摘 要：在国外电子数据取证技术已经发展了三十多年，最早主要在欧美执法部门和司法机关中使用。绝大多数的取证工具则是在2000年后研发并在实际操作中投入使用的。国际上比较知名的电子数据取证企业有Guidance、AccessData、Software、MicroSystemation、Logicube、ICS、Paraben、X-Ways、Oxygen、Cellebrite等。伴随着电子数据取证技术的日益成熟，越来越多的执法人员进入企业，从事合规调查、反欺诈调查、稽核监察等内部调查，逐渐被国内外越来越多的企业所接受，并用于企业的内部调查。

    关键词：取证技术；软件发展；计算机取证；Oxygen；司法机关；复制机；读锁；硬盘容量；移动终端；取证工作

    当前，中国在电子数据取证领域的研发实力和技术积累已经走在国际前列，拥有了包括电子数据取证的硬件（硬盘复制机、只读锁、取证工作站）以及取证软件（计算机取证分析、手机取证分析）等全系列自主研发的取证产品，成为继美国后第二个拥有电子数据取证软硬件综合研发能力的国家。

    一 计算取证硬件

    硬盘复制机、只读锁、取证工作站等装备是电子数据取证过程中常用的设备，体积小的设备，常用于现场勘查取证；体积较大的，适用于固定场所。目前，硬盘复制机、只读锁及取证工作站等取证产品已经比较成熟，接口也比较齐全、速度能不断提升，但是在技术升级及应用方面缺乏创新。随着欧美电子数据取证市场的日益饱和，电子数据取证厂商的业务拓展举步维艰，研发投入也大幅减少，这也是导致电子数据取证软硬件装备创新不足的主要原因。

    1、硬盘复制机

    硬盘复制机，又称为克隆机，是电子数据取证中最常见的镜像设备。它基于位对位（bit by bit）方式对硬盘进行复制。硬盘复制机一般有源盘和目标盘两种接口分类，源盘接口通常启用写保护模式，目标盘则是读写模式。当前主流的硬盘复制机多数支持了各种主流接口，包括IDE、SATA、SAS、USB，而SCSI接口硬盘采用转换卡进行转化。

    2、只读锁

    只读锁，对应英文名称是Write Blocker或Forensic Bridge。只读锁可分类为硬件只读锁与软件只读锁。由于软件只读锁是通过软件来实现存储介质的保护，系统环境不可靠可能造成无法安全保护数据。因此在司法取证领域，为了确保可靠性，通常建议采用硬件只读锁。

    目前，市场上主流的只读锁设备分为两类：单一接口只读锁和多功能综合只读锁。常见的多功能综合只读锁支持对IDE、SATA、SAS、SCSI、USB、Firewire等接口的存储介质进行写保护。此外，也有针对数码设备存储卡（SD卡、记忆棒等）进行写保护的存储卡只读读卡器。

    3、取证一体机

    早期，电子数据取证人员通常需要携带大量的取证设备前往涉及电子证据的案件现场，这些取证设备包括：硬盘复制机、只读锁、取证软件及笔记本电脑，它们都是电子数据取证勘查箱中标配的工具。由于这些取证设备或软件相对独立使用，因此，使用流程繁琐且效率低下。

    此外，硬件只读锁与笔记本电脑的连接经常出现意外状况导致数据获取或数据分析中断，浪费了大量时间。对于现场勘验的问题与现状，国内厂商，于2010年研发并推出取证一体机将硬盘复制机、只读锁、取证软件及笔记本电脑等软硬件结合起来，让取证人员在现场通过一台专业设备即可完成电子数据的证据固定、数据的快速分析、深度分析以及动态仿真取证等工作。从2011年开始取证一体机在国内众多执法部门被一线取证人员所广泛使用。

    4、取证分析工作站

    取证分析工作站一般是电子数据取证实验室中的重要组成部分。为了便于取证人员进行各种镜像及数据分析，这种工作站集成了电子数据取证常用的只读接口及计算机取证分析软件等，提高效率。

