【第十四期】取证工具--分析软件

数据分析是电子数据取证的核心和关键，通过有效的分析，可以发现和犯罪事实相关联的全部数据资料。...

电子数据形式多样、载体丰富、位置隐蔽、结构复杂，有重要价值的证据往往分散和隐藏在浩瀚的无用数据之中，且相互之间又具有各种关联性。因此，对于数据分析是电子数据取证的核心和关键，通过有效的分析，可以发现和犯罪事实相关联的全部数据资料。取证人员常常需要使用取证分析软件进行数据搜索、过滤和挖掘，才能快速定位电子证据。无论是经验丰富、技术精湛的取证人员还是功能强大、可靠稳定的取证分析软件都是取证工作都必不可缺的。只有人与工具的完美结合，才能发挥电子数据取证的巨大威力。

一、综合取证软件（商业）

近几年，随着执法机构对于电子数据取证工具的需求不断提升，越来越多的取证厂商投入到综合取证工具的研发阵营中，相关取证工具也不断涌现。但是，在商业软件市场上，国际上仍然是美国Guidance Software的EnCase、德国X-Ways公司的X-Ways Forensics和美国AccessData公司的FTK占据市场主要份额，加拿大MAGNET公司的IEF、美国Paraben公司的P2 Commander、俄罗斯Belkasoft公司的Evidence Center是Belkasoft、韩国FINALDATA公司的FINALFORENSICS继续紧随其后。在国内商业软件市场上，厦门美亚柏科公司研发的取证大师(Forensics Master)继续一枝独秀，上海盘石软件公司的SafeAnalyzer也有不错的口碑。EnCase是美国Guidance Sofware公司的产品，它是全球第一代的商业电子数据取证工具，也全世界执法部门、IT安全专业人士使用率排名第一位的电子数据取证软件，已有超过百万件公开使用案例，它被美国知名信息安全杂志《SC Magazine》评价为五星，是全世界计算机犯罪调查取证的标准和通用平台。目前，全世界有超过8000家执法部门、司法机关及世界五百强使用EnCase软件，并有超过2300个调查机构定期参加Guidance Software使用方法的培训。

EnCase的前身是取证软件Expert Witness，是作者Andrew Rosen结合执法部门的需求开发出的法证工具。由于EnCase的广泛使用，其专有的E01证据文件格式也成为了默认的证据文件标准，美国的民间服务机构和律师们都建议使用E01和DD证据文件，甚至具有EnCE资质的人员似乎都成了计算机法证专业人员的代名词。V7版本的EnCase发行后，Guidance公司引入了一种全新的证据文件格式Ex01，对此官方的解释是传统的E01已经不能满足新版本的需要，且很多V7版本特有的功能也需要新的文件格式配合，比如索引功能。

EnCase作为一款世界级的取证工具的一个最大特点是提供了二次开发功能，利用其附带的功能强大的脚本功能（EnScript）可以解决很多功能菜单中无法解决的问题，以满足多种的实战需要。在V7版本推出后，EnCase也引入了类似苹果商店的模式－脚本商店，用户可以购买其他用户编写的EnScript脚本。

作为世界领先的计算技术证据调查和分析软件，EnCase的局限性在于其对使用人员的要求也相对较高，其超强的数据分析功能依靠于分析专家的专业知识和软件操作技巧，否则很难真正发现有效信息。

目前EnCase主要有5个版本：Forensic、eDiscovery、Enterprise、Portable、Cyber Security。在我国使用最广泛的是Forensic版。

FTK（Forensic Toolkit）是美国AccessData公司出品的一款综合取证分析软件，是目前使用最为广泛的电子数据取证工具之一，也是美国警方标准配备、全球警方使用量第一的取证软件，目前已经更新到了第5代。

FTK拥有强大自动的文件分析、过滤和搜索功能，自动对所有文件进行分类，自动定位有嫌疑的文件。它拥有同类产品中最丰富灵活的过滤器，超过200种以上的预制过滤条件，各种逻辑随意组合专利的dtSearch索引功能，将所有文件进行索引排序。

