成都網(wǎng)監(jiān)技術(shù)方案

錯誤!未找到引用源。

2011年11月

目錄

第1章公司介紹3

第2章技術(shù)說明4

第3章采購方案19

3.1取證軟件19

3.2手機取證系統(tǒng)30

3.3光盤修復(fù)機32

3.4SATA/IDE電子證據(jù)只讀鎖二代套件33

3.5FTK3.0取證軟件33

3.6X-Ways取證軟件37

3.7取證塔40

3.8現(xiàn)場勘查取證一體化設(shè)備44

3.9三合一轉(zhuǎn)接口49

3.10“效率源"flash閃存數(shù)據(jù)恢復(fù)大師50

3.11“效率源”智能數(shù)據(jù)指南針專業(yè)設(shè)備(DataCompass)50

3.12“效率源”HD固件專修程序企業(yè)版51

3.13“效率源”硬盤拷貝機DATACOPYKING51

3.14“效率源”硬盤拆卸設(shè)備(開盤機)55

3.15鏡像助手軟件56

3.16R-Studio數(shù)據(jù)恢復(fù)工具58

3.17屏幕錄像專家59

3.18IDAPRO反匯編工具61

3.19彩虹表密碼破解工具61

3.20SOLO4硬盤高速復(fù)制機63

第4章服務(wù)響應(yīng)67

4.1售后服務(wù)部門的人員配備、技術(shù)力量67

4.2技術(shù)培訓(xùn)方案68

4.3備/配件支持計劃69

4.4故障維修響應(yīng)時間69

4.5產(chǎn)品免費保修期，非保修期維修費用收取標準70

4.6其他70

第1章公司介紹

盤石軟件（前身“上海盤石數(shù)碼信息技術(shù)有限公司”）成立于2002年，專業(yè)從事計算

機取證和網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)和服務(wù)。2004年4月，隨著專業(yè)取證技術(shù)的發(fā)展，計算機取

證產(chǎn)品的研發(fā)和服務(wù)即成為公司的主要發(fā)展方向。公司目前有研發(fā)人員參與過國家十五攻關(guān)

項目、國家863項目以及部委和省市聯(lián)合的取證相關(guān)的研發(fā)任務(wù)。公司有資深取證服務(wù)顧

問多名，具有豐富的一線電子取證服務(wù)和辦案經(jīng)驗。盤石軟件總部設(shè)在上海，技術(shù)服務(wù)以長

三角為基礎(chǔ)輻射全國，在北京、成都、西安和廣州都設(shè)有辦事機構(gòu)，這些都為客戶的技術(shù)支

持和服務(wù)提供了強大的后盾。

盤石軟件曾多次承擔了針對公安技術(shù)人員的全國性的培訓(xùn)授課任務(wù)，和公安信息網(wǎng)絡(luò)安

全監(jiān)察部門建立了良好的溝通關(guān)系，提供專業(yè)的取證產(chǎn)品和技術(shù)服務(wù)，在一些新的技術(shù)領(lǐng)域

和案件上積累了豐富的經(jīng)驗，能提出自己獨特的見解并在到實際工作中不斷實踐。在舉世矚

目的2008年北京奧運會舉辦期間，盤石軟件很榮幸參與了奧運信息安全的保障工作，工作

成績得到公安部的一致認可并得到公安部頒發(fā)的錦旗。

在計算機取證研發(fā)和實踐過程中，盤石軟件對國內(nèi)外電子證據(jù)鑒定實驗室（后面簡稱鑒

定實驗室）的建設(shè)也十分關(guān)注，積極參與到鑒定實驗室建設(shè)的實踐中。在吸收國外鑒定實驗

室建設(shè)的成功經(jīng)驗下，我們先后為公安部、上海、廣州、湖北、安徽、浙江等地的實驗室提

供了建設(shè)方案，并參與公安部十一局、浙江省公安廳、湖北省公安廳、安徽省公安廳、上海

市公安局等各地電子證據(jù)鑒定實驗室的建設(shè)和裝備提供。

盤石軟件的企業(yè)文化：

企業(yè)愿景：成為具有世界水平的電子取證技術(shù)專業(yè)公司

企業(yè)目標：高度專注于電子取證領(lǐng)域的軟件開發(fā)與技術(shù)服務(wù)

核心價值觀：為社會、客戶、員工創(chuàng)造共同價值

企業(yè)口號：發(fā)展安全、專注取證、堅如磐石

質(zhì)量方針：持續(xù)創(chuàng)新、技術(shù)領(lǐng)先、品質(zhì)卓越、專業(yè)服務(wù)

第2章技術(shù)說明

根據(jù)成都網(wǎng)監(jiān)本次采購需求，我司在本技術(shù)方案中提供了相應(yīng)的建設(shè)方案。在本方案的第3章中詳細地描述了本次采購的相

關(guān)技術(shù)指標以供參考。

采購配置清單如下：

采購配置清單

名稱配置數(shù)量

SafeAnalyzer盤石介質(zhì)分析取證系統(tǒng)