    在中国，执法人员在案件调查过程中经常遇到大量的硬盘需要进行证据固定及取证分析的情况，某些案件可能一次性就要处理几十甚至上百个硬盘。因此，取证人员需要能一次性并行对多个硬盘进行镜像以及并行高效分析的取证工作站。

    二 计算取证软件

    1、计算机取证分析软件

    在计算机取证分析软件方面，目前国际上比较主流的计算机取证分析工具有美国Guidance Software公司的EnCase、美国AccessData公司的FTK，还有德国X-Ways的X-Ways Forensics。EnCase在全球拥有最多的用户群，其条件表达式（Conditions）可自定义程度高，使用起来非常灵活。而FTK则操作简单，过滤器也相当灵活，能满足调查员各种过滤要求，此外取证结果集中汇总进行查看，相当直观，无需过多的培训即可实现主要的数据分析目的。X-Ways Forensics则是一款轻量级计算机取证工具，软件无需安装，功能也十分强大，具备EnCase、FTK的大部分功能，其在数据恢复、图片模糊搜索及肤色检测、视频抽帧等方面有自己的特色。

    在中国，上海盘石SafeAnalyzer是国内最早的计算机取证分析产品，早期吸收借鉴了国外取证软件EnCase和FTK的优点，是一款功能齐全、操作简单的计算机取证分析软件。 已成为国内电子数据取证分析人员必备的分析系统。

    国产计算机取证分析软件与国外取证软件（EnCase、FTK、X-Ways Forensics）相比，实用性较强，能支持本地应用软件的取证分析。主要体现在除了支持国外主流的各类应用软件解析，还支持国内本地化的各种软件的数据提取与分析，能快速解析国内各种浏览器（IE、Firefox、Chrome、360浏览器等）的上网记录信息，快速提取各种网络工具的下载记录信息，免密码提取即时通讯软件（如Skype、MSN、旺旺等）聊天记录信息，有效分析多种客户端（Office Outlook、Outlook Express、网易邮等）的邮件。

    2、分布式取证系统

    大容量硬盘的日渐普及应用，取证数据的大量增长，计算机取证的方式将逐步从单兵作战变向协同作战发展。未来几年可以预见，分布式取证与协同取证逐步将成为取证的新模式。分布式取证涵盖了计算机分布式取证、分布式密码恢复取证。

    分布式处理数据快速自动找出所需的证据是分布式取证的一个发展方向。AccessData公司的AD Lab （早期名为FTK Lab）是一款基于FTK取证分析软件研发的分布式取证系统，采用MSSQL Server作为数据存储服务，具备利用多个计算机节点协同分析同一个证据文件或多个证据文件的能力，并提供了用户权限管理、多用户协同分析、Web审阅、电子邮件去重及增强OCR识别等功能。

    3、苹果取证软件

    大多数计算机取证软件（如EnCase、FTK、X-Ways Forensic）支持Mac OSX文件系统解析，然而对系统中的应用程序数据解析支持甚少，多数只会提取日志文件，也没有提供分析所需的功能。正是因为主流取证软件对Mac OSX支持较弱，国外的SubrosaSoft、BlackBag、Sumuri等公司研发了针对苹果取证的工具。此类工具基本分为两种，一种是在线获取数据，第二种是离线静态数据分析工具。

    近几年，国内的取证厂商也均研发了针对苹果取证的产品，如盘石软件SafeImager苹果版，支持通过LiveCD启动Power PC和Intel架构的苹果计算机，支持对硬盘的全盘镜像及各类数据的获取及解析。美亚柏科DC-8670多通道高速数据获取设备支持通过ThunderBolt、USB3.0及火线等多个接口并用，快速对苹果计算机进行全盘镜像制作。

