国内外计算机硬盘取证设备对比与分析

 

国内外计算机硬盘取证设备对比与分析*  

冯俊豪¹⁺,孙飞²,郭勇鸿³,王玉福⁴

¹(浙江省精密仪器研究所, 浙江市  310012)

²(北京市公安局石景山分局科技信息通信处, 北京市  100060)

³(北京市公安局行动技术处, 北京市  100011)

⁴(北京天宇晶远科技发展有限公司, 北京市  100080)

 

摘  要:      对电子证据的获取、分析和发现是公安机关打击各种犯罪行为的一种全新手段。随着国内涉及计算机取证的案件不断增多，公安机关越来越需要精确、高速、多功能、智能化、适应于不同场合的专业计算机取证设备来武装自己。多年来，国外科研机构、院校、军警部门一直密切关注计算机取证技术的研究，陆续开发了各种不同功能、不同形式的专业计算机取证软、硬件产品；近来来，国内司法部门、科研机构也注意加强计算机取证技术研究，逐步出现了一些专业的计算机取证产品。公安部门如何充分地利用各种已有的计算机取证工具，提高国内计算机监察、侦察部门的取证水平，有效地打击各类刑事犯罪、恐怖行为具有重要的意义。本文通过对比国内外各种计算机硬盘取证工具的特点，分析发现不同工具的使用优势，便于同行对不同取证设备的认识。

关键词:     *计算机取证;设备评测*

 

硬盘作为计算机最主要的信息存储介质，是计算机取证技术的重要获取内容，也是目前各种计算机取证工具的主要方向。目前国内外市场上，用于硬盘拷贝、数据获取的专业产品较多：有为司法需要而特殊设计的MD5、SF-5000、SOLO II硬盘拷贝机，有适合IT业硬盘复制需要的SONIX、Magic JumBO DD-212、Solitair Turbo、Echo硬盘拷贝机；有以软件方式实现硬盘数据全面获取的取证分析软件，如FTK、Encase、Paraben's Forensic Replicator；有综合软件获取和硬拷贝方式的取证勘察箱，如Image MASSter Road MASSter、“天宇”移动介质取证箱、“网警”计算机犯罪取证勘察箱；此外，还有通过USB接口、1394接口、PCMCIA、并口等方式的硬盘获取设备及附件，如LinkMasster II、CloneCard、USB WriteProtect、Desktop WriteProtect、“天宇”全能拷贝王等等，可有效解决具有开机口令计算机的硬盘拷贝问题，

在众多的计算机取证产品中，每一种产品都有其自身的特点和可利用的优势。公安部门可以根据不同的工作需要和环境，选用不同用途的取证工具。而为了实现最佳的取证效果，还应当充分挖掘各种产品的功能，合理组合各种取证工具，形成一套设备精简、功能强大的专业计算机取证勘查工具集合。本文就目前部分国内外计算机硬盘取证专业设备的性能特点进行介绍。

 

1     手持式硬盘取证设备

手持式硬盘取证设备的主要特点是体积小、重量轻，便于携带和使用。在各种取证设备中，手持式硬盘取证设备拷贝速度最快，可达3.3GB/分钟，是一种理想的侦查取证设备。目前多数手持式拷贝机以硬盘直接拷贝为主要方法，即将犯罪嫌疑人的计算机的硬盘取出，直接与拷贝机连接，实现对硬盘数据的全面复制。考虑到不同环境下的不同取证需要，部分新型拷贝机除硬盘直接拷贝方式外，还增加了USB接口、SATA硬盘、PCMCIA接口、并口拷贝方式，增强了拷贝机的功能和使用灵活性。正因为具有便于携带、拷贝功能强的特点和使用灵活的特点，手持式拷贝机已经成为公安部门计算机取证的首选设备。

国际市场上手持式硬盘拷贝机大致可分为两代产品：以SF-5000、SOLO II、SolitareTurbo为代表的第一代拷贝机，拷贝速度最高可达1.8GB/分钟。以Forensic MD5、Sonix、DD-212为代表的第二代硬盘拷贝机，拷贝速度最高可达3.3GB/分钟。

