取證大師（Forensics Master）是國(guó)內(nèi)計(jì)算機(jī)取證領(lǐng)域上市企業(yè)廈門(mén)市美亞柏科信息股份有限公司自主研發(fā)的一款綜合計(jì)算機(jī)取證拳頭產(chǎn)品。美亞柏科在國(guó)內(nèi)率先提出自動(dòng)取證、并行取證理念，并迅速將多年的一線實(shí)戰(zhàn)經(jīng)驗(yàn)與多個(gè)取證技術(shù)理念融合，研發(fā)出專業(yè)性強(qiáng)且容易操作的計(jì)算機(jī)取證分析軟件“取證大師”。

　　取證大師提供電子數(shù)據(jù)證據(jù)固定、分析、報(bào)告生成等取證功能，該軟件可獨(dú)立使用，也內(nèi)嵌于多種綜合取證設(shè)備（如取證魔方、取證塔等），可應(yīng)用于現(xiàn)場(chǎng)勘驗(yàn)及計(jì)算機(jī)取證實(shí)驗(yàn)室的檢驗(yàn)鑒定等不同應(yīng)用場(chǎng)景。

　　取證大師廣泛應(yīng)用在公安機(jī)關(guān)、司法機(jī)關(guān)、行政執(zhí)法單位、電子數(shù)據(jù)司法鑒定中心以及國(guó)內(nèi)大中型企業(yè)，目前已超過(guò)15000名取證人員在使用該工具。取證大師分為專業(yè)版、教育版以及實(shí)驗(yàn)室版（“取證金剛”分布式取證系統(tǒng)），已成為中國(guó)最具有代表性的計(jì)算機(jī)取證工具，并已走向國(guó)際化，在東南亞、歐洲等多個(gè)國(guó)家執(zhí)法部門(mén)已得到應(yīng)用。

　　（1）案例管理及設(shè)備添加

　?、?啟動(dòng)取證大師，選擇“新建案例”，填寫(xiě)案件相關(guān)信息并選擇相關(guān)選項(xiàng)。

　　② 取證大師自動(dòng)彈出“添加設(shè)備”窗口，選擇“磁盤(pán)鏡像”，選擇證據(jù)文件的正確位置。

　?、?取證大師自動(dòng)彈出“自動(dòng)取證”窗口，選擇微軟的Windows圖標(biāo)，然后選擇要分析的項(xiàng)目及相關(guān)參數(shù)設(shè)置。如圖1所示。

　　圖1  取證大師自動(dòng)取證窗口

　?、?取證結(jié)果分析

　　取證大師自動(dòng)將取證分析結(jié)果集成匯聚到一個(gè)名為“取證結(jié)果”的標(biāo)簽頁(yè)。調(diào)查員可方便地查看分析的結(jié)果內(nèi)容，包括系統(tǒng)痕跡、用戶痕跡、上網(wǎng)記錄、即時(shí)通信、解析網(wǎng)絡(luò)軟件分析、反取證軟件、文件分析、下載工具分析、日志分析、輸入法、密碼/密鑰檢索等。如圖2所示。

　　圖2  取證大師取證結(jié)果分析窗口

　?。?）文件快速查找

　　① 選擇取證大師軟件窗口上方的“文件過(guò)濾”按鈕，可以根據(jù)預(yù)定義的文件類型，也可以直接輸入文件名稱或擴(kuò)展名進(jìn)行文件查找。

　　② 通過(guò)取證大師菜單中【設(shè)置】|【搜索關(guān)鍵詞】，輸入要搜索的關(guān)鍵詞的名稱及搜索詞，同時(shí)選擇常用的編碼。不同軟件在生成文件時(shí)，可能會(huì)對(duì)中文文字進(jìn)行不同編碼，簡(jiǎn)體中文常用的編碼為GB2312、Unicode和UTF-8。在電子郵件取證過(guò)程中，有時(shí)需要搜索未分配簇中殘留的郵件片段，則還可以勾選區(qū)分大小寫(xiě)，然后選擇【Base64】和【Quoted-Printable】，取證大師將自動(dòng)生成多個(gè)電子郵件編碼十六進(jìn)制，可直接進(jìn)行搜索。如圖3所示。