SafeAnalyzer是國內(nèi)最好的電子數(shù)據(jù)取證綜合分析軟件，完全自主知識產(chǎn)權(quán),操作簡單容易上手，可以方便的在不同

計算機中使用，并且不用安裝在本地。提供證據(jù)固定、分析、報告生成等功能，實現(xiàn)動靜態(tài)和自動取證分析能力。具體功

取證軟件能包含：1

1.快速分析功能，自動取證：集成各種取證調(diào)查模塊的綜合調(diào)查功能，一步到位地完成幾乎所有的取證分析功能。能處理

實際案件調(diào)查過程中各種各樣的情況，批量執(zhí)行多種任務(wù)，實現(xiàn)一鍵式調(diào)查，大大簡化取證工作。

2.案件管理：支持保存到單一案件文件，支持離線瀏覽案件,數(shù)據(jù)源更改時重新選擇

3.獲取計算機系統(tǒng)運行狀態(tài)下的動態(tài)信息，包括系統(tǒng)進程、各種通訊及網(wǎng)絡(luò)服務(wù)帳號和密碼、上網(wǎng)記錄及網(wǎng)絡(luò)連接信息等；

基本信息獲取：系統(tǒng)基本信息、時區(qū)信息、服務(wù)信息、硬件信息、用戶信息、網(wǎng)絡(luò)配置信息、共享信息、安裝軟件、USB

設(shè)備使用信息；

4.設(shè)備加載：支持邏輯卷、物理硬盤、鏡像(.eOl,DD,aff,is。等)、文件集合對象。可以選擇不解析文件系統(tǒng)加載，支

持定義磁盤結(jié)束扇區(qū)。

5.文件系統(tǒng):支持以下文件系統(tǒng)：ntfs,fatl2/16/32,exfat,ext2/3,hfs,hfs+,cdfs,udf,可對以下文件系統(tǒng)恢復(fù)ntfs,ntfs

目錄索引，fatl2/16/32,exfat,最大支持文件數(shù)2000萬；

上網(wǎng)記錄：支持瀏覽器包括:、、支持書簽、緩存、歷史記錄的獲取。

6.IE.ChromeFireFox.360SEOperaoCookies,

Chrome支持密碼的獲取；

7.即時通訊：支持QQ、移動飛信、阿里旺旺、新浪UC、SKYPE、MSN、Yahoo、ICQ、ooVoo.AIM、Pidgin.Miranda

IM、MySpace.YY等；

8.QQ分析：能支持全系列QQ、TM好友信息、群組信息、群成員信息、好友聊天記錄、群聊天記錄的解析。支持全系列

QQ刪除記錄的恢復(fù)，特別是國內(nèi)獨有的針對QQ2009/2010/2011版本的記錄刪除恢復(fù)功能。

9.由B件分析：支持Foxmail、OutlookExpress.Outlook等客戶端，支持Tom、126、163、QQ、sina、yahoo等Web

郵箱；

10.下載工具：支持迅雷、網(wǎng)際快車、電驢、CuteFTP、FlashFXP等下載工具；過濾功能：支持多層次多種組合的過濾功

能，過濾支持正則表達式。預(yù)定義多種過濾模板；哈希分析：支持創(chuàng)建文件哈希集，可以根據(jù)哈希集進行快速哈希分析；

11.打印信息記錄分析調(diào)查：能自動搜索出用戶曾經(jīng)打印過的文檔記錄并查看打印內(nèi)容。

12.分析結(jié)果能夠自動打包并且生成報告，報告形式：分析結(jié)果以書簽方式加入到報告中。報告可以輸出html（IE形式）、

doc格式等；

13.搜索：提供關(guān)鍵詞配置選項，可進行多語種關(guān)鍵詞生成。中文支持gb2312、utf8、big5、unicode、unicodebe等編

碼格式。提供案件特定相關(guān)的關(guān)鍵詞。支持應(yīng)用的搜索。

14.特征分析：支持超過250種的文件特征分析，可以檢測加密的MSWord、MSExcelMSPowerPoint.PDF、Zip、

RAR、PrivateDisk加密容器等文件等。

15.時間線：支持文件和各種應(yīng)用的集中的時間線分析；給出了直觀的用戶行為痕跡分析結(jié)果，能夠直接查看用戶最近訪問

的文檔、最近打開的各種Office文檔、媒體播放器最近的視頻播放列表、USB設(shè)備（移動硬盤,U盤等移動介質(zhì)）的使用

記錄。

16.操作日志：詳細的操作日志

17.界面：類似Office2007的ribbon風格的操作界面，所有操作一目了然，簡單易用。支持多級枚舉。方便的條目選擇

（全選/全清/shift部分選中）；

18.圖片預(yù)覽：支持大中小三種模式的圖庫預(yù)覽；文本視圖：

19.自動識別編碼，支持導(dǎo)出，可以自定義塊；16進制視圖：支持內(nèi)容導(dǎo)出，導(dǎo)出格式包括文本、16進制，編碼顯示，C

源代碼。數(shù)據(jù)庫可以加入書簽；

20.64彳⑦桑作系統(tǒng)提供支持；

SafeMobile盤石手機取證分析系統(tǒng)

