張鶴

摘要：由于互聯(lián)網(wǎng)的發(fā)展與新型智能終端的不斷涌現(xiàn)和普及，智能終端在犯罪活動中被頻繁使用。在公安機關(guān)在打擊犯罪一線實戰(zhàn)中，涉案新型智能終端中的數(shù)據(jù)已成為重要的破案線索和證據(jù)來源，因此電子數(shù)據(jù)取證技術(shù)的作用愈加重要。現(xiàn)有的電子數(shù)據(jù)取證技術(shù)及裝備仍面臨著幾方面的問題，包括：難以適應(yīng)新型智能設(shè)備及應(yīng)用的快速發(fā)展、無法對云環(huán)境下電子數(shù)據(jù)進行取證分析、對新設(shè)備、新環(huán)境支持驗證不足的問題，使得現(xiàn)有技術(shù)裝備無法很好地滿足打擊犯罪工作的需要。該文詳細分析對比國內(nèi)外主流的電子數(shù)據(jù)取證技術(shù)及裝備的主要特點、優(yōu)勢與應(yīng)用情況，并立足于案件一線的應(yīng)用，給出電子數(shù)據(jù)取證目前需應(yīng)對的挑戰(zhàn)與未來的研究重點。

關(guān)鍵詞：犯罪活動;電子數(shù)據(jù);取證鑒定;勘查

中圖分類號：TP393 ? ? ? 文獻標(biāo)識碼：A

文章編號：1009-3044（2020）28-0034-05

Abstract： Due to the development of the Internet and the emergence and popularity of new intelligent terminals， intelligent terminals are frequently used in terrorism activities. In the actual combat of terrorism in the public security organs， the data in the new intelligent terminals involved has become an important source of clues and evidence， so the role of electronic data forensics technology is increasingly important. The existing electronic data forensics technology and equipment still face several problems， including： difficulty in adapting to the rapid development of new intelligent devices and applications， forensic analysis of electronic data in cloud environments， and insufficient support for new devices and new environments. The problem is that the existing technology equipment can not meet the needs of anti-terrorism work well. This paper analyzes in detail the main characteristics， advantages and applications of the mainstream electronic data forensics technology and equipment at home and abroad， and based on the application of the first-line terrorism-related cases， and gives the challenges and future research priorities for electronic data forensics.

Key words：terrorism activities; electronic data;forensics technology;investigation

1引言

隨著移動互聯(lián)網(wǎng)技術(shù)、新型智能終端設(shè)備、應(yīng)用的快速發(fā)展，公安機關(guān)一線實戰(zhàn)工作中，包括在犯罪案件，涉案新型智能終端中的數(shù)據(jù)已成為重要的破案線索和證據(jù)來源[1-8]。電子數(shù)據(jù)取證技術(shù)發(fā)揮了至關(guān)重要的作用，同時，電子數(shù)據(jù)取證相關(guān)設(shè)備也隨之發(fā)展起來[9]。

目前，公安機關(guān)配備的電子數(shù)據(jù)取證勘查裝備主要針對涉案計算機設(shè)備、存儲設(shè)備及智能終端進行電子數(shù)據(jù)取證分析。設(shè)備具備較強的計算能力，可獨立在現(xiàn)場展開勘查取證工作，但現(xiàn)有裝備也存在諸多挑戰(zhàn)，主要體現(xiàn)在：隨著新型設(shè)備和云計算的飛速發(fā)展，現(xiàn)有的取證技術(shù)裝備難以適應(yīng)新型智能設(shè)備及應(yīng)用的快速發(fā)展;無法對云環(huán)境下電子數(shù)據(jù)進行取證分析;對新設(shè)備、新環(huán)境支持驗證不足的問題，使得現(xiàn)有技術(shù)裝備無法滿足打擊犯罪工作的需要[10-14]。

上述不足使得現(xiàn)有裝備難以滿足打擊犯罪處突事件現(xiàn)場對智能終端、計算機系統(tǒng)和多類別存儲設(shè)備進行高效取證勘驗的工作需求。針對打擊犯罪處突現(xiàn)場的實戰(zhàn)業(yè)務(wù)需求，研制的裝備為便攜、高效、多功能的電子數(shù)據(jù)現(xiàn)場取證分析裝備。支持公安機關(guān)在打擊犯罪現(xiàn)場和案件、事件現(xiàn)場對智能終端、計算機系統(tǒng)的全方位電子數(shù)據(jù)取證分析。

