首頁 > 關于效率源 > 新聞和事件 > 技術視界
【技術要點】現勘你了解多少?這些細節,很容易被忽略
2019年09月23日

在電子數據取證流程中現場勘驗的規范性直接決定了電子數據的司法有效性,所以尤為重要。現場勘驗的規范、流程、操作細節等內容非常廣泛,在這里無法做詳細的解讀,今天就和大家一起重溫有關計算機、手機、服務器、監控機等介質現場勘驗過程中比較容易被忽略的注意事項。

手機現勘
手機現勘在實際案例中遇到的情況比較多,相對來說手機現場勘驗較計算機和服務器來說要簡單一些。

注意事項:
1、手機開啟飛行模式要比關機更好,但盡量保證手機電量充足,如果有手機信號屏蔽設備效果更好;
2、手機開機密碼現場需要驗證,其他重要密碼也要注意現場驗證,如:APP的登錄密碼、手機隱私空間的訪問密碼、手機云盤空間的訪問密碼等;
3、手機相機的緩存數據(打開手機相機然后退出,部分手機會有退出相機前的緩存數據),現場勘查時針對此類數據可外置錄像、截圖等方式固定;
4、如果手機正與其他設備連接,需切斷連接,以防數據傳輸和同步覆蓋。

視頻監控現勘
對于監控視頻需要確認監控視頻的如下情況:監控主機的品牌、監控存儲介質等。

注意事項:
1、停止錄像可以保證恢復的數據成功率更高;
2、北京時間校準保證監控視頻時間準確性;
3、監控主機日志固定,可分析到更多監控主機的操作行為,為案件偵破提供更多輔助線索或證據;
4、視頻監控現場勘查如果通過監控主機查看沒找到涉案視頻,不代表真正沒有,可能涉案視頻處于刪除、丟失等狀態。

服務器現勘
服務器現場勘驗需要弄清楚服務器的以下情況:服務器物理環境;服務器網絡環境;服務器操作系統;服務器所有磁盤陣列類型。

注意事項:
1、服務器如使用磁盤陣列需要關機取出存儲硬盤單個固定數據的情況下,請提前記錄好陣列磁盤順序、相應配置等信息;
2、服務器如果需要關機要按正常流程關機,否則部分程序在后期仿真分析會出現異常;
3、如果遇到大容量陣列存儲且不考慮數據恢復的情況,可使用類PE工具引導服務器對陣列中正常數據進行固定。

計算機現勘
計算機現勘中取證人員會遇到名目繁多的硬件、不同接口的硬盤、不同的計算機操作系統、不同的文件系統......而這些情況都會增加計算機現勘的難度。

注意事項:
1、有加密容器需要在解密情況下優先固定,如:TrueCrypt、VeraCrypt、BitLocker等常見的加密工具下的加密情況(如果能現場驗證到正確密碼效果最好);
2、有已經運行登錄的非市面常見的聊天工具,可以嘗試通過軟件自帶的消息導出功能導出聊天記錄,或者通過截圖工具進行關鍵聊天截圖;
3、開機狀態下的計算機剪切板、操作撤銷等,可在相應數據固定后完成使用Ctrl+V、Ctrl+Z等操作驗證是否有關鍵數據;
4、在進行在線數據提取前,一定要注意對系統的時間(時區)進行北京時間校準和記錄;
5、常見的易丟失數據包括:內存數據、系統信息、正在運行的程序數據。

FAS7900現場勘驗取證系統

FAS7900現場勘驗取證系統(簡稱FAS7900)是效率源針對執法部門的實際需求,精心設計研發的一款能夠單兵攜帶的現場快速取證設備。它可以快速、高效地對Windows、Linux、MacOS系統的電腦主機進行現場免拆機、拆機取證工作。

1569204678071054295.jpg

?產品動態




?購買通道

如需請聯系各大區銷售負責人;


?其余明星取證產品試用通道

關注效“效率源”微信號,點擊微信“會員專享”“產品試用”即可申請效率源明星取證產品免費試用