各种手持式硬盘拷贝机中，通过用途可划分为司法专用型和民用型两种。

司法专用型以Forensic MD5、SF5000、SOLO II为代表。这些设备通过精确的数据校验机制，实时计算疑犯硬盘和证据硬盘的哈希值，确保硬盘原始数据未被改动、疑犯硬盘与证据硬盘完全一致。目前主要的校验方法有MD5和CRC32，基于此种方法进行校验，复制的硬盘能够作为司法证据被部分国家法律认可。但是由于采用了严格的数据校验机制，司法专用型拷贝机的硬盘拷贝速度也因数据校验时间而受影响。以MD5拷贝机为例，获取80GB容量硬盘，实际拷贝速度虽然达到3GB/分钟，理论应在30分钟内完成，但由于额外花费了近一倍的数据校验时间，导致最终完成时间为55分钟。

民用型以Sonix、DD-212、Solitare Trubo、Echo为代表。这些设备突出的特点是速度快、功能强、使用方式灵活。但因为不具备精确的数据校验功能，使其无法作为司法取证工具使用。但如在一些特殊的条件下，对硬盘拷贝精确没有非常严格的要求，那么此类设备将是非常理想的拷贝工具。如利用Solitare Trubo复制一个Windows XP操作系统仅需1-2分钟即可完成，比软件拷贝方式速度快数倍。再如Sonix拷贝机具有硬盘直接拷贝、USB接口拷贝、SATA硬盘拷贝、PCMCIA接口拷贝、双向拷贝、智能拷贝、分区拷贝、硬盘管理等功能，最高拷贝速度可达3.3GB/分钟，是目前所有产品中功能最强、速度最快的拷贝设备。

 

1.1    市场各种型号手持式硬盘拷贝机简介

1.1.1      MD5硬盘拷贝机

MD5硬盘拷贝机是美国Logicube公司根据司法部门的特殊需求而设计的最新型计算机硬盘取证设备，2004年3月上市，目前已开始应用于各国司法部门。

MD5拷贝机与SF5000相比速度有明显的提高，经实际测试，其最高速度达到3GB/分钟。在拷贝方式上，MD5具有硬盘直接拷贝、USB接口拷贝、PCMCIA接口拷贝，并口拷贝等四种方式。其独特的DD镜像捕获方式支持对疑犯硬盘进行数据镜像，并可在获取成功后直接利用FTK、ENCASE等软件进行数据分析。同时，DD镜像捕获方式可在大容量硬盘中保存多个疑犯硬盘的镜像，解决了疑犯硬盘数量多而证据硬盘数量不足的问题。MD5拷贝机新增添了关键词搜索功能，通过CF卡储存预定关键字，可快速从众多的硬盘中准确定位最终可疑硬盘。除支持PC格式硬盘拷贝外，MD5拷贝机还支持对其他操作系统，如Linux、苹果格式硬盘的拷贝。由于采用了MD5和CRC32数据校验机制，MD5硬盘拷贝机可确保数据位对位的准确，是目前最精确、功能强的专业计算机取证设备。

优势：启动时间短，拷贝精度高、拷贝速度快、拷贝方式多、关键字搜索、USB只读保护。

不足：相比SF5000，拷别速度提高一倍，但实际完成时间仍然较长。

 

1.1.2      SONIX硬盘拷贝机

Sonix是美国Logicube 公司最新研制的民用型硬盘拷贝机，2004年6月完成。这种硬盘拷贝机具有拷贝速度快、适应范围广、功能多样、体积小巧等特点。

Sonix拷贝机是目前市场上拷贝速度最快的产品，最高可达3.3GB/分钟，复制完成80GB硬盘仅需30分钟。拷贝方式支持硬盘直接拷贝、USB接口拷贝、PCMCIA接口拷贝，并口拷贝，快速拷贝各种品牌、型号和容量的 2.5” 、 3.5” IDE、EIDE 和Ultra-DMA 硬盘，所有接口均设计于拷贝机内部，无需再外接任何如USB适配器、SATA适配器等额外配件，减少了所需携带的设备数量。数据拷贝方面，Sonix支持双向拷贝方式，既可从内向外方向拷贝数据，以可从外向内拷贝数据，增加使用灵活性。Sonix具有硬盘分区选择拷贝功能，允许选择性拷贝如第一个、第八个分区，支持对所有类型分区位对位的全面拷贝，包含对Mac, Linux, Unix, Sun, OS6 等操作系统的支持。Sonix拷贝机据有智能拷贝功能，可跳过硬盘剩余空间，仅拷贝数据区域，加快拷贝速度。拷贝过程中，可自动根据目标盘容量调整各分区比例。其独特的NTFS 智能拷贝方式支持所有基于NT的文件系统，如 Windows 2000/XP。

