雷火官网-中国知名电竞赛事平台

找軟件用軟件,就到華軍軟件園! 軟件發(fā)布

您好,如有軟件收錄需求,請(qǐng)將軟件打包,并附上軟件名稱、軟件介紹、軟件相關(guān)截圖、軟件icon、軟著、營(yíng)業(yè)執(zhí)照(個(gè)人沒(méi)有營(yíng)業(yè)執(zhí)照請(qǐng)?zhí)峁?duì)應(yīng)的開(kāi)發(fā)者身份證正反面以及手持身份證本人照片),發(fā)送至郵箱 https://user.onlinedown.net/login

收起>>

發(fā)送至郵箱:news@onlinedown.net

收起>>

所在位置: 首頁(yè) — PC軟件 — 管理軟件 — 其它行業(yè)  —  取證大師
取證大師

取證大師  2019 官方版

二維碼
  • 軟件授權(quán): 共享軟件
  • 軟件大?。? 10.88MB
  • 軟件評(píng)分:
  • 軟件類型: 國(guó)產(chǎn)軟件
  • 更新時(shí)間: 2024-10-25
  • 應(yīng)用平臺(tái): winall
  • 軟件語(yǔ)言: 簡(jiǎn)體中文
  • 版      本: 2019 官方版

下載服務(wù)協(xié)議見(jiàn)頁(yè)面底部

軟件介紹 相關(guān)專題 常見(jiàn)問(wèn)題 下載地址

為您推薦:- 取證大師

基本簡(jiǎn)介
取證大師段首LOGO
取證大師官方版是一款專為用戶打造的手機(jī)取證軟件,取證大師最新版軟件可以由任何人實(shí)時(shí)的驗(yàn)證電子數(shù)據(jù)的起源、時(shí)間和完整性,是用戶取證時(shí)方便的工具,取證大師還能夠有效防止司法證據(jù)被悄然篡改,軟件取證技術(shù)先進(jìn),取證效果也是十分的良好。
相似軟件
版本說(shuō)明
軟件地址

取證大師截圖

取證大師軟件介紹

      美亞取證大師作為國(guó)內(nèi)最專業(yè)的安卓手機(jī)取證軟件,它取證的實(shí)際效果與效率自然不必多說(shuō)。小編這里給大家?guī)?lái)最新取證大師專業(yè)版,內(nèi)附詳細(xì)的操作使用流程,專業(yè)取證,就是取證大師!

取證大師手機(jī)取證源

      在手機(jī)取證的過(guò)程中,第一步的工作是從手機(jī)各個(gè)相關(guān)證據(jù)源中獲取有線索價(jià)值的電子證據(jù)。手機(jī)的SIM卡、內(nèi)存、外置存儲(chǔ)卡和移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商的業(yè)務(wù)數(shù)據(jù)庫(kù)一同構(gòu)成了手機(jī)取證中的重要證據(jù)源。

      1.移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商

      移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商的通話數(shù)據(jù)記錄數(shù)據(jù)庫(kù)與用戶注冊(cè)信息數(shù)據(jù)庫(kù)存儲(chǔ)著大量的潛在證據(jù)。通話數(shù)據(jù)記錄數(shù)據(jù)庫(kù)中的一條記錄信息包括有主/被叫用戶的手機(jī)號(hào)碼、主/被叫手機(jī)的IMEI號(hào)、通話時(shí)長(zhǎng)、服務(wù)類型和通話過(guò)程中起始端與終止端網(wǎng)絡(luò)服務(wù)基站信息。另外,在用戶注冊(cè)信息數(shù)據(jù)庫(kù)中還可獲取包括用戶姓名、證件號(hào)碼、住址、手機(jī)號(hào)碼、SIM卡號(hào)及其PIN和PUK、IMSI號(hào)和所開(kāi)通的服務(wù)類型信息。在我國(guó)即將實(shí)行“手機(jī)實(shí)名制”的大環(huán)境下,這些信息可在日后案件調(diào)查取證過(guò)程中發(fā)揮巨大的實(shí)質(zhì)性作用。