2國內(nèi)外電子數(shù)據(jù)取證裝備研究現(xiàn)狀

2.1國外同類武器裝備或主流技術(shù)現(xiàn)狀及發(fā)展趨勢分析

國外同類武器裝備或主流技術(shù)的概況如表1所示，以下對各個技術(shù)進行具體的分析。

2.1.1 Cellbrite UFED

Cellebrite公司的UFED Touch 高級版[15]是新一代、高性能的手機司法取證解決方案。通過直觀的用戶操作界面和簡單易用的觸摸屏，UFED Touch高級版支持對各種品牌、型號的手機、GPS和移動設(shè)備進行物理鏡像獲取、邏輯提取和文件系統(tǒng)獲取，包括已經(jīng)刪除的數(shù)據(jù)和密碼。

主要特點：

（1）完整獲取已經(jīng)存在的、隱藏的和刪除的數(shù)據(jù)：如通話記錄、短消息、聯(lián)系人、日歷、郵件、多媒體文件、物理位置信息、密碼、位置信息（如Wi-Fi、手機基站以及導(dǎo)航程序等）和 GPS信息等。

（2）高級搜索。支持文本搜索和特定參數(shù)搜索。

（3）時間線分析。按時間順利展示所有手機行為。

（4）查看列表。支持按照提前設(shè)定的條件查看重點信息。

（5）圖片挖掘。支持從手機鏡像和碎片中恢復(fù)已經(jīng)刪除的圖片文件。

（6）按用戶要求定制生成報告，支持PDF、HTML、XML以及Excel等多種不同的報告格式。

（7）支持對SQLite數(shù)據(jù)庫文件中的數(shù)據(jù)進行查看、搜索和導(dǎo)出（包括已經(jīng)刪除的數(shù)據(jù)）。

主要優(yōu)勢：

（1）獨有的手機鏡像獲取和數(shù)據(jù)解析功能，支持對BlackBerry所有操作系統(tǒng)〔4、5、6和7〕的實時解密和解析。

（2）支持對ios各版本系統(tǒng)的用戶密碼獲取，兼容越獄和非越獄各版本系統(tǒng)。

（3）支持繞過各種版本安卓系統(tǒng)的PIN碼、圖形密碼和數(shù)字密碼。

（4）支持對NOKIABB5手機物理鏡像獲取。

（5）為中國山寨手機提供了最強大的解決方案。

（6）獨家支持TomTomR和其他GPS導(dǎo)航設(shè)備的路徑信息獲取。

（7）完整獲取已經(jīng)存在的、隱藏的和刪除的數(shù)據(jù)：如通話記錄、短消息、聯(lián)系人、日歷、郵件、多媒體文件、物理位置信息、密碼、位置信息（如Wi-Fi、手機基站以及導(dǎo)航程序等）和GPS信息等。

應(yīng)用情況：

Cellebrite的UFED手機取證設(shè)備能夠讓執(zhí)法機關(guān)、打擊犯罪與安全單位從普通手機、智能手機和個人數(shù)據(jù)助理獲取重要的司法證據(jù)，目前除了美國的中央情報機構(gòu)外全美的警局也基本在使用該工具。該工具如圖1所示。

案例：

2012 年的時候，英國警員曾經(jīng)請求Cellebrite幫忙，恢復(fù)了一支 iPhone 3GS 上被刪除的資料。

2013 年，F(xiàn)BI 和Cellebrite簽訂合約，確定后者為指定的手機破解服務(wù)合作伙伴。

2.1.2 Secure View

SecureView4移動手機取證包[16]是美國Susteen公司最新研制的電子物證取證工具包產(chǎn)品。整套產(chǎn)品由SecureView4 取證軟件、完整的數(shù)據(jù)線包、加固手提箱三個部分組成。

SecureView4擁有獨家開發(fā)的svProbe嵌入式分析功能。svProbe是一個包含案例文件創(chuàng)建和書簽功能的獨有程序，與我們現(xiàn)有的分析工具結(jié)合之后，便能在一個完整的軟件包里完成全部數(shù)據(jù)處理工作流程。它是手機取證市場上唯一能提供3個具體調(diào)查流程的產(chǎn)品，這三個流程分別是：獲取、分析（處理）和報告