相对于EnCase专家级的使用方法，FTK 使用方法相对简单，分析结果也相当直观，无需过多的培训即可实现主要的数据分析目的。其文件查看、加密数据查找、已知文件过滤功能更强于ENCASE。此外，FTK可以配合手机检验工具MPE＋，对提取手机数据文件进行深度数据挖掘。

X-Ways Forensics是德国X-Ways公司研制的著名综合取证分析软件。X-Ways Forensics基于WinHex开发，也被称为WinHex法证版。WinHex是由德国X-Ways公司CEO Stefan在学生时代编写的一个十六进制编辑器，主要用于磁盘和内存十六进制编辑，对于数据恢复和软件调试非常有效，深受国内外用户好评。

WinHex与X-Ways Forensics两个软件基于相同的代码，但X-Ways Forensics能够提供更多的功能。在X-Ways Forensics中，针对磁盘、镜像文件、虚拟内存、物理内存的操作均只以只读模式操作。因为电子数据取证分析中，原始证据不能有任何地改变。因此X-Ways Forensics对原始证据具有严格的保护。只有当对磁盘或镜像有编辑需求时，如分析中需要修复引导扇区才能处理证据时，方可使用WinHex。

相对于EnCase和FTK，X-Ways Forensics的售价相对较低，加上其强大的数据恢复功能、灵活的数据编辑能力、支持文件系统多、运行起来资源占用少以及快速便捷的升级服务，因此一经推出，立刻得到世界各地计算机法证专家的广泛喜爱。最新版的X-Ways Forensics也增加了脚本功能，可以媲美EnScript。

取证大师是厦门美亚柏科信息股份有限公司自主研发的电子数据取证综合分析工具，也是该公司的拳头产品之一，曾荣获第十五届中国国际软件博览会的金奖。

取证大师主要面向基层执法人员开发的“傻瓜化”电子数据取证分析软件，将静态取证、自动取证、动态取证等功能集成于一体，专门针对国内实际情况作了专项优化开发，操作简单、分析全面、对调查者技术要求低，是电子数据取证分析人员必备的分析系统。

目前，取证大师在国内的取证市场上的占有率遥遥领先于其他同类取证分析软件，是许多取证实验室的标准配备。但是，在国外市场上，由于在法院的认可度不高，所以许多著名的商业调查公司仍然选择Encase等具有国际知名度的取证分析软件。



二、综合取证软件（开源）

相较于昂贵的商用电子数据取证工具，开源取证工具无疑对于初学者或者学生无疑有着巨大的吸引力。近几年，开源取证软件进步迅速，就产品功能和性能而言，并不逊色于商用软件，甚至在某些特定功能，一直保持着领先。从某种意义上说，取证人员如果能熟练的使用开源取证软件，也可以完成所有的取证工作。目前比较知名的开源取证软件有Brian Carrier开发的The Sleuth kit和Autopsy Forensic Browser、ArxSys开发的Digital Forensics Framework和SANS开发的SIFT。



三、苹果取证分析软件

前几年，大多数的电子数据取证工作都是针对Windows操作系统，利用基于Windows的取证工具进行，例如X-Ways Forensics，EnCase，FTK。然而，随着苹果电脑的不断热销，越来越多的案件会涉及苹果电脑的取证。虽然传统的Windows的取证工具很多都能够分析苹果的Mac OS X操作系统，但是对于Mac OS X系统的数据的挖掘和解析能力，还是与专用的Mac OS X系统取证软件有一定差距。如果只有Windows取证工具，将错失很多苹果系统下特有的有价值数据。因此，需要专用的苹果Mac OS X系统取证软件。目前，苹果Mac OS X系统取证软件主要有Sumuri公司的RECON for Mac OS X和BlackBagTechnologies公司的BlackLight等。