      2.SIM卡

      在移動(dòng)通信網(wǎng)絡(luò)中,手機(jī)與SIM卡共同構(gòu)成移動(dòng)通信終端設(shè)備。SIM(SubscribeIdentityModule)卡即為客戶識(shí)別模塊,它也被稱為用戶身份識(shí)別卡。移動(dòng)通信網(wǎng)絡(luò)通過(guò)此卡來(lái)對(duì)用戶身份進(jìn)行鑒別,并且同時(shí)對(duì)用戶通話時(shí)的語(yǔ)音信息進(jìn)行加密。目前,常見(jiàn)SIM卡的存儲(chǔ)容量有8kB、16kB、32kB和64kB這幾種。從內(nèi)容上看,SIM卡中所存儲(chǔ)的數(shù)據(jù)信息大致可分為五類:

      (1)SIM卡生產(chǎn)廠商存儲(chǔ)的產(chǎn)品原始數(shù)據(jù)。

      (2)手機(jī)存儲(chǔ)的固有信息,主要包括各種鑒權(quán)和加密信息、GSIM的IMSI碼、CDMA的MIN碼、IMSI認(rèn)證算法、加密密匙生成算法。

      (3)在手機(jī)使用過(guò)程中存儲(chǔ)的個(gè)人數(shù)據(jù),如短消息、電話薄、行程表和通話記錄信息。

      (4)移動(dòng)網(wǎng)絡(luò)方面的數(shù)據(jù)中包括用戶在使用SIM卡過(guò)程中自動(dòng)存入和更新的網(wǎng)絡(luò)服務(wù)和用戶信息數(shù)據(jù),如設(shè)置的周期性位置更新間隔時(shí)間和最近一次位置登記時(shí)手機(jī)所在位置識(shí)別號(hào)。

      (5)其它的相關(guān)手機(jī)參數(shù),其中包括個(gè)人身份識(shí)別號(hào)

      (PIN),以及解開(kāi)鎖定用的個(gè)人解鎖號(hào)(PUK)等信息。

      3.手機(jī)內(nèi)/外置存儲(chǔ)卡

      隨著手機(jī)功能的增強(qiáng),手機(jī)內(nèi)置的存儲(chǔ)芯片容量呈現(xiàn)不斷擴(kuò)充的趨勢(shì)。手機(jī)內(nèi)存根據(jù)存儲(chǔ)數(shù)據(jù)的差

      異可分為動(dòng)態(tài)存儲(chǔ)區(qū)和靜態(tài)存儲(chǔ)區(qū)兩部分(見(jiàn)圖1)。動(dòng)態(tài)存儲(chǔ)區(qū)中主要存儲(chǔ)執(zhí)行操作系統(tǒng)指令和用戶應(yīng)用程序時(shí)產(chǎn)生的臨時(shí)數(shù)據(jù),而靜態(tài)存儲(chǔ)區(qū)保存著操作系統(tǒng)、各種配置數(shù)據(jù)以及一些用戶個(gè)人數(shù)據(jù)。

      從手機(jī)調(diào)查取證的角度來(lái)看,靜態(tài)存儲(chǔ)區(qū)中的數(shù)據(jù)往往具有更大的證據(jù)價(jià)值。GSIM手機(jī)識(shí)別號(hào)IMEI、CDMA手機(jī)識(shí)別號(hào)ESN、電話薄資料、收發(fā)與編輯的短信息,主/被叫通話記錄、手機(jī)的鈴聲、日期時(shí)間以及網(wǎng)絡(luò)設(shè)置等數(shù)據(jù)都可在此存儲(chǔ)區(qū)中獲取。但是在不同的手機(jī)和移動(dòng)網(wǎng)絡(luò)中,這些數(shù)據(jù)在讀取方式和內(nèi)容格式上會(huì)有差異。另外,為了滿足人們對(duì)于手機(jī)功能的個(gè)性化需求,許多品牌型號(hào)的手機(jī)都提供了外置存儲(chǔ)卡來(lái)擴(kuò)充存儲(chǔ)容量。當(dāng)前市面上常見(jiàn)的外置存儲(chǔ)卡有SD、MiniSD和MemoryStick。外置存儲(chǔ)卡在處理涉及版權(quán)或著作權(quán)的案件時(shí)是一個(gè)重要的證據(jù)來(lái)源。

