取证工具是什么

取证工具是指在调查计算机犯罪时，为保证证据的完整性和有效性而使用的一些辅助工具。现场调查阶段应使用在线取证工具、硬盘拷贝机、手机取证工具获取本地或远程数据，并选择计算机取证工具对数据源进行比对、搜索和分析，以重构案件。

取证工具是指在调查计算机犯罪时，为保证证据的完整性和有效性而使用的一些辅助工具。进行刑事侦查时，一般需要使用在线取证工具、硬盘拷贝机、手机取证工具获取本地/远程数据，并采用有效的验证工具及时修复证据；实验室物证检验阶段，首先删除数据，修复受损数据，恢复隐藏文件，扫描加密文件解密，mcrc签名是否正确；证据分析阶段最为复杂，需要根据具体案件制定相应的调查方案，选择计算机取证工具对数据源进行比对、搜索、分析，然后重构案件。

探索和证据收集工具

现场勘查使用的工具主要包括在线取证工具和部分硬件数字取证工具。根据法律程序，从运行系统在线收集电子数据或获取并修复存储在媒体上的电子数据，以确保所收集数据的原创性、完整性和有效性。

在线取证工具

当调查人员进入犯罪现场时，如果打开计算机，他们需要收集数据，如系统进度信息、注册表信息、帐户列表和密码、计算机网络设置、屏幕截图、内存数据、加密分区、聊天记录和帐户密码、电子邮件和帐户密码、在线记录和手机同步记录。网上调查取证有很多免费工具和开源工具，如第一反应者证据盘(Fred)、事件反应证言报告(ircr)、Helix、Windows取证工具箱(WFT)、计算机在线取证提取器(cofee)等。目前，大多数常见的在线取证工具直接在嫌疑人的计算机上运行取证软件，并自动获取内存和注册表中的数据。同时，他们可以通过取证软件实现硬盘的完整镜像。但是这种方法的缺点是可能会导致内存和硬盘中有太多信息被覆盖，影响取证效果。此外，在运行的系统下获取图像可能会导致系统崩溃，破坏证据的完整性。F-Response网络在线调查CE版有效解决了这个问题。F-Response利用网络将局域网中的两台或多台计算机连接起来，以物理磁盘的形式将任意一台计算机的硬盘或其他存储介质显示给调查者计算机，并直接运行调查者计算机中的任意分析工具或镜像工具，实现对疑似硬盘数据的完整采集。这种方法是最理想的，它只占用可疑计算机的少量内存，不会造成崩溃等问题。在线取证遇到的另一个问题是，计算机硬盘和内存容量增加，对海量数据的分析逐渐超过调查人员的查看能力。手动分析无法快速准确地定位关键和敏感信息。装箱便携式提供了一个很好的解决方案，它可以自动搜索目标计算机并自动收集数据，包括文档、网络记录、图片和其他数字证据。

硬盘复印机

硬盘作为计算机最重要的信息存储介质，是数字取证的重要内容。硬盘拷贝机提供严格复制疑似硬盘存储的所有数据(包括已删除文件、未使用空房间和白色文件空)的保证。Dossir、TD1、Quest、Hard Copy、SOLO、Super Sonix、DC-8103是目前硬盘取证的主流产品。与硬盘复制器的早期产品相比，上述硬盘复制器不仅支持更多的介质类型(如各种接口的硬盘、多媒体卡、RAID)，而且速度更快(6 ~ 7g/min)。更显著的特点是集成了数据修复、快速关键词检索、实时取证报告自动生成等功能。比如，泰龙是罗克立方推出的最新电子证据固定解决方案，是专门用于现场或实验室数字取证的便携式设备。兼容所有标准和专有操作系统，设备中的高级关键词搜索工具可以全速搜索数百个单词。用户在CF卡中的多个短语组中存储多个预定义的关键词列表，并且可以从CF卡中取出搜索结果并直接在窗口中显示它们。搜索关键字可以是Unicode编码、区分大小写或忽略。另外，键盘方便用户现场输入关键词。Talon具有自动生成实时法医工作报告并写入CF卡的功能。报告可以现场打印，由法医方签字，也可以事后打印。Talon还运行了Logicube的一个程序mcrc的内容(目录)，并将验证结果以ASCII码的形式添加到文件的末尾。此外，CPRTools的PSIClone硬盘复制机在受损硬盘的数据恢复和证据收集方面也有自己的特点。

写保护接口硬件

在获取犯罪嫌疑人的电子数据时，需要保证原始数据的安全。写保护接口硬件用于在现场或实验室通过火线或USB接口获取硬盘镜像和所有使用标准笔记本电脑或普通台式电脑分析文件使用的写保护接口，以保证证据数据以只读方式读入证据分析设备。威贝特奇公司的系列产品和特布卢公司的UltraKt一直占有较高的市场份额。

数据擦除设备

数据擦除设备是一种用于各种规格的硬盘、USB存储设备、存储卡等电子存储介质的安全擦除工具。一般情况下，对已经完成电子物证鉴定且不需要保存的各种存储介质和保密数据进行清理和擦除，以保证存储介质可以重复使用。目前大部分硬盘复制机都提供数据擦除功能，但是锤子硬盘擦除器和DriveWper硬盘擦除器的专用设备可以同时操作多个硬盘。

手机取证系统

手机取证已经成为近年来取证的热门话题之一。主要是无数手机厂商在外观、性能、硬件技术、操作系统、物理格式等方面不断为用户提供不同的手机。起初，世界上第一个便携式手机取证盒Logicube的CELLDEK只能识别两三百个手机型号，只能提取存储在机身和SIM卡中的重要数据，如电话簿、短信、通话记录等。随着智能手机的广泛应用，手机取证市场在空之前蓬勃发展。罗技推出CelXtract，以色列Cellebrite公司不断更新UFED版。目前，俄罗斯的手机取证分析工具OxygenForensicSuite、美国Paraben公司的devicezeizure、上海磐石公司的SafeMobile、厦门美亚贝科DC-4500、DC-4600也获得了用户的认可。手机取证产品的性能差异主要体现在支持的手机数量、操作系统类型、连接方式、获取的信息类型数量等方面。