2014电子物证大纲 下载本文

(五)检出数据刻录

1.将检验出的数据刻录在“CD-R”或“DVD-R”、“DVD+R”空白光盘上,要采用封盘刻录。

2.对该光盘进行编号,编号格式为“sssssssss-v”,其中“sssssssss”代表收案号,“v”代表光盘序号。

3.贴上盘签。 三、检验结论

经对编号为“n”检材使用xxxx软件工具进行技术检验后,检出与yyyy有关数据文件mm个,大小计bb(单位可以使KB、MB或GB)。检出的数据文件刻录在编号为“sssssssss-v”光盘中。

四、注意事项

(一)在检验时,原则上不能改变检验对象中的数据。

(二)在检验过程中,搜索出的数据必须存储在专用的存储介质中。 (三)在检验过程中,要避免计算机硬盘剧烈振荡。

第二节 数据搜索

本方法适用于通过已知内容或关键字对硬盘、光盘、闪存等存储设备中的数据文件或二进制数据进行搜索的检验。

一、仪器设备 (一)硬件

存储器保全备份设备、电子物证检验工作站、只读接口设备。 (二)软件

1.操作系统:Windows、UNIX、Linux

2.软件工具:Encase、操作系统提供的资源(文件)管理器、命令行控制台 二、操作步骤

(一)检材和样本编号

对送检的检材和样本按“收案号+序号”进行编号。 (二)检材及样品拍照

将送检的检材及样本逐一拍照记录。 (三)检材及样品保全备份

原则上应将送检的检材及样本进行完整数据保全备份,保全备份可以通过硬件克隆或通过软件克隆工具实现。

(四)数据搜索检验

1.将检材(若已保全备份,使用保全备份的存储设备)接到电子物证检验工作站只读接口。

2.通过已知内容或关键字对存储设备中的数据文件进行搜索,可以使用Encase或操作系统提供的资源(文件)管理器及命令行控制台。

3.通过已知内容或关键字,使用Encase对存储设备中的二进制数据进行搜索。 4.Encase搜索数据步骤

在Encase中,可以通过对数据筛选或数据查询完成搜索数据检验。 数据筛选:

运行Encase,点击New菜单新建案件后,点击AddDevice菜单把检材中的数据加载到Encase中。

37

在Encase的Cases界面中,选中筛选范围(如整个硬盘、某个分区、选定的一组文件和文件的Slack空间)后,可以通过Filters、Queries界面中提供的各种功能对数据进行筛选。

数据查询:

运行Encase,点击New菜单新建案件后,点击AddDevice菜单把介质中的数据加载到Encase中。

在Keywords界面中,新建Keyword,在Searchexpression中输入关键字的二进制表达式后,点击确定按钮。

在Encase的Cases界面中,选中要搜索的范围(如整个硬盘、某个分区、选定的一组文件和文件的Slack空间)后,点击Search菜单并根据需要选择各项参数后进行搜索。

在SearchHits界面中,点击搜索结果,在Text和Hex界面中查看搜索到的数据。如果数据显示不正确,可在TextStyles界面中选择相应的语言、字库、编码方式后,再在Text和Hex界面中查看结果。

5.将搜索结果数据文件拷贝到检验专用的存储介质中。 (五)检出数据刻录

1.将检验出的数据刻录在“CD-R”或“DVD-R”、“DVD+R”空白光盘上,要采用封盘刻录。

2.对该光盘进行编号,编号格式为“sssssssss-v”,其中“sssssssss”代表收案号,“v”代表光盘序号。

3.贴上盘签。 三、检验结论

经对编号为“n”检材使用xxxx软件工具进行技术检验后,检出与yyyy有关数据文件mm个,大小计bb(单位可以使KB、MB或GB)。检出的数据文件刻录在编号为“sssssssss-v”光盘中。

四、注意事项

(一)在检验时,原则上不能改变检验对象中的数据。

(二)在检验过程中,搜索出的数据必须存储在专用的存储介质中。 (三)在检验过程中避免计算机硬盘剧烈振荡。

(四)对送检的检材和样品要做好防水、防磁、防静电保护。

第三节 数据恢复

本方法适用于对硬盘、闪存等存储设备中被删除的数据文件进行恢复检验。 一、仪器设备 (一)硬件

存储器保全备份设备、电子物证检验工作站。 (二)软件

1.操作系统:Windows、UNIX、Linux

2.软件工具:Encase、FinalData、EasyRecovery、FileRecovery、PhotoRecovery、Recovermyfile、Recover4all

二、操作步骤

(一)检材和样本编号

对送检的检材和样本按“收案号+序号”进行编号。 (二)检材及样品拍照

38

将送检的检材及样本逐一拍照记录。 (三)检材及样品保全备份

原则上将送检的检材及样本进行完整数据保全备份,保全备份可以通过硬件克隆或通过软件克隆工具实现。

(四)数据检验

1.将检材(若已保全备份,使用保全备份的存储设备)接到电子物证检验工作站只读接口。

2.对于恢复给定条件(如文件名、文件类型)的文件,优先使用EasyRecovery检验。 3.对于恢复全部文件,优先使用FinalData检验。 4.对于恢复图像文件,优先使用PhotoRecovery检验。 5.Encase恢复数据文件方法

