目前鑒真數位本身所開發的產品為現場電腦鑑識工具箱包含LiveDector及 RealDector兩項產品:
LiveDector的功能說明:
可支援作業系統為 Win98/ME/XP/NT 4.0/Windows 2000/Windows 2003/Windows Vista/各版本 Linux 的開機狀況中數位證據採集
到達現場之後部份目標證物可能正處於開機的狀況下,針對此種情形為避免部份數位證據 (volatile data) 於關機後即消失不見,本工具必需可支援以下可能消失的數位證據資料進行採集:
系統目前的時間及時區
系統目前的網路連線狀態 (Current Network Connection)
系統目前的綱路設定及路由表 (Routing table)
系統暫存的 NetBIOS name table
系統目前開啟的 UDP 及 TCP 埠
哪些程式開啟目前的 UDP 及 TCP 埠
系統目前登入的使用者帳號
系統目前正在執行的程式 (Running process)
系統目前正在執行的服務 (Running service)
系統目前所有被開啟的檔案
系統的排程工作程序 (Schedule Jobs)
記憶體的映像檔 (memory dump)
RealDector的功能說明:
數位證據採集:
本軟體內建作業系統可以在開啟後自動以唯讀的方式不破壞目標證物的前題下,針對Windows的平台進行數位證據的採集,支援NTFS及FAT檔案系統 (Unix採證則必需加購模組)
可以使用字元串流(Bit-Stream Duplicate)的複製方式將數位證物的硬碟進行整顆硬碟或磁區的映像檔建立且自動建立MD5摘要檔,所建立的映像檔必需可供國際知名Encase軟體讀取分析
可針對檔案進行邏輯檔案複製且自動建立MD5摘要檔
可以完整採集硬碟的MBR區(512 Bytes)資料
可以完整採證Web browser 行為後所可能存留的電子證據檔
Web Cookie
Browser History
Browser Cache
Registry 有關 Browser 的行為檔案
可以完整採證Email相關電子證據檔,支援以下各種系統所使用的電子郵件格式
Outlook express (DBX格式)
Outlook (PST格式)
可以完整採證及檢視Windows平台上的機碼(Registry)資訊
可以根據時間採證系統內於時間範圍內有被取用(Access)、修改(Modification)、及建立(Creation)的檔案進行採集複製
可以根據檔案的特徵值進行電子證據的採集,包含檔名被偽裝但屬於某類型檔案的可疑證據檔均可被採集及標示
可以採集系統相關重要的資訊及紀錄檔
系統時間
系統版本及相關系統更新及修補資訊(Patch Level)
若系統Auditing有開啟則可知道使用者帳號及其歷史登入紀錄
系統的安全紀錄(Security log)及事件紀錄(Event Log)
IIS Web 伺服器的紀錄檔(IIS log)
系統目前的安全等級政策(Auditing Policy)
數位證據的保存:
所採集的證據檔或映像檔無論是使用邏輯的複製或字元串流的複製均必需做MD5摘要檔
可執行將所有每個電磁紀錄均抹為0的動作,以確認採證程序的嚴謹性
可將現場所發現的可疑證據檔案及其MD5摘要檔,可以在最後確認後,使用外接式的USB DVD燒錄器將這些數位證據檔燒錄成為唯讀的DVD光碟資料,以確保證據的不可否認性及完整性
使用字元串流 (Bit-Stream Duplicate)的複製硬碟或磁區映像檔由於檔案可能很大,因此必需支援檔案切割的方式保留,且可支援IDE/SCSI/USB/NAS/Fiber等各種貯存體保留
數位證據搜尋:
支援NTFS及FAT檔案系統搜尋
可以依檔案內容字串、檔案修改時間、檔案名稱、檔案大小及檔案的特徵(File signature)進行搜尋
輸入字串可以支援萬用字元及布林表示(And/OR/Not)的搜尋方式
可以一次輸入多個搜尋字串,且可依每個字串以階層式的方式展開顯示搜尋的結果
支援以下各語系編碼的字串搜尋
Uni-code (utf8)
Uni-code (utf16)
Big5 (繁體)
GB2312(簡體)
EUC_KR(韓文)
EUC_JP(日文)
ASCII
支援大小寫忽略的比對方式
可搜尋Office 相關文件的內容並支援最新的Office 2007文件內容,包含:doc ,ppt, xls等文件內容進行搜尋
可搜尋PDF文件內容進行搜尋
可搜尋HTML及text文件內容進行搜尋
支援壓縮檔案格式的文件內容搜尋,支援的壓縮格式有(zip,rar,gz,bzip,tgz等格式)
支援Open Office (sxw, sxc, sxi)檔內容進行搜尋
支援Rich Text Format (rtf)檔內容進行搜尋
可以針對Windows help files (chm)文件內容進行搜尋
可以針對Monodoc的文件內容進行搜尋
可以針對Source code (Boo, C, C++, C#, Fortran, Java, JavaScript, Lisp, Matlab, Pascal, Perl, PHP, Python, Ruby, Scilab and Shell scripts)內容進行搜尋
數位證據在Unallocated區的搜尋:
對於部份檔案可能藏於硬碟的未分配磁區或檔案系統尚未使用到的硬碟空間,則可使用(Bit-Stream Duplicate)的複製硬碟分式作成映像檔,如此可分析此映像檔中針對Disk Slack、File Slack及硬碟中未被檔案系統所分配的區域進行數位證據的搜尋
可以針對硬碟中Binary的文件內容屬於ASCII部份進行搜尋
支援以下各語系編碼的字串搜尋
Uni-code (utf8)
Uni-code (utf16)
Big5 (繁體)
GB2312(簡體)
ASCII
支援大小寫忽略的比對方式
數位證據的檢視:
支援以下各種數位證據現場搜尋或採集後的檢視
Office 檔案的檢視(支援:doc ,ppt, xls,rtf,pdf等文件格式)
Html,htm,xml檢視
可以真接檢視Outlook / OutlookExpress/Tunderbird的郵件內容
各種純文字檔格式檢視
支援壓縮檔的解壓縮
圖檔的檢視(支援:jpg,bmp,gif,png,tif等文件格式)
影音檔的檢視(支援: avi、mov、wmv、mpeg1、mpeg2、 mpeg3、mp3等格式)
可以檢視及分析所採集的Web Cookie資料
可以檢視Web browsing的History Index Binary 資料
可以檢視文件的HexCode 16進位碼
被刪除檔案的檢視及恢復:
可針對NTFS及FAT的貯存設備進行刪除檔的檢視及恢復
對於尚未被覆寫且檔案系統中可找到資料區的資料可進行恢復
對於已被覆寫的檔案則可顯示狀態
可針對整個已被格式化的硬碟進行資料恢復
