电子数据的提取、固定与恢复

电子数据的提取、固定与恢复:

序号 服务项目 详情
1

计算机存储介质

提取固定:对电子设备的存储,例如硬盘、U盘进行固定(硬盘的镜像和哈希),对存储介质内特定数据表格、文档、邮件、聊天记录等数据的提取固定。

数据恢复:对误删除、格式化、重装系统、电脑病毒(部分)导致的数据丢失进行数据恢复。

文件修复:对无法正常打开的文件(部分)进行修复。 数据库复原(恢复):对Oracle、Sqlserver等数据库由于人为删除、误操作等造成数据丢失通过应急、前滚、版本等恢复方法进行数据库内容恢复。

密码破解:对加密的文档、压缩包、加密容器等进行解密。数据解密技术、密码破译技术;对电子介质中被保护信息的强行访问等。

邮件分析:对大体量的邮件数据进行关联分析,对特定人特定内容的邮件进行分析。

日志分析:通过痕迹分析,对黑客入侵、职务犯罪、舞弊的实行者行为(仅限电子痕迹)进行分析,重建犯罪现场。通过日志分析,了解系统受到哪些攻击以及哪些远程主机访问了该主机。帮助侦查人员确定作案时间以及作案过程; 根据已获得的文件或数据的词、语法和写作(编程)风格,推断出其可能的作者。这对于确定有害程序的原始作者极为重要。

文件系统分析:通过日志等分析文件的历史操作痕迹,包括文件的创建、修改、删除等记录信息。

数据属性:包括开关机时间、文件的创建、修改、访问、删除时间、office文档的真实创建时间(可以进行时序分析,如后补合同)和打印时间等。

可执行文件操作:包括可执行文件名称、功能、位置、运行次数、运行时间等。发现入侵者残留物:如程序、脚本、进程、内存映像;

应用数据解析:解析应用数据存储文件,获取聊天数据、配置信息、操作记录等数据。(仅限使用工具)信息挖掘技术。

注册表分析:分析注册表,获取系统信息、用户信息、软件的安装和卸载情况、邮箱和网页保存的密码、最近访问的文件等信息。

数据库分析:对Sqlserver、MySql等数据库进行查询,导出需要的数据。信息挖掘技术。

网站重建:提取网站程序和数据文件,实现网站的本地化访问。

系统环境:电子数据在生成、存储、传递、修改、增删的过程中所依靠的电子设备环境,尤其是硬件或软件名称和版本。

2 嵌入式系统

工业控制系统:系统模块功能和业务流程分析。

网络设备数据提取和分析:多层交换机、路由器、网关等网络设备端口配置信息,流量统计信息,日志信息等数据的提取固定和分析。

物联网智能终端数据提取:包括物联网的各种智能终端中的数据获取。

办公设备数据提取:传真、打印机、复印机的记录提取固定,部分复印机支持打印文件内容的提取。

电视机顶盒功能和代码分析。

新型伪基站(嵌入式)数据的提取和数据分析。

无人机数据的提取分析:提取飞行记录、获取飞行轨迹及用户设置等信息。

其他设备的数据提取和程序分析:遥控器、家电控制系统、窃听器、GPS定位系统、行车记录仪、可穿戴设备的数据提取及程序功能和代码分析。

3

移动终端(包括手机)

数据提取:现有的多媒体文件、短信、通话记录、联系人、上网记录、聊天记录、电子邮件、交易记录提取固定。

数据恢复:上网记录、短信、通话记录、联系人、上网记录、聊天记录等数据恢复。

文件修复:对无法正常打开的文件进行修复。

木马分析:对手机中的恶意程序进行提取固定并对木马行为进行分析。

轨迹分析:通过手机中的位置信息和时间信息,还原手机持有者的行动轨迹。

活动分析:分析手机持有者特定时间段在手机上的通话、聊天、上网等活动。

关联分析:对一至多部手机中联系人的关系和往来信息进行分析。

手机应用云数据获取:通过手机应用云获取手机关联的数据(手机数据无法提取情况下)。

密码绕过/清除:对无法解密的手机绕过/清除密码提取固定数据。

4

智能卡、磁卡

银行卡:卡片基本信息、银行卡真伪判定、对应账号信息、磁片卡磁道信息提取固定。

门禁卡:门禁卡对应的ID号或卡号提取固定。

公交卡:公交卡对应ID号或卡号提取固定,消费记录提取固定。

购物卡:磁道信息、卡号提取固定。

食堂饭卡:充值记录、消费记录、卡号信息等数据提取固定。

会员卡:会员编号、会员卡内记录提取固定。

其它智能卡:卡内信息、卡号提取固定

5

数码设备

照相机:照片的提取固定以及元数据分析,删除照片的恢复和损坏照片的修复。

摄像机:照片、视频的提取固定及文件元数据分析,以及损坏文件和删除文件的修复。

录音笔:录音文件的提取和删除录音的恢复。

MP3、MP4、MP5:音频数据的提取固定。

游戏机:程序和游戏数据的提取固定。

6

网络数据 (包括互联网数据

网页页面:网页文件的抓取和固定。

网页邮件:重组网页缓存,获取邮件内容。(部分)

即时聊天数据分析:通过抓包的方式获取即时聊天数据

浏览器历史记录:获取通过浏览器浏览过的页面。

流媒体数据:抓取流媒体数据,还原多媒体文件内容。

网站后台数据:网站后台统计数据、用户信息和其它信息的提取固定。

网站基本信息:通过互联网获取网站的注册信息、IP信息、服务器所在位置等信息。

网络协议分析:分析网络数据,对ARP欺骗、DNS劫持等问题进行分析。

病毒溯源:分析病毒的网络通讯数据,获取控制端的位置信息。

远程计算机检验:获取远程服务器的基本信息以及特定的文件内容。(仅限获得权限)网络设置和网络连接状态等信息固定。

云取证:从云基础设施中提取数据。云存储重构:建立在云端,运用云计算机技术的网站的重构、固定和获取。

骇客现场重现:对黑客入侵的网站、计算机系统、计算机信息系统及相关日志文件进行关联分析,对现场遗留程序(木马、病毒、黑客工具程序)进行功能或代码分析。

7 计算机系统现场数据(特指运行中的系统数据提取:)

文件固定:固定计算机当前打开文件的内容。

即时聊天数据提取固定:提取固定登陆状态的即时聊天账号的数据。

网页数据的提取固定:对打开网页的页面进行固定并保存网页文件。

网络连接状态的固定:固定当前网络端口的连接状态。

获取内存数据:镜像内存数据,进一步分析内存中的程序数据和密钥信息等。

远程连接:检验远程连接状态,必要时获取远程计算机的数据。

易丢失(其它关机后无法再现数据的)提取固定。

入侵者残留物:如程序、脚本、进程、内存映像,系统实时数据、已打开的网络数据、已打开的即时通信工具。

加密容器密钥: 端口状态、临时文件

 

 

相关案例

  • 网站重构

    案情 日期:2018-09-28

    来源:广东安证计算机司法鉴定所 计算机犯罪现场重建......

    查看详情

  • SD卡数据恢复

    案情 日期:2018-09-28

    来源:广东安证计算机司法鉴定所 实验室电子数据的恢复及获取(对于手机、计算机硬盘上的数据)......

    查看详情