硬盘数据恢复实验室方案.docx

硬盘数据恢复实验室方案.docx

《硬盘数据恢复实验室方案.docx》由会员分享，可在线阅读，更多相关《硬盘数据恢复实验室方案.docx（60页珍藏版）》请在冰豆网上搜索。

硬盘数据恢复实验室方案

硬

盘

数

据

恢

复

实

验

室

方

案

方案提供方：

公司网址：

联系人：

办公电话：

移动电话：

电子邮箱：

一、硬盘数据恢复实验室区域描述

Ⅰ、电子取证区

对受理的电子证物进行取证复制；

本方案中该区同时完成硬盘清洁及数据销毁（建议另设专用设备及平台）；

配置多台全球先进的硬盘复制机，配置各种容量工作硬盘，配置硬盘诊断设备；

对复制证据硬盘进行标识，签名交付给项目负责人；

对证物笔记本电脑、台式机、工作站、服务器、数码相机、数码摄像机、光盘、U盘等电子器材等进行司法复制取证。

（速度可达6.0GB/分钟）；

对难以拆机的电脑进行免拆机取证；

对无法关机的电脑、服务器进行在线取证；

对服务器数据库信息进行在线获取、分析；

对SAS、SCSI-50/68/80针、IDE-3.5/2.5/1.8/1.8ZIF、SATA、USB、多功能卡-CF相机卡/SD手机卡/SD相机卡/各种Mini卡/CD/DVD光盘/电子硬盘等进行快速获取；

支持电子证物镜像获取，支持DD、E01，Smart等镜像格式；

支持对电脑、工作站、服务器等进行原机仿真，快速对嫌疑数据进行分析，以司法的形式获取本机数据库、自动登录密码、网页密码等信息；

支持文件扣压，符合司法程序；

支持分析的过程及软件应用司法过程记录，电子物证过程审计；

即时生成报告，支持打印和上传。

电子物证分析结果锁定。

此区域产品大多以箱体形式呈现，便于现场的快速响应，并可将产品在前往现场过程中的磨损降至最低。

Ⅱ、数据分析区

将证据硬盘，录入数据存储中心；

将证据加载到数据分析中心；

按案件性质、分析人员特点，进行分析任务分配；

专用于大容量硬盘、多硬盘的快速分析，实现重大案件的时效性（500GB硬盘镜像分析可控制在两小时内完成分析及检测报告的生成）；

真正实现一人一案、一人多案、多人一案、多人多案、专人专项的灵活配置；

支持分析过程实时查看，无需等到全盘分析结束；

按技术人员的特长进行分工,实现专人专项；

对大容量硬盘中文关键词进行即时搜索（搜索在一秒内完成）；

支持CF相机卡、SD手机卡、SD相机卡、各种Mini卡、USB存储、68/80针SCSI硬盘、SATA硬盘、3.5/2.5/1.8寸IDE硬盘、CD/DVD光盘、电子硬盘等存储介质的快速查看、分析；

