1. 電子證據(jù)只讀鎖

　　為了避免在計(jì)算機(jī)取證過(guò)程中，由于對(duì)硬盤(pán)操作而引發(fā)更改硬盤(pán)數(shù)據(jù)的現(xiàn)象，電子證據(jù)只讀鎖已經(jīng)成為計(jì)算機(jī)取證的標(biāo)準(zhǔn)配置工具，其獲取的證據(jù)的有效性已經(jīng)被法庭采信。只讀鎖通過(guò)屏蔽寫(xiě)信號(hào)，確保不會(huì)修改犯罪嫌疑人的硬盤(pán)，因此具有司法有效性。

　　電子證據(jù)只讀鎖具體操作步驟如下。

　　（1）將嫌疑硬盤(pán)連接到只讀鎖相應(yīng)接口（如SATA、SAS、IDE）。

　?。?）將只讀鎖的eSATA或USB接口與計(jì)算機(jī)主機(jī)連接。

　?。?）連接好只讀鎖電源線并打開(kāi)電源開(kāi)關(guān)，開(kāi)始工作。

　　目前國(guó)際上流行的電子證據(jù)只讀鎖有Tableau系列只讀鎖、Wiebetech系列只讀鎖以及美亞柏科DC-8700系列只讀鎖。然而只有美國(guó)Guidance Software與中國(guó)美亞柏科擁有SATA、IDE、SAS、USB3.0、USB2.0、存儲(chǔ)卡等全系列電子證據(jù)只讀鎖的核心技術(shù)。

　　2. 硬盤(pán)復(fù)制機(jī)

　　目前對(duì)硬盤(pán)的數(shù)據(jù)獲取主要有軟件方式和硬件方式兩種實(shí)現(xiàn)方法。軟件方式主要利用如EnCase、FTK或其他專用磁盤(pán)復(fù)制及鏡像軟件，通過(guò)相應(yīng)接口實(shí)現(xiàn)對(duì)嫌疑硬盤(pán)的數(shù)據(jù)分析或直接硬盤(pán)鏡像，能夠在一定程度上滿足硬盤(pán)數(shù)據(jù)獲取的需要。

　　硬件方式主要利用硬盤(pán)復(fù)制機(jī)，通過(guò)對(duì)嫌疑硬盤(pán)的精確復(fù)制，實(shí)現(xiàn)對(duì)硬盤(pán)數(shù)據(jù)的完整獲取。目前普遍使用的是Tableau TD2及TD3、SOLO 4、Forensic Falcon以及取證魔方（DC-8811）、高速硬盤(pán)復(fù)制機(jī)（DC-8202）等設(shè)備。目前國(guó)內(nèi)外硬盤(pán)復(fù)制設(shè)備性能基本達(dá)到同等水平，SATA III代機(jī)械硬盤(pán)復(fù)制速度一般可達(dá)6～7 GB/min，SSD硬盤(pán)復(fù)制可高達(dá)20 GB/min以上。

　　3. 取證魔方

　　“取證魔方”是廈門(mén)美亞柏科信息股份有限公司研發(fā)的一款適合執(zhí)法部門(mén)進(jìn)行現(xiàn)場(chǎng)勘查分析的綜合取證一體化設(shè)備。成立于1999年的美亞柏科是國(guó)內(nèi)最早從事取證工具研發(fā)的公司之一，也是全球計(jì)算機(jī)取證產(chǎn)品的兩家上市公司之一。2011年，取證魔方獲得中國(guó)創(chuàng)新設(shè)計(jì)大獎(jiǎng)“紅棉獎(jiǎng)”。2014年，取證魔方通過(guò)美國(guó)FCC和歐洲CE認(rèn)證。

　　取證魔方采用全球領(lǐng)先的高速硬盤(pán)復(fù)制、自動(dòng)取證分析、動(dòng)態(tài)系統(tǒng)仿真等多任務(wù)并行處理技術(shù)，同時(shí)提供了符合司法有效性的寫(xiě)保護(hù)功能，使現(xiàn)場(chǎng)進(jìn)行證據(jù)固定、計(jì)算機(jī)取證分析工作簡(jiǎn)單快捷，大大提高現(xiàn)場(chǎng)勘查的效率，是國(guó)內(nèi)最受歡迎且用戶數(shù)最多的一款取證一體化設(shè)備，有計(jì)算機(jī)取證界的“瑞士軍刀”之稱。

　　在硬盤(pán)復(fù)制方面，取證魔方支持多種只讀和復(fù)制接口（IDE、SATA、SAS、SCSI、USB），支持一對(duì)一、二對(duì)二等多路并行復(fù)制，硬盤(pán)復(fù)制速度可達(dá)27 GB/min。在復(fù)制或鏡像時(shí)可進(jìn)行關(guān)鍵詞搜索，并可將結(jié)果導(dǎo)入取證大師進(jìn)行關(guān)聯(lián)查看。取證魔方支持對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行不拆機(jī)硬盤(pán)復(fù)制，支持分別或同時(shí)加載/卸載多個(gè)只讀源盤(pán)接口，包括SATA/SAS接口、IDE接口及USB接口，并且支持續(xù)點(diǎn)復(fù)制、續(xù)點(diǎn)鏡像功能。