SafeMobile盤石手機取證分析系統(tǒng)采用統(tǒng)一的界面獲取各種品牌手機中用戶輸入的數(shù)據(jù)和部分設(shè)備的未分配存儲區(qū)

域，并進行取證分析。該產(chǎn)品得到科技部2007年度火炬基金支持。具體特性：

手機取證系統(tǒng)1

1.支持GSM/CDMA/WCDMA手機，包括Apple、多普達、摩托羅拉、諾基亞、西門子、三星、索爰、聯(lián)想、夏新、飛

利浦，天語、聯(lián)想、步步高、七喜、UT斯達康、OPPO、海爾、波導(dǎo)、等50余個品牌兩千多款手機，型號還在不斷

增加中；

2.支持中國市場使用的所有SIM卡，如全球通，M-ZONE,神州行，世界風，Up新勢力，如意通，Uni,寶視通,各種

CDMASIM卡；

3.國產(chǎn)手機的支持MTK平臺、展訊平臺

對智能手機的支持平臺、平臺、平臺、平臺，平臺；

4.LinuxWindowsCEXSymbianiPhoneAndroidBlackberry

5.對3GSIM卡/手機支持；手機/SIM卡電話本、通話記錄、短信、設(shè)備信息和文件的獲??；

6.支持郵件、彩信、即時通信（移動QQ,移動飛信）、上網(wǎng)日志的應(yīng)用分析；

7.支持對手機/SIM卡刪除短信的恢復(fù)；手機連接方式支持：數(shù)據(jù)線、紅外、藍牙

8.提供靈活多樣的搜索方法，支持多編碼格式同時搜索；

9.書簽功能靈活強大，能更好的幫助分析數(shù)據(jù)；

10.即時提供的報表預(yù)覽功能，一次性生成可打印報表，降低取證分析人員的勞動強度；

11.文件預(yù)覽功能可查看十六進制數(shù)據(jù)，方便高級取證分析人員進一步分析所得數(shù)據(jù)；圖庫功能：支持圖庫預(yù)覽功能；

12.支持設(shè)備MD5校驗，數(shù)據(jù)符合司法鑒定要求；

13.可選SIM卡復(fù)制的取證屏蔽方式；記錄詳細的操作日志，便于審查和復(fù)核工作。

自動光盤修復(fù)機

專業(yè)修復(fù)激光碟片(CD/DVD/CD-R/CD-RW等)

光盤修復(fù)機1

操作簡單，6分鐘自動完成打磨/修補/清潔，使碟片恢復(fù)正常播放

有效去除劃傷/灰塵/污點及指紋

SATA/IDE電子證據(jù)UltraBlockIDE/ESATA只讀接口

只讀鎖二代套件

FireWire/USB接口的IDE和SATA接口硬盤的取證寫保護器。產(chǎn)品通過FireWire-A(400Mb/s),FireWire-B(800Mb/s),1

或者USB1.X/2.0/3.0接口將IDE硬盤連接到取證計算機，進行只讀的證據(jù)獲取和分析。

FTK3.0取證軟件美國警方標準配備、全球警方使用量第一的FTK電子物證分析軟件，執(zhí)行自動、完整、徹底的計算機電子取證檢查。中文

司法分析軟件擁有強大自動的文件分析、過濾和搜索功能，自動對所有文件進行分類，自動定位有嫌疑的文件，快速自動1

找出所需的證據(jù)；FTK被公認為是進行電子郵件分析的領(lǐng)先取證工具，是全球銷量第一的電子物證分析軟件。中文司法分析

軟件FTK擁有行業(yè)領(lǐng)先的數(shù)據(jù)挖掘引擎，利用它,用戶可指定挖掘規(guī)則，如文件大小、數(shù)據(jù)類型及像素大小等，以減少挖

掘非相關(guān)數(shù)據(jù)的數(shù)量和時間。FTK軟件支持多種應(yīng)用程序數(shù)據(jù)的分析。

X-WaysForensics是為計算機取證分析人員提供的一個功能強大的、綜合的取證、分析環(huán)境。

磁盤克隆和鏡像功能，也可以在DOS環(huán)境下，可使用X-WaysReplica,以司法認可取證方式進行數(shù)據(jù)獲取

可檢查RAW原始數(shù)據(jù)鏡像文件中的完整目錄結(jié)構(gòu)，支持分段保存的鏡像文件

支持FAT,NTFS,Ext2/3,CDFS,UDF

內(nèi)置對RAID0、RAID5和動態(tài)磁盤的處理和恢復(fù)

察看并獲取物理RAM和虛擬內(nèi)存中的運行進程

X-Way取證軟件1

各種數(shù)據(jù)恢復(fù)功能，可對特定文件類型恢復(fù)，(可從FileSig導(dǎo)入上百種文件特征標識)

數(shù)據(jù)擦除功能，可徹底清除存儲介質(zhì)中數(shù)據(jù)

對磁盤或鏡像文件處理，收集殘留空間、空余空間、分區(qū)空隙中信息

建立所有計算機存儲介質(zhì)中文件、目錄的列表

簡單地檢測并分析ADS(NTFSalternatedatastreams),某些情況下Encase5.05和ILook也無法檢測

多種文件哈希值計算方法(CRC32,MD5,SHA-1,SHA-256,...)

