课件一计算机犯罪侦查概述.ppt

1、QQ关联分析；后期分析系统-AN6的使用；各种密码破解软件、数据恢复等软件的使用；勘察箱软件包证据分析软件-ENCASE/FTK硬盘复制设备特定数据获取设备光盘与各种存储介质复制设备PDA与手机数据获取设备电子数据现场综合取证设备DC-8101(公安部立项公安部立项)最高克隆速度最高克隆速度 IDE3.3G/分钟分钟，SCSI 1.1G/分钟分钟具有具有100%的的复制（位对位）复制（位对位）功能；功能；为了降低现场工作时间提供为了降低现场工作时间提供快速复制快速复制功能。功能。提供提供电源后备电源后备功能功能,提高可靠性提高可靠性,适合特殊工作；适合特殊工作；独创的独创的单键式操作单键式操作

2、,使用十分方便；使用十分方便；超强的超强的容错容错能力能力,克服了国外克隆的弱点。克服了国外克隆的弱点。DC8200按下按下“START”按钮次，开始克隆按钮次，开始克隆适合进现场的要求适合进现场的要求适合特殊工作，不容易出错适合特殊工作，不容易出错DC8200/CD200 支持所有类型硬盘的复制支持所有类型硬盘的复制(配合转换器配合转换器)取消取证时对电源环境的依赖,提高复制系统工作可靠性取证时,可以暂时离开现场,在移动中不间断复制工作硬盘复制设备特定数据获取设备光盘与各种存储介质复制设备PDA与手机数据获取设备电子数据现场综合取证设备 提供提供火线火线400/800/USB 2.0接口接口

3、支持不卸硬盘支持不卸硬盘，对硬盘快速复制，对硬盘快速复制提供提供DD镜像功能镜像功能，镜像文件可，镜像文件可以直接由以直接由ENCASE、FTK进行分析；进行分析；适合案件适合案件勘察勘察。支持不卸硬盘支持不卸硬盘,对硬盘特定目录对硬盘特定目录/特定文件复制。适合案件特定文件复制。适合案件侦察侦察。现场特定数据获取设备现场特定数据获取设备DC-8500/CD-500USB1.1/2.0USB1.1/2.0启动光盘启动光盘对方计算机对方计算机火线，火线，复制速度：复制速度：平均平均1-1.8G/分钟；分钟；可以通过笔记本的端口连接火线可以通过笔记本的端口连接火线B的端口，数据复制速的端口，数据复

4、制速度最高可以达到度最高可以达到2/分钟分钟;CD-500CD-5001394A,BUSB连接线1394通讯卡系统启动光盘电源试配器CD-500复制设备DC-8600 复制设备复制设备DC-8600启动光盘启动光盘在线取证在线取证离线取证离线取证不拆机复制硬盘不拆机复制硬盘支持磁盘阵列获取支持磁盘阵列获取易丢失数据提取易丢失数据提取取证流程监管功能取证流程监管功能个人关键信息提取个人关键信息提取不拆机复制硬盘不拆机复制硬盘支持磁盘阵列获取支持磁盘阵列获取提供硬盘完全复制功能；提供DD-Image方式；提供MD5、SHA1验证功能；提供特定文件复制功能-（磁盘阵列）复制功能擦除功能散列计算功能微

5、型多功能硬盘复制机CD-150硬盘复制设备特定数据获取设备光盘与各种存储介质复制设备PDA与手机数据获取设备电子数据现场综合取证设备用于快速复制对象的介质用于后期分析；复制速度：CDROM 1-5分钟DVD 5-8分钟适用於多种光盘格式；操作简单支持一键复制功能；硬盘复制设备特定数据获取设备光盘与各种存储介质复制设备PDA与手机数据获取设备电子数据现场综合取证设备SIM卡信息提取卡信息提取:能够有效的取出能够有效的取出SIM卡中存放卡中存放的号码记录信息的号码记录信息,并可以并可以找出被删除的号码找出被删除的号码;获取获取TDMA/CDMA 手机中存放的加密手机簿手机中存放的加密手机簿信息信息

6、;提取各种提取各种GSM手机中存放的各种信息手机中存放的各种信息;手机簿手机簿,短消息短消息,WAP文件文件.问题：如何固定与提取手机中的各种数据？包含硬件与分析软件两个部分包含硬件与分析软件两个部分。硬盘复制设备特定数据获取设备光盘与各种存储介质复制设备PDA与手机数据获取设备电子数据现场综合取证设备SCSI硬盘只读保护锁硬盘只读保护锁SCSI硬盘只读锁nSATA硬盘只读锁USB2.0/1.11394B1394B1394A证据硬盘接口硬盘电源接口含有USB2.0、火线800、火线400三种即插即用的传输方式有可移动的硬盘盒，方便硬盘的随时更换,不易出错。有直观的屏幕显示，可以观看设备使用情况