主要特點與優(yōu)勢：

（1）功能強大：包括：搜索、時間軸、順序表、關(guān)聯(lián)圖、圖庫、活動統(tǒng)計圖、網(wǎng)絡(luò)行為等。

（2）平臺簡單易用：流線型的數(shù)據(jù)采集形式，將使用時的準(zhǔn)確度最大化，提高獲取成功率。

（3）高端軍警裝備級別：Secure View軟件解決方案可作為軍事、政府和執(zhí)法機構(gòu)的基本取證工具，幫助這些機構(gòu)實現(xiàn)移動設(shè)備調(diào)查的高效性和徹底性。

（4）多種報告選項：擁有獨家svProbe分析工具。

（5）是一款強大的個案管理工具。

（6）具備審計跟蹤功能。

（7）WHQL驅(qū)動程序（經(jīng)Microsoft測試和認證）。

應(yīng)用情況：

SecureView4目前可支持10000多種不同功能的手機，可獲取聯(lián)系人信息、通話記錄、短信、彩信、日歷以及其他類型的數(shù)據(jù)。SecureView 4是一款手機取證產(chǎn)品中功能更加齊全的首選工具。該工具如圖2所示。

2.2國內(nèi)同類武器裝備或主流技術(shù)現(xiàn)狀及發(fā)展趨勢分析

國內(nèi)電子數(shù)據(jù)取證技術(shù)及主流技術(shù)概述如表2所示。以下對各裝備及技術(shù)展開分析。

2.2.1 DC-8811取證魔方

DC-8811 取證魔方.V3具備全面勘查取證能力的便攜式裝備，標(biāo)配萬兆網(wǎng)卡，可以快速完成現(xiàn)場計算機、手機、視頻的快速勘查，還可對接大屏或投影儀應(yīng)用于實驗室的固定、分析、仿真等取證分析工作。產(chǎn)品引入智能取證模式，可在接入存儲介質(zhì)后一鍵完成日常取證工作。

特點與優(yōu)勢：

（1）支持對Windows 系統(tǒng)（最新支持Win8） 進行仿真取證。

（2）支持對MAC OS X ?（最新支持10.8） 進行仿真取證。

（3）支持對Linux ?（最新支持Ubuntu 13.10） 進行仿真取證。

（4）配置取證大師最新版本，支持更全面，更智能的取證分析功能。

（5）配置 Intel i7 ?四核八線程CPU，配置16G內(nèi)存容量，配置lT容量硬盤。

（6）配置 USB3.0只讀接口，支持對 USB3.0設(shè)備進行高速復(fù)制。

（7）硬盤復(fù)制速度最高可達 27GB/min。

應(yīng)用情況：

國內(nèi)主要省級、地市級公安單位、檢察院、監(jiān)察委、工商、稅務(wù)、海關(guān)、證監(jiān)和政府等司法機關(guān)及行政執(zhí)法部門。該裝備如圖3所示。

2.2.2 RH-6900手機取證分析儀

RH-6900除了可應(yīng)用于新型智能手機的取證，還可以應(yīng)用于國產(chǎn)非智能手機的取證分析。

系統(tǒng)可全面提取移動終端的已刪除、未刪除數(shù)據(jù)，并進行綜合性的取證數(shù)據(jù)分析。同時，系統(tǒng)可繞過手機權(quán)限，達到破解、取證、分析的全流程。

特點與優(yōu)勢：

（1）針對硬件狀態(tài)正常的手機，可采取免拆機、數(shù)據(jù)線連接直接提取的數(shù)據(jù)提取方式。

（2）針對智能手機，在手機無法開機、無法通過手機數(shù)據(jù)接口提取數(shù)據(jù)、甚至部分外圍硬件已損壞的情況下，可使用JTAG技術(shù)提取所需數(shù)據(jù)。

（3）針對傳統(tǒng)功能手機及部分早期智能手機，在手機屏幕、按鍵、數(shù)據(jù)接口甚至電路板大部分已損壞的情況下，可通過通用芯片提取技術(shù)提取所需數(shù)據(jù)。

（4）針對新型大容量智能手機，在手機屏幕、按鍵、數(shù)據(jù)接口甚至電路板大部分已損壞的情況下，可通過EMMC芯片提取技術(shù)提取所需數(shù)據(jù)。

（5）系統(tǒng)自帶的手機數(shù)據(jù)綜合分析軟件，可全面解析電話本、通訊錄、圖片、音視頻、QQ、微信等多種已刪除、未刪除數(shù)據(jù)。

