆卸目標計算機硬碟即可開展現場預檢、現場保全、現場動態仿真和現場取證分析,實現現場取證「零等待「,具有獨特的應用創新理念,有效解決了現場取證遇到的各種問題。 此外,取證前鋒系統還具備較高的開放性,取證人員可以根據現場需要,自行安裝驅動程序(特別是硬碟驅動)及第三方取證分析軟體,實現取證系統功能的兼容性提升及功能擴展。
興百邦取證前鋒內置了多款自主研發的取證工具,包括磁碟防寫工具CSI SuperBlock、磁碟鏡像獲取工具CSI Imager、磁碟虛擬掛載工具CSI Mounter、動態仿真取證工具VMF、計算機取證分析軟體取證神探SuperDetective等。
蘋果電腦取證
取證前鋒完美支持了對MacBook、MacBookAir、MacBook Pro筆記本、iMac一體機、MacPro等機型進行不拆硬碟場景下的硬碟鏡像製作,支持製作為E01、Ex01和DD等鏡像格式,支持直接訪問蘋果文件系統分區中所有文件,並提取特定的數據文件。興百邦技術團隊對蘋果實體店Apple Store中近3年銷售的機型進行測試,實現100%兼容。
支持蘋果專用TDM模式取證 (僅限旗艦版本),支持通過雷電(ThunderBolt2或ThunderBolt3)對目標計算機(蘋果電腦系列)進行高速硬碟數據鏡像、預檢及取證分析等。支持對Fusion混合磁碟及CoreStorage的蘋果電腦的硬碟鏡像獲取,無需再重組文件系統,支持蘋果最新macOS10.13(帶APFS文件系統)的磁碟的獲取。
微軟Surface電腦取證
興百邦技術團隊對微軟Surface系列電腦進行了大量測試,支持對Surface非ARM架構的各種平板電腦及筆記本(Surface 3/Pro 4/Surface Book/Surface Laptop等)的證據固定,完美支持Surface電腦的設備加密磁碟的解密狀態鏡像製作。
Surface設備都內置TPM加密晶片,通常使用本地帳戶登錄即默認啟用設備加密(Device Encryption),它是一種基於TPM晶片的BitLocker簡單加密機制,加密機制與用戶密碼設置無關。此外,取證前鋒同時支持微軟帳戶登錄模式下的BitLocker加密磁碟數據獲取與數據解析(需提供用戶密碼或恢復密鑰)。
其它市場主流品牌電腦取證
經過前期大量的設備實測,取證前鋒支持大部分市場主流筆記本、基於Intel架構的平板電腦(小米、華為、戴爾、SONY、華碩等)、臺式機及伺服器進行不拆硬碟的鏡像獲取,固定現場電子證據。支持對帶有RAID軟硬體陣列的伺服器的進行邏輯卷獲取,無需再進行RAID陣列重組;
磁碟防寫 (CSI SuperBlock)
CSI SuperBlock是取證前鋒的內置組件,在取證引導系統啟動後,從系統驅動層面對本地物理磁碟進行數據防寫,即使用戶通過磁碟管理器界面也無法修改磁碟狀態,實現可靠的源盤數據防寫功能。
磁碟鏡像獲取(CSI Imager)
CSI Imager是興百邦自主研發用於對現場目標計算機的硬碟進行證據鏡像製作的多功能工具,支持一對一、一對多、多通道高速並行三種模式進行硬碟的高速鏡像獲取,採用多通道接口進行dd格式鏡像獲取可達50GB/min以上,達到行業領先水平,最終取決於目標計算機的外置存儲接口數量及內置硬碟的性能。
磁碟虛擬掛載 (CSI Mounter)
為了解決Surface電腦設備加密磁碟問題,興百邦針對該需求研發了磁碟虛擬掛載工具CSI Mounter,對源盤數據進行保護的同時,實現與TPM加密晶片進行動態交互,直接對默認啟用的設備加密磁碟進行動態解密。
該系列操作完全符合司法有效性,目標計算機源盤數據仍處於加密狀態,保持了數據完整性,結合CSI Imager獨有的加密磁碟解密鏡像製作功能,可直接製作出Surface解密狀態下的物理磁碟的全盤鏡像,可以使用取證分析工具直接分析(目前任何其它取證工具FTK Imager、EnCase /X-Ways Forensic、取證大師等均無法製作出解密狀態的全盤鏡像)。經測試,Surface系統多次重新啟動,源盤全盤哈希保持一致,使用CSI Mounter結合CSI Imager製作的Surface解密狀態下的物理磁碟鏡像哈希也保持一致,達到電子數據司法鑑定的要求。
免拆機動態仿真取證(零等待)
在現場無需拆卸目標計算機硬碟同時對硬碟進行防寫的狀態下(零等待),實現了免拆機直接動態仿真取證功能,直觀地查看(所見即所得)被調查人員使用過的Windows、macOS、Linux三大作業系統的桌面、回收站、瀏覽器、安裝軟體列表等),並獲取各種敏感數據,如已保存的各種密碼。
多平臺作業系統取證分析
內置計算機取證分析軟體取證神探, 一套軟體實現跨平臺多作業系統的取證分析,支持Windows、macOS及Linux三大系統平臺的取證。
支持解析FAT、NTFS、exFAT、ext2/3/4、HFS/HFS+及蘋果最新APFS文件系統
支持對磁碟中各類數據的深度分析,包括不同層級的數據恢復(刪除文件恢復、分區恢復、格式化恢復、籤名恢復等)
支持文件及磁碟級的關鍵詞搜索及模糊搜索(正則表達式)
支持自動準確識別Windows分區驅動器盤符、提取NTFS分區格式化時間及Windows7-Win10系列網卡MAC地址等
支持多種應用程式痕跡分析(包括預讀文件Prefetch、ShimCache、AmCache及UserAssist註冊表信息等),
支持國內外各種瀏覽器、電子郵件客戶端及即時通訊軟體的取證分析
支持NTFS USN日誌分析(提取文件刪除記錄及時間、百度雲盤上傳下載記錄、木馬在磁碟中的行為分析等)。