7、和使用状态（只读/读写）针对各种硬盘设计的只读/读写双功能设备问题：问题：分析场所固定，是否有更加简单易用不容易出错的只读设备，配合各种分析计算机工作？各种类型硬盘SCSI/IDE/2.5/2/1.8DC-8750 3U模块模块在线动态在线动态取证取证DC-8600使用使用ATT2000完全仿真完全仿真计算机处于开机状态拿到对方计算机拿到对方硬盘使用使用ATT3000虚拟仿真虚拟仿真仿真取证调查场景在线动态在线动态取证取证DC-8600在线动态在线动态取证取证DC-8600个人关键信息提取个人关键信息提取IEIE自动提交的用户名自动提交的用户名/密码？密码？邮箱用户名邮箱用户名/密码？密码？各

8、种通信软件用户名各种通信软件用户名/密码？密码？WindowsWindows口令破解口令破解启动对方计算机启动对方计算机如何在分钟级实现快速破解如何保证证据有效性;取证内容可重复再现破解Windows口令U-747nDC-8900硬盘仿真器;通过光盘启动对方计算机；通过光盘启动对方计算机；可以在分钟级破解可以在分钟级破解Windows口令口令破解时间:215”破解时间:2158”DC-8900（内置硬盘）对象硬盘对象计算机用于仿真重建计算机运行环境-方便举证可立即查看证据，直观地调查；放置在嫌疑硬盘和主机之间的高速缓存，可直接启动原计算机,实施任何操作,不修改原计算机存储介质的内容。保证司法有

9、效性读读写写IE 访问记录的信息提取访问记录的信息提取最近打开文件的记录提取最近打开文件的记录提取由于是由于是完全完全仿真仿真所以可实现冒用对方网络身份所以可实现冒用对方网络身份易丢失数据提取易丢失数据提取取证流程监管功能取证流程监管功能个人关键信息提取个人关键信息提取对方计算机处于开机状态，如何提取网络通讯状态、内存、进程状态等数据？IEIE自动提交的用户名自动提交的用户名/密码？密码？邮箱用户名邮箱用户名/密码？密码？各种通信软件用户名各种通信软件用户名/密码？密码？如何保证司法有效性？如何保证司法有效性？在线取证在线取证离线取证离线取证不拆机复制硬盘不拆机复制硬盘支持磁盘阵列获取支持磁盘

10、阵列获取易丢失数据提取易丢失数据提取取证流程监管功能取证流程监管功能个人关键信息提取个人关键信息提取易丢失数据提取易丢失数据提取取证流程监管功能取证流程监管功能个人关键信息提取个人关键信息提取硬盘复制（动态）硬盘复制（动态）特定文件复制（动态）特定文件复制（动态）硬盘复制（静态）硬盘复制（静态）易丢失数据提取易丢失数据提取易丢失数据提取易丢失数据提取个人关键信息提取个人关键信息提取个人关键信息提取个人关键信息提取硬盘复制（动态）硬盘复制（动态）特定文件复制（动态）特定文件复制（动态）在对方开机的情况下将硬盘内容完整备份一份特定数据复制硬盘复制（在线）加密文件复制取证流程监管取证流程监管在线动态

11、在线动态取证取证DC-8600使用使用ATT2000完全仿真完全仿真计算机处于开机状态拿到对方计算机拿到对方硬盘使用使用ATT3000虚拟仿真虚拟仿真仿真取证调查场景在线动态在线动态取证取证DC-8600在线动态在线动态取证取证DC-8600个人桌面信息个人桌面信息主机历史主机历史纪录纪录网络历史网络历史纪录纪录个人敏感信息个人敏感信息EFS、注册表、注册表个人邮件纪录个人邮件纪录所有服务；例如：所有服务；例如：SQL SERVERIIS所有设备驱动；所有设备驱动；完全仿真对方计算机完全仿真对方计算机1）2）3）4）SWITCH10001101101010011100丰富的接口Read only电子证物检查工作记录XXX勘2005号电子数据鉴定书XXX鉴字2005号FL1000-IDE/SCSI/WS电子数据鉴定书XXX鉴2005号审计监管报告XXX审2005号审计监管报告XXX审监2005-01-001号电子数据鉴定报告XXX鉴定2005-01-001号裁裁 决决