取證大師取證流程

      第1步:前期準(zhǔn)備

      首先,從百度下載一張“。jpg”格式的圖片復(fù)制到手機(jī)內(nèi)置存儲(chǔ)空間根目錄下,文件名為“meiya.jpg”,如圖1所示。

      在手機(jī)中向“1234567890”這個(gè)號(hào)碼(當(dāng)然了,這個(gè)號(hào)碼并不存在)發(fā)送一條短信,內(nèi)容是“Mobile Forensics”,如圖2所示。

取證大師截圖

      第2步:刪除相關(guān)信息

      在手機(jī)文件管理器中刪除圖1中所示的圖片“meiya.jpg”;在手機(jī)中刪除剛才發(fā)送的短信,如圖3所示。

      第3步:使用手機(jī)助手獲取短信

      將手機(jī)連接電腦,分別使用小米手機(jī)助手和91手機(jī)助手查看、導(dǎo)出短信,沒(méi)有發(fā)現(xiàn)剛才刪除的那條短信。

      第4步:使用ADB Shell查看文件

      在電腦上安裝adb.exe(“adb”是“Android Debug bridge”的縮寫(xiě),大部分手機(jī)助手都自帶且安裝了adb.exe),在命令提示符中將工作目錄切換到adb.exe所在目錄,輸入“adb shell”進(jìn)入ADB Shell 模式,接著輸入“su”獲取Root權(quán)限,輸入“cd /mnt/sdcard”切換當(dāng)前工作路徑到手機(jī)內(nèi)置存儲(chǔ)空間根目錄下,輸入“l(fā)s -l”查看詳細(xì)文件/文件夾列表,沒(méi)有發(fā)現(xiàn)剛才刪除的圖片“meiya.jpg”。如圖4所示。

取證大師截圖

      第5步:獲取手機(jī)鏡像

      使用DC-4500手機(jī)取證系統(tǒng)“工具箱”中的“Android鏡像下載”工具獲取手機(jī)“/data”分區(qū)的dd鏡像,如圖5所示。

取證大師截圖

      第6步:分析鏡像

      使用winhex打開(kāi)剛才創(chuàng)建的dd鏡像,在其偏移02BE522FB附近找到了如圖6所示內(nèi)容,我們可以看到剛才發(fā)送的短信內(nèi)容“Mobile Forensics”,并在附近發(fā)現(xiàn)了發(fā)送的號(hào)碼1234567890,同時(shí)還在附近發(fā)現(xiàn)了一串?dāng)?shù)字“11*****39”,這是這部手機(jī)登錄的小米帳號(hào)。

取證大師截圖

      接下來(lái),還在鏡像文件偏移005CCFFF0附件中找到了如圖7所示的內(nèi)容,根據(jù)經(jīng)驗(yàn)判斷,這里有“。jpg”格式圖片的文件頭,繼續(xù)往下看,還找到了一個(gè)“。jpg”格式文件的結(jié)束標(biāo)識(shí)。將這之間的內(nèi)容另存為一個(gè)文件“未命名”,使用“Windows照片查看器”順利打開(kāi),如圖8所示。

取證大師截圖
取證大師截圖

取證大師結(jié)果分析

      第3步代表邏輯提取,各種手機(jī)助手都可以進(jìn)行基本的邏輯提取,這種邏輯提取使用的是Android系統(tǒng)讀取短信的API,但系統(tǒng)并沒(méi)有獲取已刪除短信的API,所以邏輯提取無(wú)法獲取到已刪除的短信。其實(shí)邏輯提取還可以通過(guò)備份的方式將相關(guān)數(shù)據(jù)備份出來(lái)然后解析,例如美亞柏科的手機(jī)取證產(chǎn)品DC4501、FL-900等就能從Android手機(jī)的備份文件中提取一些刪除的短信等內(nèi)容。

      第4步代表邏輯瀏覽。在ADB Shell中無(wú)法看到“meiya.jpg”也很好理解,因?yàn)閳D片已經(jīng)刪除了,ADB Shell中只能顯示文件系統(tǒng)認(rèn)為存在的文件,文件刪除后,文件系統(tǒng)就認(rèn)為此文件已經(jīng)不存在了。