对QQ，Yahoo，MSN，Skype等聊天记录进行综合性分析；

快速检测分析已删除数据；

快速检测分析未分配空间中的数据；

快速获取网页密码；

快速获取历史访问数据；

快速获取计算机操作记录；

快速检测分析本地邮件，并对邮件信息进行图表化关联；

快速获取犯罪群体；

快速获取图片、视频、音频中的隐藏数据；

强力密码破解系统，可2分钟内破解Word/Excel密码及Windows开机密码；

支持数据安全销毁，符合国家信息安全评测标准

支持大容量数据存储，存储容量可达18TB以上（最高可扩展至54TB）。

Ⅲ、数据恢复区

修复逻辑坏道硬盘，修复电路故障硬盘，修复受损U盘；

配置：

PC-3000超级硬盘修复工具及相关软件，逻辑坏道修复设备；工具箱；

支持硬盘底层的数据恢复；

支持硬盘故障的诊断和修复；

支持硬盘坏道的修复与分析；

支持丢失数据的恢复；

支持格式化数据的恢复；

支持删除数据的恢复；

支持损坏的office文档、ZIP文件、outlook邮件的修复；

支持硬盘、闪存、光盘等进行固件级修复；

支持严重的机械故障、电子故障及控制器损坏的U盘等闪存的修复。

二、数据实验室整体装修要求

1、防静电系统

计算机房装修对于地面部分有着严格的要求，最为主要的一点就是地面要具有防静电的功能，从而确保计算机房内电子设备的正常运行，同时增加设备的使用寿命。

我们的计算机房采用高品质计算机房专用防静电材料地板，与防静电工作台、防静电垫、防静电手环等防静电设备相辅相成，可确保计算机房内以及人体内的静电及时通过导电层和导电设备将静电有效释放。

通常防静电地板需架空20到30公分，便于在防静电地板下部铺设导静电层和综合布线，并可实现强弱电分离。

2、实验室吊顶模块

计算机房在理想环境下应处于一种相对洁净的工作环境中，由于机房内配有大量服务器和其它电子设备，都会对微尘有吸附作用，而这些微尘会对精密的电子设备造成致命的影响。

因此，建议电子证物侦查实验室的吊顶部分采用喷塑铝扣板或铝微孔板，在有效的阻止微尘进入电子设备产生影响的同时，还可以起到到视觉美观的效果。

3、实验室空调系统

计算机房在理想环境下应处于一种温度和湿度相对稳定的环境中（21到25度），这就要求我们单独配备专业机房空调，从而对机房内的温度和湿度进行控制。

对于已经配备的中央空调的区域，也需要重复配置空调系统；在中央空调不工作时，实验室依然需要工作，分析服务器需要正常工作的温度，才能保证案件侦查的时效性。

4、实验室消防系统

计算机房因其由电子元件构成的特殊性，不能使用常规的液体喷淋系统，因为液体喷淋的同时会对计算机房内的电子设备造成严重的破坏。

因此，我们建议使用气体消防系统，该系统采用七氟丙烷柜式灭火装置，配合报警、烟感、温感控制单元，对计算机房进行消防监控，并可保证室内设备的安全。

对于已有喷淋消防系统的实验室区域，建议进行改造。

5、不间断供电系统

中心计算机房建议使用大功率UPS不间断电源，以保证在断电等突发情况下，计算机房内设备的能正常运行，避免造成硬盘工作中因断电等造成的损坏，尤其是正在运行中的百级数据恢复超净间，确保数据安全。

经核算，我们计算机房内的设备饱和功率约为6000瓦，根据国家相关标准，UPS应留有20%的余量，故我们建议配备8000瓦以上的UPS控制单元和2小时后备电池组，保证在突然断电的情况下设备可满负荷运行2小时。

6、手机信号屏蔽系统

确保在手机取证过程中的手机信号屏蔽，支持GSM、CDMA、UMTS、TDMA、IDEN、3G等网络的信号屏蔽。

7、门禁系统

确保电子证物侦查实验室的安全性，未得到允许的工作人员及非工作人员严禁入内。

图：

机房效果图

三、人员要求

主要人员在具备传统刑事侦查技术的同时，还应对电子证物的整体流程具有全面的掌握。

案件管理人员必须具备案件受理的整体流程，包括证物的登记、标识、存储、过程的审计等，同时还应具备专业设备较为熟练的操作能力。

四、未来发展

1、升级百级开盘超净间

此模块为硬盘开盘提供安全的工作环境。

通过对尘粒的严格控制，还原硬盘生产过程的环境，杜绝盘片裸露期间微尘对硬盘所造成的致命破坏。

同时，可避免硬盘在第三方修复中心修复时，造成的数据泄露等安全隐患。

主要构成：

10平米百级开盘数据恢复环境、风淋室、传递窗、百级开盘数据恢复操作台、不锈钢操作台、超净间专用吸尘器、超净间用工作服、开盘专用电子显微镜、数据恢复专用开盘机、开盘专用组合工具等，所需金额约为15万元人民币；更大超净间，价格根据实际需求双方商议确定。

