四种电子取证软件的比较

2013年2月22日，中国国家统计局发布2012年国民经济和社会发展统计公报，公报显示截止到2012年年末，全部互联网上网人数5.64亿人，其中宽带上网人数5.30亿人，互联网普及率达到42.1%。这则消息说明，中国从2012年开始，成为仅次于美国的上网人数最多的国家，网络普及率也逐年提高。与计算机和网络相关的犯罪活动也日渐猖獗，电信诈骗、网络攻击、身份盗窃等新型犯罪形式给司法机关侦破计算机犯罪案件提出了更高的技术要求。

在计算机犯罪活动中，犯罪嫌疑人往往具有一定的反侦察能力，例如采取故意删除信息，格式化硬盘，修改文件后缀名，加密文件等方式毁灭或隐匿证据，司法机关在侦办计算机犯罪案件时，需要综合考虑案情，采用多种取证软件共同寻找证据。目前，司法机关常用的取证软件有EnCase、X-ways Forensics、Forensic Toolkit(FTK)和取证大师等，每一款软件都各有所长，取证效果也有一定的差别。本文选取了上述4种数据取证软件，对各款取证软件的功能优势和不足之处进行比较，希望能给司法机关提供一定的借鉴意义。

1、EnCase取证软件

EnCase是由美国Guidance Software公司研发的一款基于C++语言编写的取证软件，它可以在集成窗口内完成数据预览、数据分析、数据挖掘、报告生成等综合性应用。该软件是目前支持多种系统文件类型的取证软件，具体包括Windows、linux、Macintosh、AIX、Solaris、BSD、Novel、HPUX、SCO Unix、TiVo、Palm等系统。通过Encase软件取证人员可以把硬盘中的取证文件镜像成只读证据文件，以防止调查人员误删或者修改数据。为了确定镜像数据与原始数据相同，EnCase能够计算CRC校验码和MD5哈希值进行比较。在检查某个硬盘驱动时，EnCase可以深入操作系统底层查看所有的数据—包括未分配的空间和Windows交换分区(存有被删除的文件和其它潜在的证据)的数据。EnCase取证软件还具有脚本编辑功能，并且支持对EnScript脚本进行源代码保护。

2011年Guidance公司发布了EnCase V7版本，该版本和老版本相比用户界面有了较大的改变，不再使用简单的类似于“资源管理”界面，而是采用了单页面多窗口的页面风格，用户可以根据案件进程选择起始界面。新版本的具体改变：

1）在“新建案例”窗口，案例信息采用模版方式，提供多种选择使得用户界面更加趋向“定制化”。在“添加案例”窗口，新版本最大的改变就是增加了“证据处理器（Evidence Processor）”功能，该功能整合了老版本的Recover Folders、文件签名分析、查找加密文件、散列分析、展开符合文件、查找电子邮件(PST,NSF,DBX,EDB,AOL,MBOX)、查找互联网信息(IE, Firefox, Safari)、关键字搜索（关键字搜索不需要建立案例关键词，直接输入关键词便可以进行查找），索引功能（新版本的索引功能不仅支持添加Noise File，还支持在残留区和未分配空间索引）。

2）在证据格式方面，新版本Encase使用了Ex01格式，这是由于老版本的E01格式已经不能满足需求，且很多新功能都需要匹配这种证据格式，例如Indexing功能，新的Ex01格式支持对证据文件直接进行AES-256强度的加密，这为原本就在业界内广受信任的证据格式再添了一级安全保护。此外，证据格式中原有的压缩选项改为两项“启用”和“禁用”，更加简洁明了。新版本的证据文件校验支持MD5、SHA-1以及MD5+SHA-1格式。

3）在证据处理速度方面，新版本Encase的“证据处理器（Evidence Processor）”具备多线程处理的功能，它不但能帮助用户自动化完成常用的取证任务，保证后期取证工作的顺利进行，而且调查人员还可以添加自定义的EnScript到证据处理器中，同时不必分别检查每一个EnScript的结果，调查人员还可以对EnScript结果建立索引，进行全局搜索，或查看某一特定EnSript的所有证据，这些改进，都能大大提高证据处理速度。

4）证据分析方面，新版本EnCase已具备对EXT4和HFSX文件系统、Office2010文件、Checkpoint/Pointsec加密文件、以及iOS物理镜像的分析能力。此外，EnCase v7对电子邮件的取证能力也有提升，新的电子邮件取证平台使得调查人员能够像查看收件箱一样简单的进行取证工作，并且可以对电子邮件交流记录和相关信息的关联性进行分析。

5）在手机支持方面，EnCase V7版本支持对智能手机的取证，增加了“智能手机报告生成器”功能，可对自动添加的智能手机证据文件生成报告，且可以把智能手机中的地理位置信息或者包含地理位置信息的图片直接生成为kmz文件并第三方地图应用中打开，方便取证人员查看。