    三 手机取证工具

    随着移动终端的迅速发展，利用移动终端进行各类非法或犯罪行为呈上升趋势，从近几年的案件发展趋势来看，未来一个时期将会是移动终端取证快速发展的黄金期。

    这使得取证的目标从存储介质向移动终端延伸。移动终端更新换代速度非常快，操作系统多样，且移动终端的运行机制不同于传统计算机设备，因此移动终端取证设备的开发难度超过介质取证设备。

    2014年5月，美国国家标准与技术研究院NIST发布了移动终端取证的操作指南NIST SP 800-101 Revision 1 《Guidelines on Mobile Device Forensic》，将移动终端的取证分为5个层次：微读、芯片分析、十六进制镜像／JTAG、逻辑分析以及人工分析。

    NIST发布的《移动终端取证的操作指南》NIST SP 800-101 Revision 1 《Guidelines on Mobile Device Forensic》还列出了一些移动终端取证设备对应支持的提取层级。表1列出了几款主流移动终端取证设备对应支持的提取层级。

    手机系统仿真是目前手机取证中的一种新兴的技术，手机仿真取证是指通过提取手机系统数据，在专用取证设备上运行手机仿真器，模拟手机运行环境，运行并登录手机应用程序，进行数据浏览和分析。同时，在仿真过程，可实时抓取应用程序的通讯数据，分析应用程序的行为特征。整个仿真过程不破坏手机环境及用户数据，对案件手机数据起到有效的保护。

    手机动态仿真取证的应用价值体现在以下四个方面：（1）手机在线仿真、截图辅助证据：提取手机应用数据进行在线仿真，通过仿真模拟器查看手机QQ、微信、新浪微博等数据，进行调查分析并截图作为取证报告辅助证据，且不破坏原有手机数据的完整性及有效性。（2）手机镜像离线仿真、截图辅助证据：手机提取镜像后，归还嫌疑人后，通过手机仿真系统，可以加载镜像进行离线仿真。通过仿真模拟器上查看手机QQ、微信、新浪微博等数据，进行调查分析并截图取证。（3）查看微信红包、公众号文章等详细信息：由于微信红包数据只保存在服务器，本地为实时读取，数据库不保存，因此无法通过手机取证系统提取微信红包详细信息。此时，可以通过手机仿真系统仿真后联网查看，可以查看红包的金额、个数等信息，广泛应用在近期打击利用微信红包进行网络赌博的违法行为中。其他如微信公众号文章等信息，同样可以通过手机仿真系统在线浏览和截图取证。（4）手机木马及恶意软件分析：在联网情况下，手机仿真系统可以实时通讯抓包，生成的抓包文件可以用第三方Wireshark软件进行数据包分析，可用于手机木马、恶意软件分析及安全调查。

    四 未来研究方向与发展趋势

    在移动互联网、云计算以及物联网为代表的新一代网络快速发展的背景下，网络社会与物理社会相互交织、融为一体，改变了传统的互联网计算模式和体系结构，也改变了传统的取证方式。如何研制出在新型网络环境下进行电子数据取证的工具成为取证厂商亟待解决的一大难题。因此，加大电子数据取证工具的研究力度势在必行。展望未来，电子数据取证工具将会向着以下几个方向发展：

    1、高速化、自动化、专业化与智能化发展

    如今，电子证据以不同形式分布在计算机、路由器、入侵检测系统和移动存储等不同设备上。此外，数字设备的存储能力以超过莫尔定律的速度增长，经常涉及海量数据，如果依靠人工来实现，取证的速度和可靠性将大大降低。所以，未来需要功能更强、速度更快、自动化程度更高的取证工具，才能有效进行电子数据取证。取证工具也将不断利用数据挖掘、人工智能以及硬件加速技术（如多核技术等）增强其智能化，以应对大数据量、复杂数据的取证分析能力。综上，取证工具必须高速化、自动化、专业化与智能化，才能提高和满足不同领域电子数据取证调查需求。