該裝備如圖4所示。

3 現(xiàn)有裝備存在的主要問題分析

新型智能設(shè)備和新型應(yīng)用的數(shù)據(jù)存儲模型、數(shù)據(jù)保護機制，重點突破在數(shù)據(jù)提取、破解還原、刪除數(shù)據(jù)恢復(fù)、應(yīng)用程序數(shù)據(jù)解析和關(guān)聯(lián)分析等方面關(guān)鍵技術(shù)瓶頸。

面向移動智能終端的取證主要基于通過直接連接智能終端或者通過設(shè)備備份來提取數(shù)據(jù)。針對移動智能終端設(shè)備的提權(quán)和鎖屏破解也有較多研究，但仍然無適用較廣的技術(shù)方案。針對智能終端操作系統(tǒng)的證據(jù)數(shù)據(jù)分析方面，已支持短信、通信錄等設(shè)備數(shù)據(jù)的取證分析，支持目前主流網(wǎng)絡(luò)如即時通訊、微博、電子郵件、瀏覽器、下載工具等應(yīng)用的取證分析，但是智能終端應(yīng)用程序種類繁多、升級換代頻繁，需要持續(xù)緊跟其發(fā)展，研究主流、重點及犯罪類應(yīng)用程序數(shù)據(jù)的取證分析技術(shù);刪除數(shù)據(jù)恢復(fù)功能方面，支持短信、通訊錄、通話記錄的刪除恢復(fù)以及即時通訊、電子郵件、瀏覽器記錄等網(wǎng)絡(luò)應(yīng)用的刪除恢復(fù);支持GPS軌跡信息、網(wǎng)絡(luò)連接信息的取證分析。

隨著移動智能終端不斷地技術(shù)革新和App應(yīng)用普及，智能手機、無限終端等設(shè)備的功能和應(yīng)用不斷出新出奇，電子數(shù)據(jù)安全與備份也不斷地隨之變化。移動智能終端目前逐漸加強了數(shù)據(jù)安全保護機制均比較復(fù)雜，如何繞過訪問權(quán)限的限制直接進行智能終端中的數(shù)據(jù)提取仍然是當(dāng)前取證工作的難題。

通過對公安機關(guān)裝備的取證設(shè)備實地調(diào)研和業(yè)務(wù)搜索，取證裝備在未來的發(fā)展趨勢主要包括技術(shù)的改進和指標(biāo)的提升。技術(shù)改進和指標(biāo)提升包括：

針對現(xiàn)場取證分析業(yè)務(wù)需求，從智能終端系統(tǒng)的存儲系統(tǒng)分析與提取技術(shù)、文件系統(tǒng)分析與文件提取技術(shù)和數(shù)字證據(jù)保全技術(shù)等方面展開研究。

（1）移動智能終端目前逐漸加強了數(shù)據(jù)安全保護機制均比較復(fù)雜，如何繞過訪問權(quán)限的限制直接進行智能終端中的數(shù)據(jù)提取是重要研究方向。

（2）智能終端設(shè)備具備自有獨特的操作系統(tǒng)，提供的接口和數(shù)據(jù)存儲方式都不一樣。需要分析研究其系統(tǒng)數(shù)據(jù)存儲機制、分析對應(yīng)文件系統(tǒng)結(jié)構(gòu)，研究掌握新型文件系統(tǒng)解析和刪除恢復(fù)，文件屬性（時間屬性、安全屬性）與文件內(nèi)容提取的技術(shù)方法。

（3）智能終端應(yīng)用程序種類繁多、升級換代頻繁，需要持續(xù)緊跟其發(fā)展，研究主流、重點及犯罪類應(yīng)用程序數(shù)據(jù)的取證分析技術(shù)。

（4）電子證據(jù)固定保全方面，研究支持多類存儲接口的高速并行只讀復(fù)制，支持在不同的接口規(guī)格和尺寸之間實現(xiàn)轉(zhuǎn)換復(fù)制;具備良好的數(shù)據(jù)完整性校驗。

（5）數(shù)據(jù)刪除恢復(fù)，通過全盤扇區(qū)掃描根據(jù)文件類型格式識別被刪除文件，支持對被格式化或者文件系統(tǒng)扇區(qū)損壞的磁盤。

