计算机取证系统
什么是电子数据取证?
采用技术鉴定的手段,取得最具证明力的电子证据作为认定事实的依据。
什么情况下需要电子数据取证?
刑事诉讼,民事诉讼,执法机关,财务审计,公司调查,保险行业等需要计算机取证专家对电子数据进行专业的鉴定。
取证实验室能够提供何种服务?
取证实验室可以提供对证据的固化、查找、提取、分析、恢复等服务,并保证取证过程中证据的完整性、有效性,以及取证过后证据的妥善保存。
计算机取证工作主要有三个步骤:
STEP1:证据固定,因为取证有个基本的原则就是不能对原始介质直接进行分析,所以只能先对介质进行完整的克隆,然后再对克隆后的介质进行分析,在硬盘复制过程的每一步骤,取证系统都会进行MD5的校验,如果每一次的检验值一致,则就证明在取证过程中没有修改电子数据,
STEP2:数据分析,在取证实验室,取证系统会对证据进行查找、提取、分析、恢复等一系列的工作,所有的分析过程都是在复制的硬盘上进行,保证取证过程中证据的完整性、有效性,以及取证过后证据的妥善保存,在取证的每一步均进行MD5检验;
STEP3:报告导出,完成对电子数据的分析后,计算机取证专家会提供一份完整的、成文的证据链分析报告。该报告包括有调查人员提供的分析的结果,以及取证的流程,使用的设备(软件、硬件)的详细描述等,报告的形式多样,可能包括图片、声音、影像等,因为电子数据的取证报告的容量较大,所以会存放在若干CD光盘之中,每张光盘会打印出盘标号;除此之外还会提供一份纸质说明文档,此文档是一份对取证结果的一份描述,会列各项所提取、恢复出的证据,并标明证据所在光盘标号,以方便用户查看,
计算机取证工作中取证及分析过程中所需的硬件设备主要有:
DC8100/DC8200高速硬盘复制机,用于硬盘(电子介质)数据复制;
CyberBlock只读锁,用于无侵入地分析/复制源介质;
DC8000专用机,用于“数据获取”及“数据分析”,即EnCase系统运行平台;
软件主要为EnCase系统,EnCase取证版目前已经成为计算机取证的行业标准工具,用于发现、分析、展示计算机犯罪证据。它被广泛地运用于法律机构、政府部门、商业集团、顾问咨询公司,为我们提供了强有力的途径,迅速、彻底地鉴定、查找和恢复计算机犯罪证据。 
推荐机型:DESKTOP系列 专业型系列;
2010-08-17