　　在數(shù)據(jù)分析方面，取證魔方支持對(duì)指定的源盤(pán)進(jìn)行預(yù)分析，提取指定分析策略相關(guān)的文件到本地磁盤(pán)上，提取完畢后，再對(duì)提取到本地的相關(guān)文件進(jìn)行解析，同時(shí)啟動(dòng)硬盤(pán)復(fù)制功能，把源盤(pán)的所有數(shù)據(jù)復(fù)制到目標(biāo)盤(pán)，還可在復(fù)制的同時(shí)查看分析數(shù)據(jù)的結(jié)果。此外，取證魔方內(nèi)置取證大師專業(yè)版，支持對(duì)磁盤(pán)中的數(shù)據(jù)進(jìn)行深度分析及數(shù)據(jù)恢復(fù)，還支持通過(guò)取證服務(wù)云對(duì)QQ、飛信、阿里旺旺、Skype等密碼密鑰的提取。

　　在系統(tǒng)仿真方面，取證魔方支持Windows 10、Windows 8.1、Windows 8、Windows Server 2012、Windows 7、Windows Vista、Windows XP、Windows 2008、Windows 2003、Windows 2000，多種版本的Linux，以及基于x86架構(gòu)10.10、10.9和以下版本Mac OS系統(tǒng)的系統(tǒng)仿真；并支持對(duì)整個(gè)硬盤(pán)（MBR格式和GPT格式）、全盤(pán)鏡像或分區(qū)鏡像（DD文件、E01文件、Img文件等）的仿真。

　　取證魔方可快速批量生成現(xiàn)場(chǎng)快速分析工具“取證精靈”U盤(pán)，對(duì)現(xiàn)場(chǎng)正在運(yùn)行的大量計(jì)算機(jī)系統(tǒng)進(jìn)行數(shù)據(jù)快速提取及分析（如企業(yè)單位、網(wǎng)吧等場(chǎng)合）；可制訂各種現(xiàn)場(chǎng)取證策略，提取特定數(shù)據(jù)，加快數(shù)據(jù)提取速度，特定數(shù)據(jù)包括上網(wǎng)記錄、即時(shí)通信信息、電子郵件、加密文件、各類文檔等；支持現(xiàn)場(chǎng)快速分析，或現(xiàn)場(chǎng)只導(dǎo)出相關(guān)重要文件，縮短現(xiàn)場(chǎng)信息獲取時(shí)間；支持預(yù)先設(shè)置關(guān)鍵詞信息，現(xiàn)場(chǎng)快速查獲所需的機(jī)器。

　　4. “章魚(yú)”多通道高速獲取系統(tǒng)

　　“章魚(yú)”多通道高速獲取系統(tǒng)是一款利用多個(gè)傳輸通道對(duì)計(jì)算機(jī)存儲(chǔ)介質(zhì)進(jìn)行不拆機(jī)并行獲取的便攜設(shè)備，支持對(duì)不易拆卸硬盤(pán)的筆記本、服務(wù)器以及蘋(píng)果筆記本（MacBook/iMac）等不拆機(jī)進(jìn)行高速數(shù)據(jù)獲取。該系統(tǒng)充分利用目標(biāo)計(jì)算機(jī)現(xiàn)有的一個(gè)或多個(gè)接口將硬盤(pán)數(shù)據(jù)鏡像分流存儲(chǔ)到設(shè)備內(nèi)置的多個(gè)硬盤(pán)，實(shí)現(xiàn)硬盤(pán)鏡像速度大幅提升。相比單路獲取設(shè)備，DC-8670單位時(shí)間獲取的數(shù)據(jù)量可提升4倍，可以很好地解決現(xiàn)在計(jì)算機(jī)存儲(chǔ)設(shè)備容量越來(lái)越大、獲取時(shí)間越來(lái)越長(zhǎng)的問(wèn)題。

　　DC-8670與目標(biāo)計(jì)算機(jī)的連接步驟如下。

　　（1）使用USB 3.0或雷電數(shù)據(jù)線連接通道1盤(pán)位與目標(biāo)計(jì)算機(jī)。

　　（2）使用USB 3.0數(shù)據(jù)線分別連接通道2、通道3、通道4盤(pán)位與目標(biāo)計(jì)算機(jī)。使用四路USB 3.0集線器連接DC-8670與目標(biāo)計(jì)算機(jī)，如圖1所示。

 DC-8670與目標(biāo)計(jì)算機(jī)的連接

　?。?）在DC-8670主界面，勾選需要獲取的硬盤(pán)或分區(qū)，該硬盤(pán)將被自動(dòng)添加至任務(wù)列表中。

　?。?）單擊“開(kāi)始”按鈕，進(jìn)行獲取操作。在信息打印區(qū)域?qū)@示任務(wù)獲取詳情。