（6）對即時通訊、瀏覽器、郵箱、下載工具等主流網(wǎng)絡(luò)應(yīng)用程序數(shù)據(jù)的取證分析和刪除數(shù)據(jù)恢復(fù)。

（7）通過系統(tǒng)仿真模擬運行，取證系統(tǒng)地動態(tài)數(shù)據(jù)信息。

4 未來研究方向與技術(shù)難點

針對項目的目標(biāo)和主要任務(wù)，我們將從面向存儲介質(zhì)的取證技術(shù)和硬件裝備兩個方面展開研究。

4.1面向存儲介質(zhì)的取證技術(shù)

4.1.1 存儲介質(zhì)多路只讀復(fù)制

數(shù)據(jù)存儲介質(zhì)多路只讀復(fù)制設(shè)備采用橫向多插槽方案設(shè)計，支持SATA、SAS、IDE、SCSI、存儲卡等多種接口。各種介質(zhì)插槽都預(yù)留只讀接口和讀寫接口，存儲介質(zhì)從設(shè)備兩側(cè)接入，一側(cè)只讀。

上層取證分析軟件通過硬件設(shè)備驅(qū)動程序訪問和操作接口設(shè)備：支持數(shù)據(jù)只讀讀取，同種數(shù)據(jù)介質(zhì)位對位復(fù)制;支持在不同的接口規(guī)格和尺寸之間實現(xiàn)轉(zhuǎn)換復(fù)制;支持多個設(shè)備對多個設(shè)備并行復(fù)制;支持1個設(shè)備對多個設(shè)備的冗余復(fù)制。

4.1.2 鏡像生成、數(shù)據(jù)保全、磁盤擦除

取證軟件可以將物理存儲設(shè)備數(shù)據(jù)以鏡像的方式保存的指定位置。數(shù)據(jù)讀取采用直接訪問驅(qū)動的方法，繞過文件系統(tǒng)，按照扇區(qū)讀取的方式復(fù)制整塊磁盤或分區(qū)，保證存儲設(shè)備數(shù)據(jù)的完整性。復(fù)制過程中能夠?qū)崟r顯示運行狀態(tài)，包括讀取速度，任務(wù)進度等。

鏡像提取完成后，能夠自動生成鏡像的校驗值，支持MD5、SHA-1、SHA-2等多種哈希值，保證鏡像數(shù)據(jù)不被修改。

磁盤擦除功能能夠?qū)鹘y(tǒng)硬盤和SSD磁盤進行數(shù)據(jù)擦除，支持多次重復(fù)擦除，支持指定字符擦除功能，數(shù)據(jù)擦除功能同樣采用直接訪問驅(qū)動的方法訪問扇區(qū)，從0扇區(qū)開始進行操作。

4.1.3 應(yīng)用程序分析

隨著科技信息的發(fā)展，應(yīng)用程序也在不斷新增，常用的應(yīng)用程序主要包括聊天軟件、瀏覽器、郵箱、下載工具等程序。

即時通訊聊天軟件主要針對QQ、skype、YY等即時聊天工具，針對QQ取證分析出QQ的聊天內(nèi)容的記錄文件以及好友關(guān)系文件。針對skype、yy能夠直接取證解析聊天信息和好友信息，并支持導(dǎo)出記錄，針對聊天內(nèi)容支持會話展示，能夠播放語音和視頻。

瀏覽器主要針對IE、Chrome、FireFox，查找瀏覽器數(shù)據(jù)的存放目錄，獲取用戶的收藏夾、歷史記錄、cookie信息、緩存文件、瀏覽圖片，獲取輸入控件中自動保存的用戶名和密碼。分析出用戶的上網(wǎng)記錄。

郵箱主要針對Outlook、Foxmail、網(wǎng)易閃電郵等，支持取證保存在本地的郵件列表（包含郵件內(nèi)容），發(fā)件人信息列表，收件人信息列表。

下載工具主要針對迅雷、網(wǎng)際快車、電驢等下載工具，分析工具的日志文件，找出下載記錄信息，解析出用戶下載請求的URL地址、請求時間、下載完成時間。

4.2 硬件裝備

打擊犯罪電子數(shù)據(jù)取證裝備研制主要包括硬件只讀裝備研制、快速復(fù)制裝備研制以及取證分析設(shè)備研制等三個部分。

硬件只讀裝備：設(shè)備通過軟件或硬件層阻止數(shù)據(jù)寫入，保護電子數(shù)據(jù)介質(zhì)內(nèi)的數(shù)據(jù)不被修改和刪除，保證電子數(shù)據(jù)鑒定的司法有效性和數(shù)據(jù)完整性。