6）结果汇编方面，EnCase V7版本的“结果报告（Report）”功能得到了改善，允许用户自己定制或者使用代码编辑报告模版，和老版本相比，提升了用户使用亲和度，同时配置好的模板可以被套用到任意案例中，确保报告的质量以及同一调查人员所有案例报告时间的一致性。

7）为了适应网络取证调查的发展，EnCase V7允许取证人员将案例、证据文件、初次抓取内容等使用副本、存档或者自定义模式打包保存或转移，这在安全网络环境下能够帮助取证人员互相配合分析证据文件。

EnCase作为使用广泛的一款取证软件，有自身巨大的优势：

1）Guidance Software公司起步早，注重与司法实践部门相结合，公司技术研发人员很多都是国际计算机协会（IACIS）的成员，该协会在1991年首次提出了计算机法庭科学（Computer Forensic Science）的概念，目的是推动电子证据在法庭科学领域的发展。Guidance Software公司注重培训和资格认证，EnCE(EnCase Certified Examiner)资格考试是目前电子取证领域内含金量较高的资格证书，该证书是在美国从事电子证据取证及上庭质证的必备证书，现在其他国家的司法机构也越来越认可该证书的效力。

2）EnCase软件制作团队能够及时根据司法实践改进软件功能，例如上面介绍的EnCaseV7版本支持智能手机，集成了“证据处理器（Evidence Processor）”功能，改善了“结果报告（Report）”功能，这些改进更利于取证人员方便操作软件的同时深入分析数据。

3）EnScript脚本编辑功能是EnCase取证软件和其他电子取证软件的重要区别，Guidance Software公司研发人员毕竟是有限的，但是用户的需求及案件的特殊性是无限的，因此鼓励用户直接参与取证软件开发是解决这个矛盾的好方法。对有经验的EnCase取证人员，可以自己编写EnScript脚本并建立脚本索引搜索证据文件，同时EnCase还支持对EnScript脚本进行源代码保护。Guidance Software公司还专门发布了支持Android系统和IOS系统EnScript脚本编写APP，全世界的EnCase用户都可以开发使用，美国甚至出现了商业化EnScript脚本编写公司，这些都极大的促进了该软件的发展。

4）由于EnCase起步较早，覆盖面广，所以它形成的证据格式，例如E01格式或者Ex01格式可以被其他取证软件兼容，而其他取证软件的证据格式则不一定被EnCase兼容。而且EnCase早期版本中“资源管理器”式的分布结构，也影响了其他取证软件的设计理念。

EnCase虽然优势充分，但是也存在诸多不足：

1）Guidance Software公司最初开发EnCase取证软件时是为了帮助美国警察等执法人员更方便、深入的获取电子证据，该公司最早和美国警政协会系统培训特定警员的电子证据取证能力，所以它的用户群主要分布在执法机构，社会性鉴定机构或个人使用该软件时间较晚。

2）EnCase以其独有的挖掘潜在证据的能力而闻名，尤其是EnScript脚本编辑功能更大的拓展了它的数据挖掘能力，但只有经验丰富且掌握编写语言的使用者才能熟练使用EnScript，没有经过专业培训的普通用户很难充分发挥EnScript脚本编辑功的作用。

3）EnCase取证软件本地化有不足之处，例如EnCase V7版本虽然增加了对智能手机的支持，但是对非智能手机，或者中国产智能手机以及中国产智能手机应用（APP），如QQ、微信等，不能有效识别；即使是对外国品牌智能手机，它的数据挖掘能力也不如专门的手机取证软件。

4）EnCase取证软件只有企业版支持在线取证技术，且价格昂贵，其他版本都不支持在线取证技术，当面临特殊案件需要在线提取证据时，会给取证人员造成困难。

2  X-ways Forensics取证软件

X-ways Forensics是由德国X-ways软件公司于2004年发布的一款专业取证软件，该软件的作者为Stefan Leischmann,他同时也是著名的十六进制文件编辑与磁盘编辑软件WinHex的编写者，非常精通存储原理与文件系统，虽然该软件相比同类产品发布较晚，但作者在开发过程中充分考虑了司法部门的需求，因而其功能设定上一直比较稳定。该款软件可在 Windows XP/2003/Vista/2008/7/8/8.1及WinPE/FE操作系统下运行，有32位和64位版本。

X-ways Forensics取证软件的主要优势:

1）X-ways Forensics取证软件推出后，由于其体量小，界面简单，上手容易，所以不仅受到执法机构的欢迎，而且社会性鉴定机构或个人更愿意使用该软件，目前跨国企业或者大型会计师事务所、律所等机构的内部调查人员，该软件是他们的标准工具之一。