區(qū)別于其他競爭產(chǎn)品，不完全依靠于MD5算法（MD5碰撞）

強大的物理和邏輯搜索功能，可同時搜索多個關(guān)鍵詞

書簽和注釋

單排塔式機箱，通過eSATA接口訪問SATA/IDE/SCS1/USB只讀接口，4xSATA/SAS熱拔插只讀倉，4xSATA/SAS熱拔

插讀寫倉，4x2.5SAS/SATA熱拔插只讀倉，4x2.5SAS/SATA熱拔插讀寫倉，USB/PS2/多功能讀卡器；IntelXeon5620

x2,16GECC內(nèi)存,500G+4T硬盤,Intel?82573LV雙千兆網(wǎng)卡，HD68501GDDR5顯存，DVDRW,64位Win7,

24寸顯示器x3,支持萬兆擴容

取證塔內(nèi)置取證系統(tǒng)包括：1

復(fù)制軟件

取證分析套件、、年服務(wù)）、

（SafeAnalyzerSafeVMSafeMounto2VmwareWorkstation

X-WaysForensic（2年服務(wù)）

R-Studio"

現(xiàn)場勘察取證一體化盤石取證T本機

1

設(shè)備1.一體化硬件設(shè)計

2.高性能CPU和主板架構(gòu),充分考慮分析性能設(shè)計

3.真正物理只讀設(shè)計，杜絕由于驅(qū)動導(dǎo)致非只讀問題

4.內(nèi)置多種設(shè)備只讀接口，涵蓋SATA,SAS、USB、多功能讀卡器

5.機身內(nèi)置兩個硬盤只讀接口和2個讀寫接口，可以完成2對2、2對1、1對2等多種方式的復(fù)制。復(fù)制過程中原始硬

盤始終只讀

6.可以通過擴展增加四個硬盤只讀接口

7.內(nèi)置雙千兆網(wǎng)卡，可以進行高速網(wǎng)絡(luò)固定和分析

8.多種復(fù)制格式，支持100%復(fù)制（位對位）、或者"證據(jù)"硬盤或者U盤上的LinuxDD鏡像（工業(yè)標準）和E01鏡

像文件（EnCase取證文件格式）?？梢宰远xLinuxDD的分片文件大小

9.硬盤復(fù)制速度最高14GB/分鐘

10.內(nèi)置計算機現(xiàn)場取證系統(tǒng)Safeimager

11.內(nèi)置國內(nèi)最好的取證分析軟件SafeAnalyzer,包括中文搜索、聊天分析、上網(wǎng)分析、郵件分析、日志分析、注冊表分

析、哈希分析、時間線分析以及各種數(shù)據(jù)恢復(fù)功能

12.內(nèi)置國內(nèi)最好的計算機仿真軟件SafeVM,可以將取證鏡像文件或者外接的硬盤模擬為虛擬機，在虛擬機環(huán)境下進行啟

動，取證調(diào)查人員可以以交互的方式和系統(tǒng)用戶的角度直觀的檢查和操作目標系統(tǒng)，收集相關(guān)證據(jù)。

三合一轉(zhuǎn)接口三合一硬盤轉(zhuǎn)換器，主要解決ZIF1.8英寸、2.5英寸及IDE1.8英寸、2.5英寸、3.5英寸接口硬盤之間的轉(zhuǎn)換問題1

效率源"flash閃存數(shù)據(jù)恢復(fù)大師

支持8Bit和16Bit兩種讀取方式的自動選擇，目前市面上的其它閃存恢復(fù)設(shè)備只支持8Bit方式讀取，不支持16Bit讀取讀

取芯片設(shè)備的底座可進行拆出更換，方便使用不同的底座以及損壞以后的更換，大大節(jié)省了使用維護成本

讀取芯片的電壓支持0.9V-5V可調(diào)節(jié)，常見的FLASH芯片為3.3V，隨著制造工藝的不斷發(fā)展，趨勢往低電壓方向發(fā)展，

如2.7V、1.8V、1.2V等都將是以后FLASH芯片的發(fā)展方向

"效率源"flash閃存

支持讀取的Page尺寸可調(diào)節(jié)，支持所有的格式，而目前市面上其它很多工具只支持528的倍數(shù)方式，局限性比較大1

數(shù)據(jù)恢復(fù)大師系統(tǒng)

不區(qū)分控制器，幾乎支持目前市面上所有的標準接口的FLASH芯片，LQ48封裝方式

FLASH芯片數(shù)據(jù)讀取時支持可調(diào)讀取速度

支持單芯片、單通道；多芯片、多通道的數(shù)據(jù)讀取和數(shù)據(jù)重組恢復(fù)

支持部分加密FLASH存儲的數(shù)據(jù)恢復(fù)

支持FLASH恢復(fù)多設(shè)備、多通道的專業(yè)恢復(fù)工具

"效率源”智能數(shù)據(jù)智能數(shù)據(jù)指南針(DataCompass)專業(yè)設(shè)備采用領(lǐng)先、實用、超強的移動性、簡單易學的設(shè)計理念，使用圖形操作界面，1