    2、新型移动终端的恢复和解密

    目前，取证工具对于手机取证领域的固有难点，如删除图片恢复、密码破解等，依然存在短板。因此，新型智能终端的数据删除恢复也是取证工具研究的重要方向，主要包括基于镜像的签名恢复。另一方面是针对应用数据的存储容器如SQLite、ESE进行记录级的删除数据恢复，恢复已删除的应用APP数据等。随着检验技术的发展，可以预见在未来将会有一定程度的突破。

    此外，智能手机上会有更多的数据加密以保护个人隐私和企业数据，这将使取证更具挑战性。Android5.0采取的全盘加密、国产手机的自主安全机制（联想、华为、小米等），虽然都基于Android操作系统，但却为取证工作带来不少困难。苹果取证领域虽然近一段时间在数字密码暴力破解方面有一定突破，一旦系统漏洞修复，苹果的取证将依然成为业内难题。在未来几年，能帮助找到避开密码和设备锁方法的手机取证工具以及先进的加密技术将是发展趋势。

    3、远程跨域取证工具

    移动互联网将全球计算机网络、移动网络和物联网等连接在一起，加上网络访问具有较强的隐藏性以及匿名性，使得远程跨域取证异常困难。当前有很多基于IDS的取证系统以及网络取证系统，但是这些系统的取证范围也常常是一些较小的单位网络，如政府、企业网等。对于跨域发生的安全事件来说，如何进行取证、如何进行远程跟踪事件等目前缺乏有效的方法。因此，研究有效的远程跨域取证工具将成为电子数据取证中的一个研究方向。

    4、面向移动终端的现场取证工具

    随着移动终端类检材的主流趋势，可以预见的是现场取证工具将不再局限于计算机类检材的数据快速获取和指定类型数据的恢复获取。随着手机与个人电脑概念的趋同，现场取证工具必定在原有基础上，涵盖手机、计算机、平板等数字产品的证据固定和快速获取功能，这也必将是现场取证工具的发展方向。现场取证工具也将进一步结合后端平台，实现高性能计算、高度智能化等功能，现场获取的数据可直接进入平台，并实现综合的案件线索情报查询及关联分析。

    5、智能设备的取证工具

    随着科技的快速发展，已经涌现了各种智能设备，如智能手表、智能手环、智能眼镜、智能家电、智能汽车、智能自行车、无人机、增强现实（AR）和虚拟现实（VR）等智能设备。各类智能设备的硬件、软件系统都将不断升级，对于电子数据取证来说，如何获取智能设备中的数据、解析其数据内容，分析出使用者的行为、轨迹、发生的事件等均是未来研究的方向。

    6、芯片取证工具

    随着移动智能终端、可穿戴设备及非智能嵌入式终端等普及应用，越来越多的案件调查涉及此类设备。设备若出现故障、无法通过正常的通讯接口获取数据或遇到有安全保护措施（如密码保护），往往需要通过将芯片拆卸并获取其数据内容。研究各类芯片取证技术，包含芯片物理提取、数据获取、数据解析、数据恢复和镜像仿真技术是电子数据取证的未来研究方向。

    7、与新兴技术结合

    电子数据取证技术是一门跨领域的综合性学科，因此必将通过和其他数字技术进行结合才能取得发展，要克服当前的局限性就要吸收多学科的研究成果。随着移动互联网技术、云计算、大数据以及物联网技术等各种新技术不断涌现，必将对电子数据取证技术的发展产生较大的影响。而在这种情况下，只有通过有效的结合手段才能推动电子数据取证技术的发展。因此，电子数据取证工具也必须要结合人工智能、机器学习、神经网络和数据挖掘等技术进行开发，这也是取证工具今后的发展方向之一。

    参考文献

    [1]李炳龙,王鲁,陈性元.数字取证技术及其发展趋势[J].信息网络安全,2011年01期