1. 云存儲(chǔ)及應(yīng)用取證工具

　　隨著國內(nèi)外云存儲(chǔ)及云應(yīng)用的日益普及，越來越多的案件涉及對(duì)百度云、騰訊微云、金山快盤、360云盤、iCloud Drive、OneDrive、Dropbox等云存儲(chǔ)進(jìn)行取證，然而現(xiàn)階段缺乏相應(yīng)的取證工具。

　　在眾多云盤中，部分云盤（如360云盤及金山快盤）采用了一些加密手段，要對(duì)加密的云盤應(yīng)用進(jìn)行取證，還需進(jìn)行相應(yīng)的逆向分析。目前，取證大師已經(jīng)支持國內(nèi)及國際主流云存儲(chǔ)的痕跡取證，包括騰訊微云、金山快盤、360云盤、iCloud Drive等。例如，百度云管家痕跡取證結(jié)果如圖1所示。

　　圖1  百度云管家痕跡取證結(jié)果窗口

　　2. 互聯(lián)網(wǎng)云應(yīng)用及公開數(shù)據(jù)取證工具

　　目前，國內(nèi)已經(jīng)涌現(xiàn)多家第三方存證平臺(tái)，為社會(huì)提供服務(wù)。取證人員、公證人員及律師等均可以通過此類平臺(tái)及時(shí)有效地對(duì)互聯(lián)網(wǎng)上的網(wǎng)站、微博、微信朋友圈、百度文庫等網(wǎng)絡(luò)空間存在的侵權(quán)內(nèi)容或頁面進(jìn)行證據(jù)獲取并固定。

　　網(wǎng)站動(dòng)態(tài)取證系統(tǒng)（Site Analyzer）是一款多任務(wù)多線程的網(wǎng)站動(dòng)態(tài)跟蹤分析工具，并結(jié)合第三方電子數(shù)據(jù)“存證云”服務(wù)，對(duì)接司法鑒定機(jī)構(gòu)，為計(jì)算機(jī)取證提供法律效力保障。主要取證功能如下：實(shí)現(xiàn)目標(biāo)網(wǎng)站的爬取、目標(biāo)網(wǎng)站的目錄重構(gòu)；支持爬取過程中，對(duì)目標(biāo)網(wǎng)站鏈接的過濾，只爬取用戶想要的鏈接；實(shí)現(xiàn)目標(biāo)網(wǎng)站的資源信息的獲取，并在本地展現(xiàn)；支持Cookie獲?。唤仄凉δ?；實(shí)現(xiàn)截取非法論壇圖片到本地作為有力證據(jù)；實(shí)現(xiàn)截取非法論壇圖片的配置，只截取所需要的內(nèi)容。網(wǎng)站動(dòng)態(tài)取證系統(tǒng)模型如圖2所示。

　　圖2  網(wǎng)站動(dòng)態(tài)取證系統(tǒng)模型

　　“存證云”是一個(gè)第三方電子數(shù)據(jù)證據(jù)服務(wù)平臺(tái)，最大的特點(diǎn)是將第三方證據(jù)與司法鑒定無縫對(duì)接，通過網(wǎng)站、PC客戶端及手機(jī)客戶端，為用戶提供電子數(shù)據(jù)前期規(guī)范取證、中期安全存證以及后期便捷出證的一站式綜合服務(wù)，有效解決了目前計(jì)算機(jī)取證過程中遇到的取證手段有限、證據(jù)效力不高以及傳統(tǒng)司法鑒定服務(wù)不夠便捷的問題。

　　3. 云主機(jī)取證

　　云計(jì)算經(jīng)過幾年的發(fā)展，國內(nèi)外涌現(xiàn)不少提供云主機(jī)服務(wù)的提供商。例如，Amazon、阿里云等均提供了云主機(jī)。然而云主機(jī)具有以下特點(diǎn)：超大規(guī)模，存儲(chǔ)位置難以定位；動(dòng)態(tài)擴(kuò)展，負(fù)載均衡，位置遷移；同構(gòu)互換，容錯(cuò)備份，位置變化；持續(xù)寫入，存儲(chǔ)數(shù)據(jù)瞬間消失。因此給云主機(jī)取證帶來了諸多挑戰(zhàn)。

　　云主機(jī)取證的常見步驟有：明確目標(biāo)所屬云服務(wù)類型（SaaS、PaaS或 IaaS）；確認(rèn)云主機(jī)所在位置、獲得管理權(quán)限；獲得云服務(wù)提供商的支持（如提供云主機(jī)系統(tǒng)的硬盤完整數(shù)據(jù)、數(shù)據(jù)文件、日志文件及相關(guān)特定數(shù)據(jù)文件）。目前，云主機(jī)采用的軟件平臺(tái)主要有Vmware、Windows Azure、Amazon等。至今對(duì)云主機(jī)取證沒有專門的工具，一般需要根據(jù)實(shí)際情況開展相應(yīng)的數(shù)據(jù)獲取與數(shù)據(jù)分析。云主機(jī)取證中的云服務(wù)類型如圖3所示。

　　圖3  云主機(jī)取證中的云服務(wù)類型