快速復(fù)制裝備研制：設(shè)備利用高性能的傳輸接口，對獲取的電子存儲設(shè)備，支持位對位的復(fù)制。

取證分析設(shè)備：便攜式計算機設(shè)備，通過多種數(shù)據(jù)接口，對獲取的電子介質(zhì)進行數(shù)據(jù)獲取，利用內(nèi)置的取證分析軟件對獲取的數(shù)據(jù)進行取證分析。

硬件裝備的研究設(shè)計中，核心是芯片級只讀系統(tǒng)的設(shè)計，包括只讀控制核心單元和擴展單元兩部分;通過訂制不同的擴展單元可實現(xiàn)多種只讀硬件的設(shè)計。硬件只讀模塊設(shè)計兼顧了模塊化設(shè)計、可靠性和快速可擴展性。由只讀控制核心單元和接口擴展單元組成，核心單元通過對存儲設(shè)備的只讀掛載和數(shù)據(jù)交換實現(xiàn)只讀控制，擴展單元可根據(jù)不同的接口功能要求擴展全部或部分存儲器接口類型。核心單元和擴展單元之間通過通用的PCI-E 接口實現(xiàn)操作，并且可以擴展其他功能。

硬件只讀取證模塊的設(shè)計方面：硬件只讀取證模塊是存儲設(shè)備取證產(chǎn)品中一項重要的組成部分。通過只讀取證系統(tǒng)所提供的數(shù)據(jù)拷貝功能，將能夠極大地減少取證人員的工作強度及難度。便攜式只讀取證系統(tǒng)的主要功能是在不破壞現(xiàn)有存儲設(shè)備的情況下，根據(jù)提供的各類存儲設(shè)備進行數(shù)據(jù)讀取拷貝，從而獲取取證人員所需要的取證資料。硬件只讀取證系統(tǒng)的主要目的是在不破壞存儲設(shè)備的情況下，從各類存儲設(shè)備中讀取拷貝數(shù)據(jù)。便攜式只讀取證系統(tǒng)分為兩大模塊：讀寫模塊和只讀模塊。讀寫模塊相對應(yīng)的存儲設(shè)備包含有3.5 寸硬盤、2.5 寸硬盤、USB3.0 設(shè)備、USB2.0 設(shè)備、RJ45 網(wǎng)口設(shè)備等;只讀模塊相對應(yīng)的存儲設(shè)備包含有3.5 寸硬盤、2.5 寸硬盤、USB3.0 設(shè)備、MS/MS Pro/MS Duo/MS ProDuo卡、SD/MMC/RS MMC 卡、CFI/CFII/MD 卡、Extreme Digital 卡、TF/Micro SD 卡等。

讀寫模塊可對存儲設(shè)備進行讀寫操作，實現(xiàn)系統(tǒng)與存儲設(shè)備之間的數(shù)據(jù)相互讀取拷貝，便于取證人員設(shè)置系統(tǒng)時與外部數(shù)據(jù)交互。

只讀模塊只能對存儲設(shè)備進行只讀拷貝操作，實現(xiàn)系統(tǒng)從存儲設(shè)備當(dāng)中讀取拷貝數(shù)據(jù)，能讓取證人員在不破壞存儲設(shè)備數(shù)據(jù)情況下，從存儲設(shè)備捕獲所需數(shù)據(jù)，從中取證。根據(jù)需要的存儲設(shè)備，由接口擴展單元實現(xiàn)硬件的對接，并且由只讀控制核心單元實現(xiàn)數(shù)據(jù)的只讀拷貝，從而實現(xiàn)多擴展接口的并行數(shù)據(jù)只讀，從而實現(xiàn)各類存儲設(shè)備的數(shù)據(jù)訪問。通過便攜式只讀取證系統(tǒng)可以有效地將外部存儲設(shè)備拷貝到系統(tǒng)當(dāng)中，從而實現(xiàn)數(shù)據(jù)的恢復(fù)、查找、拷貝、審查、取證等功能，并由取證相關(guān)人員將數(shù)據(jù)交予相關(guān)單位部門人員分析取證。同時，為確保電子數(shù)據(jù)的原始性、真實性、合法性，在電子數(shù)據(jù)收集時應(yīng)由取證人員全程跟蹤并采用專業(yè)的數(shù)據(jù)拷貝備份將外部存儲設(shè)備數(shù)據(jù)拷貝備份，且要求數(shù)據(jù)拷貝設(shè)備的只讀設(shè)計及自動校準(zhǔn)功能就顯得額外重要。