指南針專業(yè)設(shè)備在整個數(shù)據(jù)恢復(fù)過程中，能夠達到輕松簡便的上手使用；廣泛應(yīng)用于企業(yè)單位信息化管理運維數(shù)據(jù)安全保障中心、高校數(shù)

(DataCompass)據(jù)恢復(fù)技術(shù)研究實驗室、軍工企業(yè)涉密數(shù)據(jù)安全管理中心、金融機構(gòu)災(zāi)難應(yīng)急數(shù)據(jù)恢復(fù)中心、司法部門計算機取證實驗室

及專業(yè)數(shù)據(jù)恢復(fù)服務(wù)公司等

效率源HDDoctor數(shù)據(jù)恢復(fù)及固件修復(fù)工具可以在臺式機、筆記本電腦或者是一切裝有WINDOWS操作系統(tǒng)的同時具有

"效率源"HD固件專

USB2.0接口的計算機上使用，完全符合未來數(shù)據(jù)恢復(fù)上門服務(wù)的潮流發(fā)展要求；支持硬盤系列多，功能全面；工具設(shè)計簡1

修程序企業(yè)版

單，易上手、易操作，只要具備電月囪操作能力，即可在短期內(nèi)達到產(chǎn)品的熟悉使用。

硬盤復(fù)制機-DATACOPYKING是目前全球最先進的全領(lǐng)域硬盤拷貝產(chǎn)品，融合了硬盤高速拷貝、數(shù)據(jù)高速復(fù)制、安全擦除

和故障自動檢測的高性價比一體設(shè)備，硬盤拷貝機采用了效率源科技2010年最新技術(shù)，專為TB級大容量硬盤而設(shè)計，最大支

持131072TB.硬盤復(fù)制速度、擦除速度、對缺陷扇區(qū)的數(shù)據(jù)獲取能力均超過市場同類硬盤拷貝產(chǎn)品.最快硬盤拷貝理論速度

"效率源"硬盤拷貝

可達9GB/分，實測硬盤拷貝速度可達7GB/分鐘，數(shù)據(jù)擦除速度達到8GB/分鐘,同時采用專業(yè)級缺陷扇區(qū)獲取技術(shù)，可對缺陷扇

機DATACOPY1

區(qū)壞道嚴重的硬盤進行數(shù)據(jù)拷貝工作,適用全領(lǐng)域數(shù)據(jù)復(fù)制需求擴展支持U盤、SD卡、CF卡等USB2.0制式存儲設(shè)備.拷貝

KING

機比同類產(chǎn)品先進的技術(shù)功能有:速度更快、針對缺陷扇區(qū)壞道的復(fù)制和擦除更完善，不會出現(xiàn)工作時硬盤失去響應(yīng)情況等，

在缺陷扇區(qū)壞道嚴重的情況下完整獲取比同類產(chǎn)品多300%的數(shù)據(jù).并設(shè)有操作人員密碼權(quán)限管理LOG記錄打印、壞道修復(fù)

