本实用新型专利技术的面向信息终端的计算机取证工具箱,包括上壳体和下壳体,上壳体内设置有显示屏,下壳体中设置有主板、驱动显示板、硬盘、易插拔存储模块和电池,特征在于:下壳体的一个侧面上设置有网络接口、第一类雷电接口和USB3.0接口,易插拔存储模块由PCI Express内存读写器和与其相连接的PCI Express转雷电接口转接器组成。本实用新型专利技术的计算机取证工具箱,通过第一类雷电接口与目标设备的连接,可获取目标的磁盘信息,通过第二类雷电接口与目标设备的连接,可获取目标设备的内存信息,便于实现对目标设备的取证分析。提高了在线取证的灵活性、增强了在线取证的完整性、可信性,实现了在线取证与离线取证的完美结合,具有很高的使用价值。
【技术实现步骤摘要】
【专利摘要】本技术的面向信息终端的计算机取证工具箱,包括上壳体和下壳体,上壳体内设置有显示屏,下壳体中设置有主板、驱动显示板、硬盘、易插拔存储模块和电池,特征在于:下壳体的一个侧面上设置有网络接口、第一类雷电接口和USB3.0接口,易插拔存储模块由PCI Express内存读写器和与其相连接的PCI Express转雷电接口转接器组成。本技术的计算机取证工具箱,通过第一类雷电接口与目标设备的连接,可获取目标的磁盘信息,通过第二类雷电接口与目标设备的连接,可获取目标设备的内存信息,便于实现对目标设备的取证分析。提高了在线取证的灵活性、增强了在线取证的完整性、可信性,实现了在线取证与离线取证的完美结合,具有很高的使用价值。【专利说明】一种面向信息终端的计算机取证工具箱
本技术涉及一种计算机取证工具箱,更具体的说,尤其涉及一种面向笔记本电脑(Windows操作系统、Mac OS X操作系统)、iphone手机、安卓操作系统手机、ipad信息终端的面向信息终端的计算机取证工具箱。
技术介绍
计算机取证一般可分为离线与在线两种方式。两种取证方式的侧重点不同,在取证工作中都有广泛的应用,对计算机的取证也是从这两个方面展开的。在离线取证方面,出现的取证产品近年来逐渐增多。例如,司法界专业磁盘复制设备美国ICS公司的SOLO系列、Logicube公司的Talon和Dossier系列、我国效率源科技的硬盘拷贝王等。以软件方式实现的取证分析软件,如FTK、Encase等。综合软件获取和硬拷贝方式的取证勘察箱,如Image MASSter、Road MASSter、“网警”计算机犯罪取证勘察箱。此外,还有通过USB接口、1394接口、PCMCIA等接口获取硬盘设备,如LinkMasster I1、CloneCard、“天宇”全能拷贝王、mdhelper等。在线取证是目前计算机取证的发展方向,比较知名的在线取证产品有SubRosaSoft公司的MacLockPick系列和MacForensicsLab系列,它是Mac OS X平台的在线数据获取工具,可以从苹果计算机中在线提取系统信息、进程信息、剪贴板、网络信息、浏览器历史记录、注册表、邮箱文件、Apple key chain等重要证据。1S设备取证分析工具有Lantern Lite、UFED Physical Analyzer,主要用于对1S设备上的物理数据取证分析。然而,上述取证技术和产品在实战中存在明显缺陷。(I)苹果产品的外观结构和硬件架构给离线取证带来困难。MacBook Air等产品没有可以拆卸下来的硬盘,用于存储的闪存都焊接在主板上,无法进行离线取证。苹果电脑的多款产品机体结构采用专利技术,一旦强行打开,整台电脑中的数据随即丢失。(2)计算机的安全防护措施是取证的重要挑战。首先是登录认证问题,不登录进入Mac OS X操作系统就无法运行任何在线取证软件,目前所有的苹果电脑在线取证工具都受到此问题的困扰。其次,Mac OS X 10.7以前的操作系统只对用户目录下的数据进行加密,而10.7以后对整台设备进行加密,这导致磁盘复制、分析的离线取证方式失去了意义。(3)敏感信息获取不全面。使用快速取证工具获取的目标计算机上的敏感信息有限,使用内存分析工具能直接通过分析内存在取证时刻的状态来获取更为全面的信息,如打开的word文件内容、登陆的Web邮箱帐户名和密码等。(4)内存取证工具不成熟。首先没有成熟且完善的内存获取工具,常用的苹果电脑内存获取软件需要登录系统然后运行程序,对目标计算机的运行状态改变较大。其次计算机的物理内存导出镜像后都是二进制数据,需要使用特定的方法进行解析,目前的内存取证工具大多是命令行版本的,分析与察看结果的过程对一般取证人员来讲都存在一定困难。