四、电子邮件取证分析软件

电子邮件作为商务沟通和贸易往来当中主流沟通方式，是电子数据取证人员员在进行取证分析时重点查看的内容之一。被调查的Email收件箱中可能包含成百上千的电子邮件和更多的附件文件，电子邮件中包含收件人、发件人、加密文件、删除文件和其他多种格式的文件。通常，一封带有一个word文件附件的邮件中就有超过50个不同的元数据需要取证人员进行取证分析。近几年，电子邮件取证时遇到的原始数据的规模呈逐年增大的趋势，给执法人员的取证分析工作带来了严重制约。

电子邮件取证软件能帮助取证人员快速查看每一个邮箱中成百上千封邮件，发现多个联系人邮箱之间的复杂关联，使执法人员可以快速、方便地找到关键数据，提高取证人员的工作效率。目前，电子邮件取证软件主要应用于需要分析大量邮件的商业犯罪领域，应用最广泛的是澳大利亚Nuix公司的Nuix、澳大利亚Vound公司的Intella，美国Paraben公司的Paraben Email Examiner也有不错的口碑。

Nuix是澳大利亚Nuix公司研发的一款全球知名的电子邮件数据分析系统，也是目前电子数据取证领域最为专业的电子邮件分析的专业工具。从2000年开始，Nuix公司开始研发 Nuix Forensic Desktop 软件，并逐渐发展成为世界上最强大电子邮件分析软件。

与EnCase、FTK、X-Ways Forensic等国外计算机取证软件相比，Nuix在邮件分析上有有较强优势，它支持国内外常见的各种电子邮件客户端数据文件的数据解析、查看和搜索，支持包括单用户的PST, OST, NSF, mbox文件等数据类型以及多用户的EDB、Domino、Groupwise邮件服务器的解析和邮件分析。支持的文件镜像包括dd、EnCase的E01和L01 and Access Data的AD1。此外，它还支持云邮件（例如Hotmail和 Gmail）的解析。

由于Nuix的价格相对比较昂贵，目前，使用Nuix的多为大型的商业调查机构，一般的机构出于性价比的考虑，一般会选用价格便宜很多的Intella。



五、内存取证分析软件

内存取证主要通过对内存数据及其缓存硬盘数据进行分析，查找、提取、分析那些对案件侦破可能有重要意义的易失性数据，这些易失性数据的特点是存在于正在运行的计算机或网络设备的内存中，关机或重启后这些数据将不再存在。内存取证作为电子数据取证的一个主要分支，对于遏制打击网络犯罪意义重大。

内存取证分析软件通过捕获内存数据、分析内存数据,从而提取具有法律效力的电子证据。2005年著名DFRWS的内存分析挑战赛掀起了内存取证研究的热潮，此后，不断涌现出各种内存取证分析软件，目前EnCase、FTK、X-ways等主流取证工具都支持对内存数据的提取和分析，但是最负盛名的还是开源软件Volatility Framework。

Volatility Framework是Volatile System开发的基于GNU协议的内存取证工具。该软件支持对32位或64位 Windows、Linux、Mac、Android操作系统的内存数据进行提取与分析。Volatility Framework是一个框架式的开放平台，取证调查人员可利用此框架的核心功能编写自己的插件，以满足不同类型的内存取证研究需要。

六、大数据分析软件

随着海量数据的迅速发展，对于海量数据中的有用信息挖掘变得非常重要。电子取证技术的工作就是从浩如烟海的“数据”中提取相关证据用于呈堂。如何对大数量级的取证数据进行整理和裁减，进而确立重点调查范围，集中使用取证资源。如何在被收集信息中分析各个数据证据间的关联，发现潜在的异常行为等都是取证人员亟待解决的问题。