功能、自動判斷硬盤故障和硬盤健康情況等，擦除工作完成后,即使硬盤生產(chǎn)廠商和最頂級的情報機構(gòu)也再無完整恢復(fù)數(shù)據(jù)的

可能。

效率源硬盤盤體專用拆卸工具是全球第一款專業(yè)針對硬盤盤體內(nèi)部物理配件損壞，需要更換其內(nèi)部配件而對其拆卸更換時

"效率源”硬盤拆卸

所用的一款專用數(shù)據(jù)恢復(fù)輔助工具，對更換的硬盤進行固定，穩(wěn)固平衡，從而減少操作人員操作失誤的機率，保障更換工作1

設(shè)備（開盤機）

的安全完成，提高數(shù)據(jù)恢復(fù)的成功率，是硬盤物理級數(shù)據(jù)恢復(fù)的必備工具。

SafeMount盤石易載鏡像助手

SafeMount是一個強大的虛擬化工具，提供一種直觀和易用的方式訪問各種格式的數(shù)字鏡像文件，它將各種數(shù)字鏡像格式

文件（包括DD、Encase、AFF等）和VMDK虛擬磁盤文件模擬成Windows系統(tǒng)的磁盤或者邏輯分區(qū)，調(diào)查人員不需

鏡像助手軟件1

要借助任何取證分析軟件來提取鏡像文件內(nèi)的數(shù)字信息，只要使用常規(guī)的應(yīng)用軟件比如防病毒軟件、媒體播放軟件、圖形

圖像軟件、壓縮解壓軟件等來直接訪問虛擬磁盤或者虛擬分區(qū)內(nèi)的文件，所有訪問操作都不會對原始鏡像文件有任何修改。

SafeMount是取證調(diào)查人員的有力輔助工具。

R-Studio數(shù)據(jù)恢復(fù)工具

R-STUDIO數(shù)據(jù)恢復(fù)沒有進回收站而被直接刪除的文件，或者當回收站被清空時的文件；

1

工具因病毒攻擊或電源故障被刪除的文件；

文件分區(qū)被重新格式化后的文件（甚至是不同的文件系統(tǒng)）；

硬盤上的分區(qū)結(jié)構(gòu)被改變或損害時的文件。在這種情況下，R-Studio工具可以掃描硬盤，嘗試去找到以前存在的分

區(qū)并從找到的分區(qū)恢復(fù)文件。

有壞扇區(qū)的硬盤的文件R-Studio數(shù)據(jù)恢復(fù)軟件首先拷貝整個磁盤或者部分磁盤內(nèi)容到一個鏡像文件中，然后再處理

該鏡像文件。當新的壞扇區(qū)不斷出現(xiàn)在硬盤上時，這一處理方式尤為實用，其余信息必須立即保存。

標準的"WindowsExplorer"風格界面。

主機操作系統(tǒng):Windows9x、ME、NT、2000、XP、2003Server,Vista.

通過網(wǎng)絡(luò)進行數(shù)據(jù)恢復(fù)?？梢詮倪\行Win95/98/ME/NT/2000/XP/2003/Vista.Linux以及UNIX的網(wǎng)絡(luò)計算機上

恢復(fù)文件。

支持的文件系統(tǒng)：FAT12、FAT16,FAT32、NTFS、NTFS5(由Windows2000/XP/2003/Vista創(chuàng)建或更新)、

、

Ext2FS/Ext3FS(Linux)UFS1/UFS2(FreeBSD/0penBSD/NetBSD)o

識別和分析動態(tài)基本和分區(qū)布局方案。

(Windows2000/XP/2003/Vista)xBSD(UNIX)

損壞的RAID恢復(fù)。如果操作系統(tǒng)不能識別出您的RAID,您可以從其組件創(chuàng)建一個虛擬的RAID。這樣的虛擬RAID

可以當作真實的RAID處理。

創(chuàng)建鏡像文件用于整個硬盤、分區(qū)或它的一部分。這類鏡像文件可以作為常規(guī)的磁盤處理。

對被損壞或刪除的分區(qū)、加密文件(NTFS5)、額外的數(shù)據(jù)流(NTFS,NTFS5)進行數(shù)據(jù)恢復(fù)。

《屏幕錄像專家》是一款專業(yè)的屏幕錄像制作工具。使用它可以輕松地將屏幕上的軟件操作過程、網(wǎng)絡(luò)教學課件、網(wǎng)絡(luò)電

視、網(wǎng)絡(luò)電影、聊天視頻等錄制成FLASH動畫、WMV動畫、AVI動畫或者自播放的EXE動畫，也支持攝像頭錄像。本軟

屏幕錄像專家1

件具有長時間錄像并保證聲音完全同步的能力。本軟件使用簡單，功能強大，是制作各種屏幕錄像、軟件教學動畫和制作

教學課件的首選軟件。

IDAPr。是目前最棒的一個靜態(tài)反編譯軟件，是破解者不可缺少的利器!破解高手們幾乎都喜歡用這個軟件。IDAPro并不

自動的解決程序中的問題』DAPro會按時您指令的可疑之處，并不去解決這些問題。您的工作是通知IDA怎樣去做。IDA

ProDisassemblerandDebugger是一款交互式的，可編程的，可擴展的，多處理器的，Windows或Linux平臺主機分

IDAPRO反匯編工具1

析程序。被公認為最好的花錢可以買到的反匯編利器,IDAPro已經(jīng)成為事實上的分析敵意代碼的標準并讓其自身迅速成為

攻擊研究領(lǐng)域的重要工具。它的優(yōu)點是可以更好的反匯編和更有深層分析?？梢钥焖俚竭_指定的代碼位置；可以看到跳到

指定的位置的jmp的命令位置;可以看參考字符串；可以保存靜態(tài)匯編等。

ElcomsoftAdvancedOfficePasswordBreaker支持Office密碼破解

彩虹表密碼破解工具AdvancedArchivePasswordRecovery支持RAR和zip等壓縮文件密碼破解1

ElcomsoftAdvancedPDFPasswordRecovery支持PDF文件的密碼破解

ImageMASSterTMSolo-4是f高速取證復(fù)制機,提供調(diào)查人員鏡像一個"嫌疑"硬盤到兩個"證據(jù)"硬盤，或者同時

兩個"嫌疑"硬盤到兩個"證據(jù)"硬盤。內(nèi)建對SAS、SATA和USB設(shè)備的支持。支持SHA-LSHA-2和MD5校驗。同

時支持IDE、RAID、e-SATA設(shè)備和各種介質(zhì)卡，支持18'、2.5",3.5"和MicroSATA、ZIF設(shè)備。所有目標鏡像可

以以100%復(fù)制、LinuxDD鏡像和E01鏡像格式保存。所有的"嫌疑"設(shè)備可以在復(fù)制嵌取的同時即時加密來保護敏感

S0L04硬盤高速復(fù)