在使用方面，Sonix具有独特硬盘管理功能，其内置的主盘能够在Windows环境直接使用和管理。可利用Windows环境下的工具软件对主盘调整分区、重新格式化；可利用Windows资源管理器对主盘中的数据拷贝或删除，对主盘中的数据进行删除与恢复，对主盘中的数据进行备份或恢复。

Sonix是一款适合民用的计算机拷贝工具，但其3.3GB/分钟的拷贝速度和灵活的使用方式，特别适宜某些特殊环境、特殊需要的案件。因此，该设备可以作为计算机取证辅助工具。

优势：启动时间短，拷贝速度快、拷贝方式多，SATA硬盘、拷贝无需额外配件、双向拷贝、磁盘管理。

不足：拷贝精度同司法专业性相比略显差距，双向拷贝使用不当可能造成意外损失。

1.1.3      慧全DD-212/DD-128硬盘拷贝机

DD-212和DD-128是台湾慧全公司研制生产的两款不同的民用型硬盘拷贝机。主要特点是拷贝速度快，实测为2.8GB/分钟。

DD-212型拷贝机可以实现一次同时拷贝2个IDE目标硬盘，DD-128支持SCSI硬盘和IDE硬盘的互换拷贝。两款拷贝机同时支持5.25寸、3.5寸、2.5寸IDE硬盘和SATA硬盘，DD-128额外增加了SCSI I/II、Ultra-SCSI和SCA-SCSI硬盘的支持。两款拷贝机适用于MS-DOS, IBM-DOS, OS/2, NCR, NEC, Windows NT/2000/XP,Windows 95/98/ME, Macintosh, Unix/Xenix , Novell, Linux, FreeBSD, BeOS, HPA 格式及非FAT格式等不同操作系统，拷贝方式采用同步独立式，硬盘的格式化、复制、快速复制、比较、校验、数据擦除等功能可同时完成，数据拷贝、数据比较和校验功能可单独进行。拷贝功能方面，可选择完全复制、快速复制、分区复制。

优势：拷贝速度快，使用简单，处理坏扇区较好，SCSI硬盘拷贝，1对2拷贝。

不足：体积较大，拷贝精度不足，硬盘电源线定义不同，绝不可与其他厂商硬盘电源线互换使用。

1.1.4      SF-5000硬盘拷贝机

SF-5000硬盘拷贝机是美国Logicube公司研制的司法专业型硬盘取证设备。虽然MD5拷贝机必将逐步取代SF-5000拷贝机成为今后司法取证的主流产品，但由于SF-5000具有优秀的性能价格比，因此将会继续在计算机取证领域中扮演重要的角色。

SF-5000拷贝机包含有MD5拷贝机的许多功能，只是拷贝速度相比稍慢，仅达到2GB/分钟。此外，不具备MD5拷贝机的关键词搜索功能、CF卡插槽和DD镜像拷贝方式。其独特的CRC-32校验机制（软件方式和硬件方式）能同时计算疑犯硬盘和证据硬盘的CRC-32校验值，并通过打印机现场输出报告。SF-5000拷贝机能够与USB写保护适配器、Desktop写保护适配器和CloneCard配合使用，是一种使用灵活，安全可靠的计算机取证设备。目前，世界各地正有几千台SF-5000拷贝机被司法部门大量使用，在国内也是司法部门抗击计算机犯罪活动最广泛的武器。

优势：启动时间短，拷贝精度高、拷贝方式多、USB接口只读保护、PCMAIC接口拷贝。

不足：拷贝完成时间相比其他设备较慢。

 

1.1.5      ICS Solo2 Forensics硬盘拷贝机

Solo2 Forensics是美国ICS公司研制的司法专用型硬盘取证设备。从疑犯硬盘到证据硬盘的拷贝速度可以达到1.8GB/分钟，具有CRC32校验机制，可确保数据位对位的准确。由于该公司的SOLO3尚在开发中，没有成品问世，但由于Solo2具有优秀的性能价格比，因此仍是ICS公司在各国司法部门中主要推广的产品。