图：

百级开盘超净间效果图

2、升级密码破解工作站集群模块

DNA网络密码破解系统，集成机柜式，价格约30万；

破译加速模块，专门针对目前RAR、OFFICE2007进行破译提速，通过配置的增强，可提升破解速度两倍，价格约25万元。

3、升级远程分析支持模块

省厅中心实验室，通过此模块和公安内部网络，对刑侦支队或偏远地区刑侦部门，进行嫌疑电子证物，进行分析指导；价格按指导部门数量计算，50万元起步。

五、

产品价格（设备总价53万元）

1、取证区

序号

厂商

型号

规格

价格/元

1

美国

Logicube

Dossier硬盘复制机

2009最新硬盘拷贝机，复制速度达6.0GB/分钟。

支持IDE/SATA/SCSI/SAS/USB五中硬盘拷贝于一身

60,000

2

中国

AHCN

硬盘写保护

集成与分体式合一写保护接口箱，支持实验室及现场使用。

24,000

3

中国

AHCN

硬盘存储柜

防磁防静电，确保硬盘的存储安全，共两台。

12,000

4

日本

索尼

T900

用于证物硬盘等的图片信息记录；1210万有效像素，4倍光学变焦，焦距35-140，3.5英寸显示屏，光学防抖。

3,000

5

中国

AHCN

防静电工作台（2个）

接地、防静电，附赠防静电环，确保工作人员与工作台防止静电的产生，使静电对电子元件的危害降至最低。

8,000

6

中国

AHCN

防静电硬盘盒（10个）

用于物证硬盘以及目标硬盘在传递、处理、存储过程之中的防静电保护及标识。

3,000

7

中国

AHCN

工具箱

常用计算机专用工具。

1,000

8

中国

AHCN

Ahcn光盘粉碎机

碎纸，碎光盘有效减少废弃文件安全隐患

8,000

总计

119,000

3、分析区

序号

厂商

型号

规格

价格/元

1

美国

DigitalIntelligence

FRED

双2.0GHzCPU共八核，4.0GB内存，2TB企业级高速硬盘；正版操作系统/Ghost/杀毒软件，支持视频隐藏数据挖掘。

88,000

2

美国

Mac-forensic

针对苹果计算机硬盘、光盘、存储介质进行全面的数据获取、数据分析和数据恢复

26,000

3

美国

Smart

针对Linux系统的分析软件

38,000

4

美国

AccessData

FTK3.0

中文司法分析软件1套。

28,000

5

美国

Guidance

Encase6.14

6.14最新版，支持6.12中文版。

38,000

6

美国

Accessdata

PRTK

能够识别加密的文档、压缩文件、数据库文件、客户端软件（如邮件客户端）中的加密文件并进行解密。

18,000

总计

236,000

4、数据恢复区

序号

厂商

型号

规格

价格/元

1

中国

联想

扬天A5700R数据恢复平台

为PC3000及数据恢复软件提供稳定的工作平台，AMDAthlon64X27750，2700MHz，2GB内存，320GB硬盘,ATI512M独立显卡。

5,000

2

俄罗斯

ACELaboratory

PC3000超级硬盘修复工具

支持硬盘底层数据恢复；从硬盘的内部软件来管理硬盘，进行硬盘的原始资料的改变和修复；支持U盘修复，可修复严重的机械故障、电子故障及控制器损坏的U盘等闪存。

75,000

3

美国Logicube

SuperSonix

硬盘坏道修复工具。

22,000

4

美国

KrollOntrack

Finaldata网络版

支持硬盘诊断，支持Office文档、Zip文件、Outlook修复；支持格式化恢复。

8,000

5

中国

AHCN

集成

数据恢复专用工具箱。

2,000

6

中国

效率源

硬盘专修设备

针对希捷硬盘，迈拓硬盘，日立硬盘，西数硬盘进行专项修复。

10,000

7

中国