的數(shù)據(jù)。1

制機

Solo-4復(fù)制機可以以SATA-2速度（最高18GB/分鐘）復(fù)制、校躺口擦除驅(qū)動器。

S0L0-4復(fù)制機可以支持3對3復(fù)制

觸摸屏操作

S0L0-4運行在高可靠的WindowsXP操作系統(tǒng)上，提供擴展性和設(shè)備兼容性，全中文界面

第3章采購方案

3.1取證軟件

SafeAnalyzer盤石介質(zhì)取證分析系統(tǒng)

SafeAnalyzer為執(zhí)法部門提供全面、徹底的計算機數(shù)據(jù)

分析、檢查能力。具有強大的數(shù)據(jù)恢復(fù)、過濾、分析、查找和

報告功能，并提供簡單易用的操作界面，是當前電子數(shù)據(jù)取證

分析的首選工具。符合司法取證的需求。該產(chǎn)品是

ENCASE/FTK/Winhex等分析軟件的全中文替代品。更加符

合中國用戶的使用習慣。在部分功能效率上超越了國外產(chǎn)品。

■獲取鏡像生成MD5哈希校驗值，并可隨時校驗；

■導(dǎo)出文件可以同時計算文件的MD5哈希;

■分析過程有詳細的審計日志，便于案件的審查復(fù)核工作

關(guān)鍵特性包括:

支持計算機存儲介質(zhì)直接分析，及支持DD、AFF、Encase、Is。格式鏡像文件的分

析，及支持單獨目錄和文件加載，對其進行只讀訪問，不破壞原始數(shù)據(jù)；

支持本地磁盤、光驅(qū)、軟驅(qū)、外接設(shè)備；

支持MBR、GPT(Vista)分區(qū)方式，可以定義磁盤的結(jié)束扇區(qū)

支持NTFS、Fat、exFAT、Ext2/Ext3/Ext4、HFS/HFS+文件系統(tǒng);

支持離線方式打開案件

自動進行系統(tǒng)分析，包括系統(tǒng)安裝時間，操作系統(tǒng)版本，用戶信息，網(wǎng)絡(luò)配置信息,

安裝的程序，最后運行時間等，并可以選擇性地納入案件報告；

靈活的時區(qū)支持及管理，允許勘查人員為每一個證據(jù)文件、每一個卷或每一個案件指

定時區(qū)設(shè)置，解決了所分析的介質(zhì)使用的時區(qū)設(shè)置與調(diào)查人員所用時區(qū)設(shè)置不同的情況

■支持圖庫預(yù)覽功能；

■提供文本、十六進制、縮略圖、預(yù)覽等文件查看方式；

■自動編碼識別：支持文檔文件的編碼自動識別

■文本查看：包含文本查找、自動換行等功能

■十六進制解析：直接查看文件十六進制數(shù)據(jù)，并且實時將十六進制數(shù)據(jù)轉(zhuǎn)換為數(shù)值、

文本或者時間值等

■文件過濾：系統(tǒng)缺省和自定義的過濾功能，并支持多重過濾；

■時間線分析：通過設(shè)置時間區(qū)域，建立該區(qū)段修改、訪問、創(chuàng)建的文件時間線，方便定

位案件相關(guān)文件；

■刪除恢復(fù)：文件系統(tǒng)中刪除恢復(fù)、特征恢復(fù)；可恢復(fù)高級格式化磁盤內(nèi)的文件，可判斷

出交叉覆蓋文件；

■具有高性能的關(guān)鍵字搜索功能、支持多關(guān)鍵字同時搜索而不明顯降低效率，支持搜索前

過濾，提高搜索效率；

■關(guān)鍵詞查找：各種編碼格式的關(guān)鍵詞查找，支持正則表達式可忽略大小寫，關(guān)鍵字支持

GB2312、UTF7、UTF8、Unicode,Unicodebig-endian.Base64、Big5編碼，支持

多國語言搜索關(guān)鍵詞的配置；

■基本信息：方便取證人員對操作系統(tǒng)環(huán)境有個整體上的認識，能夠提取的的信息包括（操

作系統(tǒng)信息、時區(qū)信息、網(wǎng)絡(luò)配置、安裝軟件、服務(wù)列表、共享信息、用戶信息、USB

設(shè)備使用記錄、硬件信息、Windows搜索歷史、最近運行的程序、最近打開的文檔、自

動運行等）；

■注冊表分析：察看Windows的注冊表文件，可根據(jù)系統(tǒng)缺省和自定義的注冊表項目，

快速定位瀏覽;