SOLO2可在对各种IDE硬盘进行快速拷贝，配合PCMCIA SCSI适配器可对SCSI硬盘进行拷贝。SOLO2能够复制基于任何操作系统的硬盘，如DOS，Windows3.x，Windows95/98/2000，WindowsNT，OS/2，Macintosh，UNIX，Novell等，可通过并口与计算机连接，适应硬盘无法拆卸的计算机取证问题。该设备具备坏扇区跳过功能，可加快硬盘的复制完成时间。同部分民用产品相似，SOLO2具有智能拷贝功能，可跳过对硬盘空白区域，仅对数据区域进行拷贝。配合ICS公司提供的东芝1.8寸硬盘硬盘配器，可直接拷贝1.8寸硬盘；配合各种笔记本计算机硬盘转接卡，无需将笔记本计算机的专用转接卡卸除，即可直接利用拷贝机进行快速拷贝，有效地节省了办案时间。

优势：拷贝精度高、SCSI接口拷贝、坏扇区跳过、1.8寸硬盘拷贝、硬盘转接卡品种多。

不足：启动时间相比较长，灵活性不够。

1.1.6      Solitaire Turbo硬盘拷贝机

Solitaire Turbo是美国Logicube公司研制的一款民用型硬盘拷贝机，能够高速进行硬盘数据的复制工作，速度可达1.8GB/分钟。

该设备主要特点：支持双向拷贝，可从内部硬盘向外部端口拷贝，或从外部端口向内部硬盘拷贝，增加了使用灵活性；具备智能拷贝功能，拷贝单独的Windows XP系统不到2分钟，非常适于进行系统日常维护；可配合USB Adaptor和CloneCard，无需拆卸硬盘直接对计算机硬盘进行拷贝。配合USB Adaptor，可作为USB硬盘盒使用，直接察看硬盘数据，进行硬盘维护。

由于Solitaire Turbo拷贝机默认从内部向外部端口拷贝，与所有司法专用型拷贝机使用方式相反，一旦操作失误将会覆盖疑犯硬盘，因此如使用此种设备必须谨慎，最好配合硬盘写保护设备以便保护疑犯硬盘数据安全。

优势：拷贝速度高、使用灵活、智能拷贝、USB接口拷贝、USB硬盘管理、CloneCard。

不足：双向拷贝使用不当可能造成意外损害。

 

1.1.7      DriveCopy硬盘拷贝机

DriveCopy是美国MyKey公司研制的一种司法专用型硬盘取证设备，拷贝速度约为1.5GB/分钟。

该设备的优点是简单易用，只需连接好硬盘，开启电源，即可自动对疑犯硬盘和证据硬盘进行复制，并在拷贝结束后自动提示。拷贝机具备硬盘只读功能，可保护疑犯硬盘原始数据不被改动。整个拷贝机体积只有两块硬盘大小，有效地节省了空间。由于操作简单，可由任何非专业的人员使用。

优势：操作简单，数据只读。

不足：无进度显示。

 

1.1.8      Echo硬盘拷贝机

Echo是美国Logicube公司研制的一种民用型硬盘拷贝设备，拷贝速度接近900MB/分钟。

Echo是目前国内外市场上所能见到的体积最小的硬盘拷贝设备，虽然拷贝速度在所评测的所有拷贝机中相比较慢，但是利用其默认的智能拷贝方式，拷贝Windows 98/ME/2000/XP的数据文件仍比软件方式快许多，对于系统维护、硬盘数据备份等任务非常有效。Echo以单向方式传输数据，操作非常简单，仅需简单按动几下按钮，既可根据需要选择智能拷贝或全盘拷贝方式进行硬盘复制。支持与CloneCard配合使用，无需拆卸笔记本计算机硬盘，即可通过Pcmcia接口传输数据。

Echo作为一款简单易用的硬盘拷贝设备，其900MB的智能拷贝速度具有极高的使用价值。

优势：体积最小，操作简单，智能拷贝，CloneCard拷贝，有拷贝速度和进度显示。

不足：速度较低，无时间显示。

 

1.2    硬盘拷贝机性能对比

 