      第5步和第6步代表物理獲取。上述例子在運(yùn)行的系統(tǒng)中獲取的鏡像其實(shí)還不是真正的“物理鏡像”,更徹底的物理鏡像是通過(guò)Chip Off(拆取芯片)等離線方式獲取鏡像。通過(guò)物理鏡像這種方式最全面,在取證中效果最好。之所以在手機(jī)上刪除了還能恢復(fù),是因?yàn)樵瓋?nèi)容并沒(méi)有被覆寫(xiě),只要原始數(shù)據(jù)還在,就可以恢復(fù)。這就好比一本書(shū)的目錄中涂掉了一些章節(jié),如果只看目錄,就會(huì)以為這些章節(jié)不存在了,但是只要這些章節(jié)的具體內(nèi)容還沒(méi)有涂抹掉,一頁(yè)一頁(yè)地去尋找,就一定能夠找到。

      目前Android系統(tǒng)并沒(méi)有對(duì)存儲(chǔ)設(shè)備進(jìn)行全盤(pán)加密,只要獲取到了物理鏡像,然后使用十六進(jìn)制編輯器查看,可以發(fā)現(xiàn)很多線索。當(dāng)然了,這樣查看需要了解常見(jiàn)文件簽名、編碼等眾多知識(shí)和豐富的經(jīng)驗(yàn),而且效率往往不高。當(dāng)遇到一些文件已經(jīng)部分損壞的情況,可能還需要文件雕刻知識(shí)??梢允褂靡恍┳詣?dòng)化的工具,比如開(kāi)源的scalpel。

      Android系統(tǒng)中的分區(qū)一般是Ext4文件系統(tǒng),使用對(duì)應(yīng)的數(shù)據(jù)恢復(fù)軟件也可以很方便地進(jìn)行數(shù)據(jù)恢復(fù)。例如在此例中,使用取證大師電子數(shù)據(jù)分析系統(tǒng)加載此dd鏡像,使用簽名恢復(fù)恢復(fù)出了25177個(gè)圖片,其中就包括例子中刪除的那張。如圖9、圖10所示。

取證大師截圖
取證大師截圖

      目前,大部分手機(jī)連接電腦查看、管理手機(jī)中的文件都是通過(guò)MTP模式而不是優(yōu)盤(pán)模式,這樣做的好處是不需要考慮手機(jī)中文件系統(tǒng)格式,也不會(huì)因?yàn)殡娔X獨(dú)占手機(jī)存儲(chǔ)空間而導(dǎo)致手機(jī)中一些依賴sdcard分區(qū)的程序運(yùn)行異常。而MTP模式是在文件系統(tǒng)層之上的,MTP連接模式下無(wú)法進(jìn)行數(shù)據(jù)恢復(fù)。制作物理鏡像則沒(méi)有這一擔(dān)憂。

      另外,手機(jī)在運(yùn)行過(guò)程中,系統(tǒng)運(yùn)行、程序運(yùn)行、用戶操作都會(huì)都對(duì)手機(jī)中的數(shù)據(jù)造成持續(xù)的改變。從盡量保持檢材數(shù)據(jù)原始性的角度,制作手機(jī)鏡像是最好的選擇。

取證大師更新日志

      1.修復(fù)部分bug

      2.優(yōu)化了部分功能

華軍小編推薦:

取證大師這種類型的軟件小編已經(jīng)用了挺多年的了,但是還是這個(gè)軟件最好用,樂(lè)易集成吊頂設(shè)計(jì)軟件、原木材積計(jì)算器、廣東省企業(yè)所得稅申報(bào)系統(tǒng)、派爾玻璃優(yōu)化軟件、太友CPK計(jì)算工具也是不錯(cuò)的軟件,推薦同學(xué)們下載使用。

下載地址 分享軟件/應(yīng)用

使用WindSoul軟件管家下載地址:安全,快速

電信安全下載 網(wǎng)通安全下載 移動(dòng)安全下載 聯(lián)通安全下載

部分文件為zip、rar等壓縮格式,請(qǐng)下載 360壓縮 進(jìn)行壓縮!

常見(jiàn)問(wèn)題

關(guān)閉