效率源

硬盘数据指南针

数据指南针不只是仅针对简单的磁盘逻辑问题的恢复，它更强大的功能在于对磁盘具有物理损坏的数据恢复，如：

磁盘具有很多环道，操作系统不能正常读盘的情况，通过数据指南针就可以将通过操作系统不能正常读出的数据恢复出来。

28,000

总计

150,000

六、培训

1、培训费用

此方案完整的培训需要10个工作日，培训费用为2.5万元人民币。

2、培训课程

在培训期间，除了对产品的使用进行培训之外，还包括电子物证侦查实验室整体办案流程的培训、司法理念培训、实际案例的培训等。

七、

产品性能详细描述

1、取证区

序号

厂商

型号

规格

图示

1

美国

Logicube

Dossier硬盘复制机

1.复制速度达6.0GB/分钟；

2.支持IDE、SATA以及笔记本硬盘硬盘的拷贝；

3.支持多媒体卡拷贝；

4.支持一对二拷贝；

5.支持MD5及更高的SHA256司法校验；

6.支持HPA及DCO中的数据获取；

7.支持DD镜像；

8.支持DOD数据擦除；

2

美国

Tableau

硬盘写保护

1.支持USB、SCSI、SATA、IDE、多功能卡的写保护操作。

3

美国Logicube

证物接口箱

1.30种国内及国外硬盘转换接口。

4

中国

AHCN

硬盘存储柜

1.防磁防静电；

2.确保硬盘的存储安全。

5

日本

索尼

T900

1.用于证物硬盘等的图片信息记录；

2.1210万有效像素，4倍光学变焦，焦距35-140，3.5英寸显示屏，光学防抖。

6

中国

AHCN

防静电工作台

1.接地、防静电，附赠防静电环；

2.确保工作人员与工作台防止静电的产生，使静电对电子元件的危害降至最低。

7

中国

AHCN

防静电硬盘盒

1.用于物证硬盘以及目标硬盘在传递、处理、存储过程之中的防静电保护及标识。

8

中国

AHCN

工具箱

1.常用计算机专用工具。

2、分析区

序号

厂商

型号

规格

图示

1

美国

DigitalIntelligence

预览检测平台

1.双2.0GHzCPU共八核，4.0GB内存，2TB企业级高速硬盘；

2.正版操作系统/办公系统/杀毒软件/案件管理软件/电子证物预览软件，为预览、检测提供高性能平台；

3.多功能卡、USB、IDE、SATA、SCSI硬盘写保护；

4.支持证物的检验、受理、登记等；

5.支持快速预览已删除数据；快速对未分配空间进行预览；

6.快速对网页密码进行预览；快速对历史访问数据进行预览；

7.快速对本地邮件进行预览。

fred标准

2

美国

AccessData

PRTK

1.密码破解工具可帮助您恢复常用应用程序的密码，并能访问加密文件和驱动器

3

美国

AccessData

FTK2.2中文司法分析软件

2.支持对硬盘复制机获取的DD镜像格式文件直接进行分析；

3.瞬间中文关键词搜索；

4.支持对已删除数据的快速预览和数据恢复；

5.支持获取浏览过的历史网页；

6.自动检测EFS加密文件；

7.支持获取Outlook和OutlookExpress的邮箱登录密码；

8.支持获取网络论坛登录帐户和密码；

9.支持多种文件系统，如FAT,FAT32,NTFS,EXT2,EXT3,ReiserFS,HFS,HFSPlus,ISO9660,Ghost,VMware。

4

美国

Guidance

Encase6.14

1.具有计算机知识的调查员可以设置和管理计算机中的大量证据，特别是已经删除的文件、闲散文件以及未分配空间中的数据；

2.强大的可扩展性，用户可以通过脚本语言编辑实现更多的分析功能。

5

美国

Mac-forensic

针对苹果计算机硬盘、光盘、存储介质进行全面的数据获取、数据分析和数据恢复

6

美国

Smart

针对Linux系统的分析软件

3、数据恢复区

序号

厂商

型号

规格

图示

1

中国

联想