1) X-ways Forensics内置了强大的文件查看器，可以支持400种以上文件格式的查看，并且文件查看器界面一目了然，有利于司法取证人员提前预判证据内容。

2) X-ways Forensics另外一个强大的功能就是“磁盘快照”功能，一般使用X-ways Forensics加载证据文件或磁盘以后，首先要对磁盘进行磁盘快照，经过磁盘快照以后，该软件会把案件中的压缩文件、电子邮件以及附件解开，删除的数据恢复出来。经过磁盘快照的数据会比未经过磁盘快照时的文件数量多，此时进行搜索得到的结果也会更全面。

3) X-ways Forensics具有优良的十六进制查看和编辑能力，在很多文件头信息中，文件签名无法显示出ASCII码字符，就需要使用十六进制数值来表示该文件签名，例如MS OFFICE 文件中，文件签名就是D0CF11E0A1B11AE1，X-ways Forensics通过这些十六进制数值，就可以认定该文件属于MS OFFICE 类型文件。因此，从原理上几乎任何的电子数据文件都可以通过该软件查看其原始的十六进制源代码，从而实现数据挖掘。

4）X-ways Forensics提取内嵌文件性能出色，可以从大多数类型的文件，例如JPEG的缩略图和缩略图缓存、快捷列表中的.lnk快捷方式、Windows.edb中的各种数据、浏览器缓存、Plist、SQLite数据库等文件中提取几乎所有类型的内嵌文件，包括图片类信息。另外该取证软件可以根据肤色比例，以画廊方式排序，对特定肤色图片或色情图片进行筛查。

5) X-ways Forensics与EnCase相比，在线取证技术是该软件一大特点，即可获取正在运行的Windows操作系统或者Linux操作系统下计算机、移动硬盘等存储设备中的数据，包括隐藏区域、未分配区域加密区域及删除过的数据，在获取这些数据时，系统能自动创建操作日志，形成时间轴。

X-ways Forensics取证软件的不足之处：

1）德国X-ways软件公司研发X-ways Forensics取证软件后，受到电子取证界的欢迎，但是公司并没有组建系统的培训课程体系，也没有统一的资格认证，只单纯依靠公司或者产品代理商进行使用培训，容易就造成培训质量参差不齐。

2）X-ways Forensics取证软“磁盘快照”功能是一大特点，但是对容量较大的证据文件，如果选择磁盘快照全部选项，完全运行该功能会耗费大量的时间，且会重复出现大量无用的信息碎片。

3）X-ways Forensics取证软件目前不支持对手机直接取证，面对手机类案件取证时，只能把手机内存信息先制作成镜像文件，加载到该取证软件中运行。

4）X-ways Forensics取证软“结果报告”功能比较单一，目前用户只能选择软件自带的类似于HTML格式的报告模版，在实际案件中需要根据不同司法机关以及不同的结果报告规范要求进行二次编辑和整理。

5）X-ways Forensics取证软本地化同样不足，该软件目前也不能有效的对某些中国本土软件，例如QQ和微信进行数据挖掘和恢复。

3 Forensic Tool Kit( FTK)取证软件

    FTK是美国AccessData公司开发的取证软件，它是一款后台数据分析处理能力极强的司法取证软件，其内置了PostgreSQL数据库，从底层提供了取证软件对数据的支持。实际上该软件是由FTK主程序，可以进行镜像获取、制作和加载的FTK Imager，以及注册表分析工具Registry 组成的工具包。

Forensic Tool Kit（FTK）取证软件的主要优势：

1) AccessData公司虽然比Guidance Software公司起步晚，但是它开发了针对FTK的认证考试AccessData Certified Examiner（ACE），ACE认证虽然是免费认证，但已经得到了美国司法部及各国的广泛认可。

2）FTK的取证思路是以预处理为导向的，基于其内置的PostgreSQL数据库，在前期检材预处理时对海量的数据进行分析，并根据取证人员的设置进行整理，方便后期取证人员对数据进行快速筛查和提取。同时，基于PostgreSQL数据库的优势也在于任何由于内存等硬件原因导致的系统崩溃都不会影响数据的分析进程，当再次打开程序时，FTK会继续进行上次的预处理工作。

3）FTK目前已经支持分布式处理，一台FTK主机可以通过网络挂载3台加速运算引擎，这能显著提高数据处理速度。

4）FTK享有专利的dtSerach搜索引擎，可以通过数据库对案件数据的分类归纳，为取证人员提供快速的数据搜索，取证人员只需通过一次数据索引表的建立就可对数据进行搜索并立即显示出结果。同时还可以把生成的索引作为当前案件特有的密码字典，有效的提高了后期密码破解功能。