硬件只讀模塊主要困難在于對只讀模塊的只讀設(shè)計、自動校準(zhǔn)、并行數(shù)據(jù)訪問、控制核心單元設(shè)計等的集成化，從而實現(xiàn)主控單元控制所有數(shù)據(jù)的訪問。

5 總結(jié)

本文針對國內(nèi)外電子數(shù)據(jù)取證勘察技術(shù)及裝備的進展、優(yōu)勢與應(yīng)用情況，展開了詳盡的對比分析，并指出在涉恐涉暴案件勘察中，當(dāng)前電子數(shù)據(jù)取證技術(shù)及裝備仍面臨著幾方面的問題，無法很好地滿足實戰(zhàn)需求。最后，從智能手機終端設(shè)備取證技術(shù)、可穿戴設(shè)備取證技術(shù)、面向存儲介質(zhì)的取證技術(shù)、云取證技術(shù)、反取證技術(shù)、硬件裝備等幾個方面，給出了重點問題和未來研究方向，為本領(lǐng)域研究人員工作提供了重要的基礎(chǔ)。

參考文獻：

[1] 黃金成，保佳福.論中國面臨的恐怖主義威脅[J].法制與社會，2009（18）：210-211.

[2] 金輝.當(dāng)前中國面臨的恐怖主義威脅：以為“東突”個案的分析[D].中國人民大學(xué)， 2007.

[3] 楊延冰.“東突”恐怖主義與中國國家安全[D].西安：陜西師范大學(xué)，2006.

[4] 皮勇.全球化信息化背景下我國網(wǎng)絡(luò)恐怖活動及其犯罪立法研究——兼評我國《刑法修正案（九）（草案）》和《反恐怖主義法（草案）》相關(guān)反恐條款[J].政法論叢，2015（1）：68-79.

[5] 劉黎明，肖文宇.論我國反恐怖主義法律制度的完善[J].凈月學(xué)刊，2017，32（4）：70-77.

[6] 蘭迪.論我國《反恐怖主義法》中的“去極端化與反極端化”[J].鐵道警察學(xué)院學(xué)報，2017，27（1）：50-56.

[7] 金波，吳松洋，熊雄，等.新型智能終端取證技術(shù)研究[J].信息安全學(xué)報，2016，1（3）：37-51.

[8] 劉建軍，趙兵，熊道泉，等.新型電信詐騙案件中的電子數(shù)據(jù)研究[J].信息網(wǎng)絡(luò)安全，2013（12）：90-92.

[9] 郭弘，徐志強.國內(nèi)外電子數(shù)據(jù)取證裝備及軟件發(fā)展現(xiàn)狀與趨勢[J].保密科學(xué)技術(shù)，2016（3）：28-34.

[10] 付忠勇，趙振洲.電子取證現(xiàn)狀及發(fā)展趨勢[J].計算機與網(wǎng)絡(luò)，2014，40（10）：67-70.

[11] 趙小敏，陳慶章.計算機取證的研究現(xiàn)狀及趨勢[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2003（9）：32-35.

[12] Bunting S. Encase computer forensics[M].Sybex2012.

[13] 北京瑞源文德科技有限公司. FTK實戰(zhàn)應(yīng)用[M].中國檢察出版社， 2015.

[14] Shavers B，Zimmerman E.Searching in X-ways forensics[M]//X-Ways Forensics Practitioners Guide.Amsterdam：Elsevier，2014：127-152.

[15] National Institute of Standards and Technology （NIST）United States of America， America U S O. Test Results for Mobile Device Acquisition Tool： CelleBrite UFED 1.1.3.3 - Report Manager 1.6.5[J]. Bureau of Justice Statistics， 2010.

[16] National Institute of Standards and Technology （NIST）United States of America. Test Results for Mobile Device Acquisition Tool SusteenDataPilot Secure View 1.12.0[J]. Bureau of Justice Statistics， 2009.

【通聯(lián)編輯：代影】