在线调查取证分析系统

盛世九久
 

产品概述

       电子数据在线分析是指在现场不关闭电子设备的情况下直接分析和提取电子系统中的数据。计算机在线调查取证分析系统功能主要包括:提取易丢失数据(目标计算机的系统信息、当前运行的程序及当前的内存等);提取特定数据;提取数据的存储(提取的数据通过USB或者1394接口自动存储到外接设备);在线取证分析监管系统(全程监管取证过程);生成符合规定的取证文书。

特性与功能

        计算机在线调查取证分析系统由存储媒介获取子系统、易丢失数据获取子系统、数据分析模块、过程监管模块、数据提取模块组成,各模块及其功能如下:


1、数据提取模块: 负责将犯罪现场所收集到的电子证据,采用MD5等摘要生成算法即时生成摘要,并能将电子证据保存电子证据数据库中以方便管理和使用,同时,采用数字签名和时间戳技术,对取证人员的身份进行识别确认。


2、数据分析模块: 负责对系统获取的易丢失数据进行解码及分析。它针对不同时间系统获取的进程、网络连接等多种易丢失数据,从中两者之间的数据差异,找出危害行为留下的痕迹;


3、过程监管模块:主要实现详细记录在线取证过程中操作情况,包括: 


① 取证过程记录;

② 取证人员操作记录,包括登录、注销、操作过程;

③ 系统工作记录,包括系统工作情况、异常情况、维护情况。 


4、存储媒介获取子系统: 负责提取宿主机的存储媒介中的数据,支持整个存储媒介的复制、也支持复制特定的分区或存储区域。系统支持包括FAT16、FAT32、NTFS、EXT2等格式的多种文件系统;


5、易丢失数据获取子系统: 负责提取宿主机的易丢失数据,包括当前系统基本信息、网络连接状态、当前打开网络服务端口的应用程序、当前访问网络的应用程序、当前被打开的文件、当前打开文件的应用程序、当前正在运行的进程、内存中存储的信息(包括物理内存和各个应用程序)、系统自启动应用程序等。