扬天A5700R数据恢复平台

1.为PC3000及数据恢复软件提供稳定的工作平台；

2.AMDAthlon64X27750，2700MHz，2GB内存，320GB硬盘,ATI512M独立显卡。

2

俄罗斯

ACELaboratory

PC3000超级硬盘修复工具

1.支持硬盘底层数据恢复；

2.从硬盘的内部软件来管理硬盘，进行硬盘的原始资料的改变和修复；

3.支持U盘修复，可修复严重的机械故障、电子故障及控制器损坏的U盘等闪存。

3

美国Logicube

SuperSonix硬盘坏道修复工具

1.支持硬盘坏道修复，修复速度达6.0GB/分钟；

2.支持MD5司法校验；

3.全彩触摸屏；

4.支持SATA、IDE以及笔记本硬盘。

4

美国

Finaldata网络版

1.支持硬盘诊断；

2.支持Office文档、Zip文件、Outlook修复；

3.支持格式化恢复。

5

中国

效率源

硬盘专修设备

针对希捷硬盘，迈拓硬盘，日立硬盘，西数硬盘进行专项修复。

6

中国

效率源

硬盘数据指南针

数据指南针不只是仅针对简单的磁盘逻辑问题的恢复，它更强大的功能在于对磁盘具有物理损坏的数据恢复，如：

磁盘具有很多环道，操作系统不能正常读盘的情况，通过数据指南针就可以将通过操作系统不能正常读出的数据恢复出来。

7

中国

AHCN

集成

1.数据恢复专用工具箱。

八、主要产品彩页

AH-D-DS多硬盘复制机

目前市场上最快的数据获取方案，复制速度高达6GB/分钟，快速处理多个嫌疑硬盘，从一个或两个嫌疑硬盘复制到一个或两个证据盘，支持从SATA/IDE硬盘/多媒体卡/RAID中提取数据。

AH-D-DS代表了第六代司法取证产品。

这个高速，手持式的工具允许用户快速地从SATA/IDE硬盘和大量的多媒体设备中获取数据，AH-D-DS可以同时从一个或两个源盘中获取数据复制到另一个或两个证据盘中。

这个功能允许调查者从大量的嫌疑盘中快速的获取证据，并生成嫌疑盘的多个副本，加速分析过程。

产品特征：

■把一块或两快源盘（SATA/IDE）中的数据复制到一块或两块目标盘中

■内置支持从RAID中获取数据

■支持从多媒体设备中获取数据，这些多媒体设备包括CF卡，MS卡，SD卡和多媒体卡读卡器

■拷贝源盘生成多个DD镜像文件

■内置USB和1394接口

■使用最高级别的认证。

在拷贝过程中实时地计算MD5和SHA-256哈希值。

■独特的“slide-in”设计，使目标盘非常“适合”的放入AH-D-DS内部

■触摸屏显示，便于导航

■关键字索引功能。

在硬盘复制过程中或者对一块单独的硬盘进行关键字搜索

■标准键盘易于文件名，用户密码，关键字的输入

■内置64M多媒体卡用来存储关键字列表，软件升级文件，报告和更多的内容。

可以通过USB或者1394接口访问多媒体卡

■单向，写保护的数据传输，防止数据被覆盖

■支持从硬盘的DCO和HPA区域获取数据

■在CF卡中生成报告信息，便于查看和打印报告

AH-AS系列司法取证分析服务器

司法取证分析工作站AH-AS-ST

AH-AS系列司法取证工作站具有高度集成、使用灵活和模块化设计、集成齐全的写保护接口及最新处理器的特点，专门用于获取和分析所有存储介质上的证据。

完整的司法取证分析解决方案

AH-AS-ST系统是实验室数据快速分析的平台。

直接把嫌疑系统的硬盘取下，插入AH-AS-ST中便可以直接分析数字证据。

AH-AS-ST可以直接从IDE/EIDE/ATA/SA

TA/ATAPI/SCSII/SCSIII/SCSIIII等硬盘和存储设备中分析和捕获数据，并把司法镜像存储到DVD,CD或是其它硬盘中。

AH-AS-ST系统还可以从软盘,CD-ROM,DVD-ROM,CompactFlash,微硬盘,AH-FS-LINUXMedia,MemoryStick,MemoryStickPro,xD卡,SecureDigitalMedia和MultimediaCards中获取信息。