■Web分析：查看目標機器的瀏覽器歷史、緩存記錄、Cookie信息和收藏夾等，支持被青

除歷史、緩存記錄的預(yù)覽和獲取功能，支持IE、Firefox,Opera、Chrome、360SE瀏覽器；

■郵件分析：查看對象計算機客戶端郵件，包括收件箱、發(fā)件箱、已發(fā)送郵件、草稿箱、

廢件箱等，支持的郵件客戶端有foxmail、outlook、Thunderbird、outlookexpress,還

支持對web郵箱的分析獲取，目前支持的web郵箱有：Tom、126、163、QQ、Yahoo、

Sina等；

■即時通訊分析：提供快速提取QQ、MSN、Skype、淘寶旺旺、雅虎通、飛信、UC、ICQ、

AIM、Pidgin、Mirand聊天記錄、好友列表以及語音記錄，丫丫好友列表及單聊記錄,ooVoo

好友列表及聊天記錄，并包括刪除QQ好友號、QQ聊天記錄及QQ2009的好友及群成

員列表，在有密碼、能上網(wǎng)的情況下可以查看QQ2009~QQ2011的聊天記錄；

■回收站分析：解析放入回收站的數(shù)據(jù)信息，及從回收站刪除的數(shù)據(jù)信息；

■事件日志分析：快速提取分析對象計算機事件日志；

■打印緩存：搜尋系統(tǒng)中存在的具體SPL和SHD文件，取出相關(guān)信息和EMF文件，還

可搜尋未分配簇取出未被覆蓋的EMF文件；

■下載軟件：針對FTP下載工具和P2P下載工具進行分析，主要是獲取下載的任務(wù)隊列

以及站點用戶的信息。支持FlashFXP,CuteFTP,LeapFTP；電驢，比特彗星，超級

旋風，快車，Vagaa等；

■復(fù)合文件分析：可以查看內(nèi)含有其它文件的多層組成的文件。能夠在層級查看那些文件；

■自動展開ZIP文件內(nèi)的目錄，直接搜索ZIP文件及office2007的文件

■快速分析：批量執(zhí)行多種任務(wù)，實現(xiàn)一鍵式調(diào)查，大大簡化取證工作。

■生成鏡像：可以將對象介質(zhì)制作成DD鏡像，并計算哈希值；

■校驗文件特征：用以校驗出目標文件屬性是否更改；

■報告生成：根據(jù)用戶添加的書簽和備注信息，生成案件報告;

■操作日志：對案件的操作都記錄日志;

■司法符合性：獲取鏡像生成SHA256、MD5哈希校驗值，并可隨時校驗，導(dǎo)出文件可以

同時計算文件的SHA256、MD5哈希，分析過程有詳細的審計日志，便于案件的審查復(fù)

核工作

■多國語言版本支持

■全中文界面，系統(tǒng)簡單易用。

主要特性詳列:

時間線：是反映計算機內(nèi)部信息在某一段時間內(nèi)的變化及統(tǒng)計，快捷地過濾當前想看的信息

活動，包括：文件、郵件、注冊表、即時通訊、上網(wǎng)日志、事件日志、下載軟件。在時間線

視圖里每種信息以不同顏色標記。

Mtt向SS0—上網(wǎng)曰as注冊*?仔曰asBOWditHF?3Xrt孫。

2003/1/I-I4：14：52：2010/12/I-11:05:50:;6用

序號時間名額

DeliveryStatu...MailDalivvrySub*y?t?m?mail?r-dawmonGgooglem>-rdlylvip4P,

<524423282?*-?*dlytvip*<dlylvipAgm?

定.成茹--“.*HW2EWF<S"<serviceO168>"**SSnftie*<dlylvipO?

<service^168?-*'3<2?>8"<dlylvip<??

付千<service?168r?g.?n?--*3E2I*B-?dlylvipO9?

"SSWRCj^fc*???rvic168r?>-?*3S3t*e"?dlylvipOgm?

JMI交aWVIP...<dlylvip^?-?*?iyuh"??iyuh?163xom?

RedMI交知已..siyuh^163.com-?vdlylvip@?

(YahootalB%...Yahoo!Delivers<delivers-masterQ>mail.yahoo.cojp?■?dlylvip99nr>

由JHS搐"JRWAA.^e"<dlylvif><P>■?'Bmiaozhong'?3miaozhongOgm>>

R.:?dlylvipOgm?>>>?524423282gq〈OE?

PANSAFE.Saf...guowei?-?nxd?：guoweiOpansafexom________Informati<

PANSAFE.Saf...?guowei?t>***<nxd9pan??.??________ti

PANSAFE.Saf...quowei4P■?cxd@pacafe.com：quowei4P________InformAtii*

________..._______________I?

949酗*2X51fififrWK)通訊;1”59上網(wǎng)日06029*中日0533下49SE中QM?:3O3：

Delect0431HM：:F.?FI入書簽中費無效

sNew

優(yōu)先SB：3茂

分—:tanowei

：4-產(chǎn)或肉謾

發(fā)雙人：nxd

TestSet:4萼/福興

?“京+FaiLUST*alafi

.悼0\flM4.??fXMBox\W<\PANSAFE.S?feAnalyzer-Defect.431入書2￡V)?fc5eS

事件日志：日志文件中的記錄可提供以下用途：監(jiān)控系統(tǒng)資源、審計用戶行為、對可疑行為

進行告警、確定入侵行為的范圍、為恢復(fù)系統(tǒng)提供幫助、生成調(diào)查報告、為打擊計算機犯罪

提供證據(jù)來源。錯誤!未指定書簽。提供了快速分析事件日志，提高取證分析的效率

________

?偉日寺,電.》：?

日cci?*i*e*

序號SS21來源用戶討M機

值卑2009-10-010000:03MSSQLSERVER