5）FTK具有强大的过滤器功能，Known Files filter(KFF)已知文件过滤器是其区别于其他取证软件的特点。该功能的主要目的是将证据盘中Windows系统运行所必须的文件剔除关注文件列表，因为对任何案件而言，Windows系统运行所必须的标准文件没有任何检验价值，因此AccessData公司针对各个版本的计算机操作系统所必须的标准文件事先计算好其哈希校验值，并以此建立了KFF数据库。利用KFF数据库，取证人员可以排除检材中40%-70%的无检验价值的文件，从而减轻取证人员的工作强度。同时，检验人员还可以根据案件样本制作敏感文件哈希校验值并加入KFF库中，通过这种方法可以快速锁定敏感文件。

6）FTK具有地理位置信息浏览功能，可以根据检材中具有地理位置信息的内容，例如相机图片EXIF值中带有GPS信息的检材，可以根据每张图片的位置在自带地图工具中定位。此外该功能也可以与MPE+C相关联，根据MPE+C提取出的手机镜像中的相机图片，可以将GPS信息定位并显示在地理信息浏览模块中。

Forensic Tool Kit（FTK）取证软件的不足：

1) 由于FTK进入中国市场时间晚于Encase等软件，所以对于中国本地化优化略逊于Encase，部分功能对于中文代码支持仍需继续提高。另外，由于中国本地化软件的升级速度快，更新频率高，所以FTK没有直接针对于具体软件进行解析功能的开发，而是取而代之的使用了直接对于数据库的解析加手动分析模式，更加考验检验人员的实际操作水平。

2）FTK是基于PostgreSQL数据库运行的一款电子数据检验软件，处理过程中进行了数据库从准备到写入到优化的过程，方便案件的保存及例如索引搜索等功能的执行。因此，基于数据库的FTK程序在处理同等类别检材时会略慢于Encase等软件。

3)FTK的批处理功能强大，但准确率有待提高，用PhotoNDA功能批处理查找肤色图片时，处理结果有时会包含无关联图片，特殊情况下需要取证人员逐一复查处理结果，比较耗费时间。

4、取证大师

取证大师是中国厦门美亚柏科股份有限公司研发国内第一款具有完全独立知识产权的电子取证软件。它具有电子证据固定、分析、报告生成等取证功能，并且将静态取证、自动取证和动态取证三种方式集成于一身，方便取证人员根据不同的证据环境选取应用。

取证大师的主要优势：

1)取证大师主要是面向基层执法人员开发的“傻瓜化”取证分析软件，对取证人员的综合素质要求不高，只需要简单选取证据分析内容，就可以自动分析数据并生成报告。

2）将静态取证、自动取证和动态取证三种方式集成于一身，是该软件的一大优势。首先可以对静态存储介质进行分析，其次可以一步到位地完成除“关键字”搜索之外的几乎所有的分析功能，自动生成并导出报告，最后面对运行状态的取证对象时，可以获取其运行状态下的动态信息，包括系统进程、各种通讯及网络服务账号、上网记录、网络连接信息等内容。

3）该取证软件本地化优势明显，由于用户大部分为一线公安和检察院取证人员，因此在功能上设计方面充分考虑了实践需求。例如：该软件可以自动分析操作系统信息，包括操作系统最后一次正常关机时间、安装软件列表、共享文件夹、本地计算机用户信息、用户最后一次登录时间等；该软件的用户行为痕迹分析，包括最近打开的各种Office文档，媒体播放器（尤其是国产媒体播放器如暴风影音等）最近的视频播放列表，下载软件（例如迅雷）等最近下载信息等，都可以帮助取证人员更好的挖掘与案件相关的信息；该软件还支持对即时通讯软件，包括QQ、阿里旺旺等国产软件的聊天记录进行自动分析、自动检测并提取其历史记录，加快案件调查的效率和准确性，避免遗漏重要数据。

4）该软件首创了反取证软件的检测技术，能对取证过程中经常遇见的反取证软件进行检验，例如加密软件、数据擦数工具、信息隐写、突网工具等，帮助取证人员更好的判断哪些类型的文件可能被加密、修改或隐藏，或者可能利用何种软件“翻墙”发布危险言论等。

5）文档自动分类和快速提取功能，该功能适合对大批量证据文件进行快速调查和分析，可以将硬盘中各种文档、邮件数据文件、音频视频文件等进行分类，并自动提取导出，方便进一步查看或者进行关键字搜索。

取证大师的不足之处：

1)取证大师主要面向基层取证人员，设计理念为界面简单，容易操作，但这种“傻瓜化”的取证方式，可能会使取证人员过于依赖软件提供的选项，不利于取证人员深入挖掘数据。

2）该软件对国产软件取证功能强大，但针对国产软件的取证选项更新速度有待提高。