此外，通过可选的磁带驱动，AH-AS-ST还可以从DLT-V4磁带中获取证据。

通过可选的RAID，AH-AS-ST的存储空间可以达到另人难以置信的2.0TB（2000GB）。

所有的AH-AS-ST系统中都包括齐全的写保护接口，可移动硬盘盒，可以方便的从前面板接入，无需打开机箱插拔硬盘。

高级司法取证分析工作站AH-AS-SR

高级司法取证分析设备

AH-AS-SR（双Opteron处理器）在AH-AS系列工作站中性能最好。

具有高度集成、使用灵活和模块化设计的特点，专门用于获取和分析电脑上的证据。

经过优化，如处理器，内存和I/O接口等方面，AH-AS-SR具备AH-AS系统所有的功能。

率先采用了双处理器，同时具备了司法分析设备（AH-AS）所需要的性能、灵活性和高可靠性。

本系统采用了双64位Opteron处理器主板，具有高度灵活、完整外围设备支持，性能远远超越传统司法取证工作站。

便携司法取证分析工作站AH-AS-DIE

AH-AS-DIE是AH-AS快速分析系统中的一员。

AH-AS-DIE具有高度集成、使用灵活和模块化设计的特点，专门用于分析和获取电脑上的证据，并且便于携带。

AH-AS-DIE与AH-AS系统采用相同的主板和CPU，集成有齐全的写保护接口。

移动计算机司法取证分析工作站

AH-AS-DIE是为在犯罪现场快速分析而设计。

从嫌疑系统中取出硬盘，插入齐全的AH-AS-DIE写保护接口。

AH-AS-DIE可以直接从IDE/EIDE/ATA/SATA/ATAPI/SCSII/SCSIII/SCSIIII等硬盘和存储设备中分析数据，3½inch软盘，CD-ROM和DVD也不例外。

AH-AS-DIE可以通过镜像软件来取证种类硬盘，包括SCSI硬盘。

微型司法取证分析工作站AH-AS-µF

AH-AS-µF系统具有AH-AS系统的所有特性，但是尺寸只有23*20*33cm，重量只有7.3公斤。

AH-AS-µF系统集成了紧凑型Dual-Core标准主板，采用Intel965芯片集，1066MHz前端总线，4GBDDR2-800内存。

AH-AS-µF系统的最大特点就是尺寸远小于AH-AS系列其它产品。

并且所有的AH-AS-µF系统都集成了

IDE/EIDE/ATA/SATA/ATAPI/SCSII/SCSIII/SCSIIII只读接口和抽屉式硬盘盒。

这些紧凑型设计使得AH-AS-µF系统在取证分析上优于任何一款笔记本工作站。

AH-R-3000数据恢复工具

AH-R-3000是一套完整的专业数据恢复工具集合。

它可以在大大的提高用户的成功率的同时，节省用户大量的时间。

AHCN-300可以用于硬盘诊断、固件修复、硬盘备份和文件及磁盘分区修复。

AH-R-3000具有四大主要功能：

          1）硬盘诊断

          2）固件修复

          3）硬盘备份

          4）文件及磁盘分区修复

产品特点：

1）硬盘诊断：

-检测堆栈，PCB电路板，固件信息，AH-FS-LINUX属性，Platter区域和磁盘分区列表。

-自动数据读取监测。

-司法有效，确保不会改变硬盘中的数据

2）固件修复：

-只需点击一次鼠标，即修复硬盘中的固件信息

-通过固件备份功能，用户可以备份所有的固件模块

-支持固件库在线手动修改。

-兼容所有格式的固件，包括SalvationData和