近几年，为了应对大数据取证的难题，国内外的取证厂商都加大了大数据取证分析工具的研发投入。目前，在司法领域，大数据关联分析工具知名度最高、使用范围最广的是美国IBM公司的i2系列产品，而在商业调查领域，Tableau的应用越来越广泛。IBM公司的i2系列产品是一款专门为调查、分析、办案人员设计的可视化数据分析软件，可以将结构化、半结构化和非结构化数据转化为图形，为分析员提供一个直观的实体关系图，并提供了丰富的可视化分析算法和分析工具，帮助分析人员快速找到破案线索和有价值的情报，提高工作效率并帮助识别、预测和阻止犯罪、恐怖主义、洗钱和欺诈等活动。

i2系列产品原本是英国剑桥的i2公司面向英国的警察部门研发，并迅速推广到英国所有的警察部门。据路透社消息，2003年，i2的软件曾帮助英国军队追踪萨达姆·侯赛因（伊拉克前总统）。911事件中，美国调查部门借助I2迅速的理清了恐怖分子之间错综复杂的关系，迅速的将剩下的恐怖分子逮捕归案。随着该产品在实际案件调查中展现出无与伦比的情报调查能力，国际刑警组织也采用了该产品，并向全世界的警察组织推荐。2009年，i2公司收购了美国的COPLINK软件公司，将情报分析产品线与警务综合系统、情报分析平台整合，为警务机构和办案机构提供了端到端的整体解决方案。2011年，美国 IBM 收购了i2公司，将其作为IBM“智慧城市”框架中平安城市解决方案的重要组成部分。

经过20多年的发展，i2产品目前已拥有了超过150多个国家的35万多用户，主要分布在执法、国防、安全、金融、政府等行业，其主要客户包括英国所有的警察组织、欧盟成员的公检法机构、国际刑警组织（Interpol）、欧洲刑警组织（Europol）、联邦调查局（FBI）、中央情报局（CIA）、美国联邦政府等。

IBM i2主要分为分析师系列和COPLINK系列。分析师系列包括Analyst's Notebook及其周边数据接口产品；COPLINK系列产品包括底层数据获取工具、数据仓库及数据服务器、应用服务器、前端访问工具（桌面、手持设备）等。

Tableau是一家商业智能软件提供商，主要是面向企业数据提供可视化服务，其开发的软件能通过数据分析，将数据可视化，让枯燥的数据以简单友好的图表形式展现出来。

Tableau目前有三大软件产品：TableauDesktop、Tableau Server以及Tableau Public。其中Tableau Desktop是一款PC桌面操作系统上（只支持Windows系统）的数据可视化分析软件，分个人版和专业版（个人版只能导入excel，专业版可以导入各种数据库）。TableauServer则是完全面向企业的商业智能应用平台，基于企业服务器和web网页。而TableauPublic是完全免费的，不过用户只能将自己运用Tableau Public制作的可视化作品发布到网络上即Tableau Public社区，而不能保存在本地，每个Tableau Public用户都可以查看和分享，而且Tableau Public所能支持的接入数据源的类型和大小都有所限制。

目前，Tableau的在全球的客户遍及商务服务、能源、电信，金融服务、互联网、生命科学、医疗保健、制造业、媒体娱乐、公共部门、教育、零售等各个行业。但是，就国内而言，目前的国内的取证机构使用Tableau进行可视化分析的几乎没有，只有一些跨国的商业调查公司在使用。



小编语

在介绍完取证分析软件后，取证工具的介绍将暂告一段落。5期内容所罗列的工具都是小编所熟悉的，因此必然会遗漏很多出色的取证工具。在此，感谢各位读者给予的积极反馈。小编回顾了一下所介绍的工具，发现还有很多没有介绍，如数据恢复的硬件系列（包括的广为人知的PC3000，好用的AtolaInsight Forensic等）、系统仿真工具系列（基于原机的仿真设备SHADOW、仿真软件VFC等）、现场取证的工具系列、密码破解工具系列......在此就不再一一枚举，小编将视情况，在以后的内容中就大家感兴趣的做补充。

近期，在与国内外的同行交流中，小编发现国外的同行对于国内的取证标准、规范和方法非常感兴趣，而国内的同行同样希望了解国际和国外的取证标准、规范和方法。因此，在后面几期的公众号中，小编将着力介绍国际和国外的取证标准、规范以及实验室的内部作业指导书。

更多精彩内容，尽请关注“电子数据取证与鉴定”。

    关注 电子数据取证与鉴定