　　圖3  取證大師文件快速查找窗口

　?、?取證大師也支持正則表達(dá)式（GREP語(yǔ)法）進(jìn)行關(guān)鍵詞的模糊搜索，默認(rèn)該軟件已內(nèi)置多個(gè)常用GREP語(yǔ)法搜索表達(dá)式，支持搜索手機(jī)號(hào)碼、身份證號(hào)、銀行卡號(hào)、護(hù)照、電子郵件地址、IP地址等。如圖4所示。

　　圖4  取證大師正則表達(dá)式（關(guān)鍵詞模糊搜索）窗口

　?。?）數(shù)據(jù)恢復(fù)

　　取證大師具備國(guó)際上主流計(jì)算機(jī)取證軟件的所有數(shù)據(jù)恢復(fù)功能，包括對(duì)刪除文件恢復(fù)、分區(qū)恢復(fù)、格式化恢復(fù)、簽名恢復(fù)、RAID陣列重組等功能。以下主要對(duì)其中的分區(qū)恢復(fù)、格式化恢復(fù)、簽名恢復(fù)做簡(jiǎn)要介紹。

　?、?分區(qū)恢復(fù)

　　分區(qū)恢復(fù)是取證大師數(shù)據(jù)恢復(fù)重要功能之一，通過(guò)該功能，對(duì)于用戶手工刪除的分區(qū)，可以有效快速地恢復(fù)，無(wú)需復(fù)雜操作。

　　② 格式化恢復(fù)

　　取證大師支持對(duì)格式化的分區(qū)進(jìn)行數(shù)據(jù)恢復(fù)，其恢復(fù)原理是基于文件系統(tǒng)元數(shù)據(jù)特性的文件搜索定位，目前支持FAT、NTFS以及exFAT等文件系統(tǒng)。以NTFS為例，NTFS分區(qū)被格式化后，雖然文件系統(tǒng)已經(jīng)重建，$MFT等文件已經(jīng)清空，然而原有的$MFT記錄大部分還可以從未分配空間中恢復(fù)出來(lái)，其頭部特征為FILE，取證大師通過(guò)解析未被覆蓋的$MFT記錄，將所有丟失的文件全部恢復(fù)出來(lái)。如圖5所示。

　　圖5  取證大師數(shù)據(jù)恢復(fù)（格式化恢復(fù)）窗口

　　③ 簽名恢復(fù)

　　簽名恢復(fù)是計(jì)算機(jī)取證中常用的一種數(shù)據(jù)恢復(fù)方法。在文件系統(tǒng)被破壞后，文件系統(tǒng)的元數(shù)據(jù)信息丟失，無(wú)法通過(guò)從未分配簇中搜索$MFT記錄或目錄項(xiàng)找到文件的元數(shù)據(jù)信息，因此軟件無(wú)法定位已刪除或丟失文件的位置。唯一的辦法就是根據(jù)各類文件自身的文件頭部及尾部特征（常稱為文件簽名）進(jìn)行搜索，定位到文件頭部后，將文件數(shù)據(jù)內(nèi)容導(dǎo)出。部分文件的文件頭之后還有描述文件大小的標(biāo)志位，因此可以借助該信息來(lái)精確恢復(fù)文件數(shù)據(jù)。目前，取證大師、EnCase、X-Ways Forensic及WinHex均具備這種精確恢復(fù)的能力。

　　取證大師簽名恢復(fù)界面帶有綠色圖標(biāo)的類型均屬于可以通過(guò)文件頭部判斷文件大小，實(shí)現(xiàn)精確恢復(fù)文件原始數(shù)據(jù)內(nèi)容。如圖6所示。

　　圖6  取證大師數(shù)據(jù)恢復(fù)（簽名恢復(fù)）窗口