技术实现思路
本技术为了克服上述技术问题的缺点,提供了一种面向信息终端的计算机取证工具箱。本技术的面向信息终端的计算机取证工具箱,包括相互铰接在一起的上壳体和下壳体,所述上壳体的内表面设置有显示屏,下壳体中设置有主板以及与其相连接的显示驱动板、硬盘、易插拔存储模块和电池,主板具有数据运算和处理功能,主板通过显示驱动板驱使显示屏进行信息显示;其特征在于:所述下壳体的一个侧面上设置有与主板相连接的网络接口、第一类雷电接口和USB3.0接口,易插拔存储模块由PCI Express内存读写器和与其相连接的PCI Express转雷电接口转接器组成,转接器的接口形成第二类雷电接口,第二类雷电接口设置于下壳体的侧面上;工具箱通过第一类雷电接口获取目标设备的磁盘信息,通过第二类雷电接口获取目标设备的内存信息。本技术的面向信息终端的计算机取证工具箱,所述下壳体中设置有电源开关、电量指示灯、键盘输入区和鼠标控制区,下壳体的侧面上设置有电源适配器接口和总开关。本技术的面向信息终端的计算机取证工具箱,所述易插拔存储模块通过两螺母固定于下壳体的内部。本技术的面向信息终端的计算机取证工具箱,所述上壳体和下壳体的外表面均采用铝镁合金材料,且其外表面均设置有凹凸纹,以增加上壳体和下壳体的强度。本技术的面向信息终端的计算机取证工具箱,所述上壳体和下壳体的四个角上均设置有起抗跌落作用的减震包角,下壳体的外侧设置有便携式的拉手。本技术的面向信息终端的计算机取证工具箱,下壳体中还设置有对电池进行管理的电池板。本技术的面向信息终端的计算机取证工具箱,所述主板由双核IntelCorei7 处理器、Intel Iris Graphics 图形处理器、8GB 1600MHz LPDDR3 SDRAM内存组成,所述硬盘为基于PCIe的ITB闪存;所述显示驱动板采用HDMI输入和LVDS输出;显示屏采用14寸TFT IXD,分辨率为1366x768,亮度为350cd/m2 ;与电源适配器接口相连接的适配器功率为90W,适配器的输入电压范围为100-240V、频率范围为50-60HZ、额定电流为1.5A,输出电压为19V、额定电流为4.74A。本技术的有益效果是:本技术的计算机取证工具箱,下壳体中设置有主板、硬盘、易插拔存储模块、电池,下壳体的侧面上设置有网络接口、USB3.0接口以及第一类、第二类雷电接口,上壳体中设置有显示屏;在使用过程中,通过第一类雷电接口与目标设备的连接,可获取目标的磁盘信息,通过第二类雷电接口与目标设备的连接,可获取目标设备的内存信息,便于实现对目标设备的取证分析。进一步地,通过在上壳体和下壳体的四个角上均设置减震包角,实现了对整个工具箱的抗跌落保护;上壳体和下壳体的外表面采用铝镁合金,且设置凹凸纹,增加了整个工具箱的整体强度,更适于在恶劣的环境中应用。通过在下壳体中设置键盘输入区、鼠标控制区,进一步方便了工具箱的使用。本技术的计算机取证工具箱,通过PCI Express接口或雷电接口与目标计算机相连接,可实现屏保与待机状态系统登陆防护突破功能、内存获取功能,可获取完整的内存镜像;通过雷电接口直接获取苹果计算机硬盘数据,实现了高速获取磁盘镜像功能。提高了在线取证的灵活性、增强了在线取证的完整性、可信性,实现了在线取证与离线取证的完美结合,具有很高的使用价值本文档来自技高网...
【技术保护点】
一种面向信息终端的计算机取证工具箱,包括相互铰接在一起的上壳体(1)和下壳体(2),所述上壳体的内表面设置有显示屏(16),下壳体中设置有主板(6)以及与其相连接的显示驱动板(5)、硬盘(7)、易插拔存储模块(8)和电池(9),主板具有数据运算和处理功能,主板通过显示驱动板驱使显示屏进行信息显示;其特征在于:所述下壳体(2)的一个侧面上设置有与主板相连接的网络接口(13)、第一类雷电接口(14)和USB3.0接口(15),易插拔存储模块由PCI Express内存读写器和与其相连接的PCI Express转雷电接口转接器组成,转接器的接口形成第二类雷电接口,第二类雷电接口设置于下壳体的侧面上;工具箱通过第一类雷电接口获取目标设备的磁盘信息,通过第二类雷电接口获取目标设备的内存信息。
【技术特征摘要】
【专利技术属性】
技术研发人员:王连海,徐丽娟,张磊,
申请(专利权)人:山东省计算中心国家超级计算济南中心,
类型:新型
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。