运行Encase,点击New菜单新建案件后,点击AddDevice菜单把介质中的数据加载到Encase中。

如果检材介质的文件格式系统为FAT方式,在Encase的Cases界面中选中要恢复的分区后,点击鼠标右键选择RecoverFolders进行数据恢复,在RecoveredFolders文件夹下查看恢复结果。

如果检材介质的文件格式系统为NTFS方式,在Encase的Cases界面中点击要恢复的分区后,在LostFiles目录中查看恢复结果。

6.FinalData恢复数据文件方法 运行FinalData,点击文件菜单下的打开按钮,选择要恢复的逻辑驱动器或物理驱动器,点击确定按钮进行数据恢复。

7.EasyRecovery恢复数据文件方法

运行EasyRecovery后,选择DataRecovery按钮,选择相应的恢复方式后,选择要恢复的分区后进行数据恢复。

8.FileRecovery恢复数据文件方法

运行FileRecovery后,选择要恢复的分区和文件的类型后,点击开始扫描按钮进行数据恢复。

9.PhotoRecovery恢复数据文件方法

运行PhotoRecovery后,点击打开驱动器按钮,选择要恢复的逻辑驱动器,点击OK按钮进行数据恢复。

10.Recovermyfile恢复数据文件方法

运行RecoverMyFiles后,点击开始搜索文件按钮,选择快速搜索、完全搜索或格式化恢复。选择要恢复的分区后进行数据恢复。

11.Recover4all恢复数据文件方法

运行Recover4all后,选择要恢复的分区后点击Recover按钮进行数据恢复。 12.将恢复的数据拷贝到检验专用存储介质中。 (五)检出数据刻录

(一)将检验出的数据刻录在“CD-R”或“DVD-R”、“DVD+R”空白光盘上,要采用封盘刻录。

(二)对该光盘进行编号,编号格式为“sssssssss-v”,其中“sssssssss”代表收案号,“v”代表光盘序号。

(三)贴上盘签。 三、检验结论

经对编号为“n”检材使用xxxx软件工具进行技术检验后,检出数据文件mm个,大小

39

计bb(单位可以使KB、MB或GB)。检出的数据文件刻录在编号为“sssssssss-v”光盘中。

四、注意事项

(一)在检验时,原则上不能改变检验对象中的数据。

(二)在检验过程中,恢复出的数据必须存储在专用的存储介质中。 (三)在检验过程中避免计算机硬盘剧烈振荡。

(四)对送检的检材和样品要做好防水、防磁、防静电保护。 五、说明

在进行数据恢复检验的工作实践中,通常应向送检人了解:需要恢复的文件存储的逻辑分区(C盘、D盘等)是什么;需要恢复的文件的类型是什么(文档文件、图像、多媒体文件、数据库文件、程序文件、聊天记录、网页等);送检的硬盘从现场提取后,是否被读写过;送检的硬盘是在什么状态下(开机还是关机)获取的;送检的计算机是家用机器还是网吧机器,是否安装了还原精灵;需要恢复的文件的时间范围;需要恢复的文件的内容;等等。

第四节 文件一致性检验

本方法适用于检材中文件数据与样本中的文件数据一致性检验。

一、仪器设备 (一)硬件

存储器保全备份设备、电子物证检验工作站。 (二)软件

1.操作系统:Windows 2.软件工具:Encase、FTK 二、操作步骤

(一)检材和样本编号

对送检的检材和样本按“收案号+序号”进行编号。 (二)检材及样品拍照

将送检的检材及样本逐一拍照记录。

(三)将检材数据文件和样本数据文件刻录在光盘中备份。

(四)将备份的检材数据文件和样本数据文件拷贝到电子检验工作站中。 (五)数据检验

1.使用Encase或FTK分别计算检材数据文件和样本数据文件的哈希值。 2.使用Encase数据检验步骤

运行Encase,点击New菜单新建案件后,点击AddDevice菜单把存有要检验文件的分区(此分区中最好只有检材和样本文件)加载到Encase中。

在Encase的Cases界面中选中检材和样本文件后,点击Search菜单并选中SelectedFileOnly选项和Computehashvalue选项,点击确定按钮即可进行哈希值的计算。

在Table界面中HashValue表单下查看并比较检材和样本的哈希值。 3.使用FTK数据检验步骤

运行AccessDataFTK→点击File菜单下的NewCase菜单新建案件,并按照要求填写一些信息→在ProcessestoPerform界面中必须选中MD5Hash和SHA1Hash选项,其他界面中的选项都可以不选。在AddEvidence界面中点击AddEvidence按钮→在AddEvidencetoCase界面中选择IndividualFile选项→在SelectFile界面中,选择检材和样本数据的文件。将包含检材和样本数据的文件夹加入到AccessDataFTK后,进行哈希值的计算。

在Overview界面中点中UncheckedItems按钮后选中检材和样本数据的文件,再在

40