表1  硬盘拷贝机速度对比

	直接对拷速度	获取80GB硬盘完成时间	点  评
SONIX	3.3GB/分钟	约25分钟	具有最快的拷贝速度，欠缺精度
DD-212/128	2.8GB/分钟	约30分钟	拷贝速度较快，拷贝精度欠缺
Solitare Trubo	1.8GB/分钟	约45分钟	校验可选，拷贝速度较快，兼容性好
Solo II	1.8GB/分钟	约45分钟	校验可选，拷贝速度较快，兼容性好
MD5	3.0GB/分钟	约50分钟	精度最高，拷贝同时必须校验，实际完成时间较长
DriveCopy	1.5GB/分钟	约60分钟	操作简单，数据只读，速度缺乏优势
SF 5000	1.8GB/分钟	约100分钟	由于拷贝同时进行精确校验，实际完成时间较长
Echo	900MB/分钟	约100分钟	操作简单，硬盘完全拷贝没有优势，智能拷贝出色

 

表2  硬盘拷贝机功能对比

	MD5	SONIX	DD-212	DriveCopy	SF 5000	Trubo	Solo II	Echo
直接对拷方式	支持	支持	支持	支持	支持	支持	支持	支持
直接对拷方向	单向	双向	单向	单向	单向	双向	单向	单向
通过USB口拷贝	需配件	支持			需配件	需配件
通过并口拷贝	支持	支持			支持	支持	支持	支持
通过Pcmcia接口	需配件	需配件			需配件	需配件		需配件
复制SCSI硬盘			DD-128				需配件
复制SATA硬盘	需配件	支持	需配件	需配件	需配件	需配件	需配件
1对2拷贝			支持				支持
USB硬盘盒方式	支持	支持			支持	支持
DD镜像获取	支持
分区选择拷贝	支持	支持	支持			支持	支持
智能拷贝		支持	支持			支持	支持	支持
数据擦除	支持	支持	支持		支持	支持	支持
数据只读	需配件			支持	需配件		需配件

 

表3  硬盘拷贝机综合评分

	拷贝精度对比	拷贝速度+完成时间	简单易用性	功能扩展+灵活性	评分
SONIX	★★★	★★★★★	★★★★	★★★★★	18
MD5	★★★★★	★★★	★★★★	★★★★	16
Solitare Trubo	★★★	★★★	★★★★	★★★★	14
DD-212/128	★★★	★★★★	★★★★	★★	13
SF 5000	★★★★	★★	★★★★	★★★	13
Solo II	★★★★	★★★	★★★★	★★	13
DriveCopy	★★★	★★★	★★★★★	★★	13
Echo	★★★	★★	★★★★★	★★	12

注：评测标准，总分数为20分，单项评比满分为5分，每一个★代表1分

  ★★★★★   单项评比，性能最好者平5分，其余得分根据最高分酌减。

 

 

2     取证勘查箱

计算机取证涉及的各种信息存储介质种类很多，如软盘、硬盘、光盘、USB闪存、数字相机闪存卡、各种大容量软盘（ZIP等）、可扩充硬盘（JAZ等），此外还有不同品牌的掌上电脑和手机，因此要求取证人员必须拥有一套适应范围广、拷贝功能强、携带方便、使用灵活的移动电子取证平台，通过精简、轻便的设备，实现对不同场合、不同需要的案件数据取证目的。目前在国内外计算机取证产品中，取证勘查箱依据其功能和形式主要分为三种：改装型、工控型和组合型。

 

改装型主要将取证计算机组装于特制的防水、放震工具箱内，优化端口连接方式，将全部端口引于面板上，便于设备的连接使用。由于普通笔记本计算机无法直接连接3.5寸IDE硬盘，因此改装型勘查取证箱的最大优点是便于对硬盘的检查和拷贝。对于其他存储介质的检查和取证优势不明显。此种产品代表有美国ICS公司的RoadMasster、厦门美亚柏科公司的网警取证勘查箱、北京天宇晶远移动介质取证箱。

图：改装型代表—ICS公司的RoadMasster

 

工控型主要利用工业控制机可携带，扩展方便的特点。此种设备端口齐全，具有防震设计，可接插各种台式机功能扩展卡，能够直接运行第三方取证分析类软件。缺点是体积大且重。目前美、英一些公司此种产品较多。如LC公司的PDRAC、美国Forensic Computer公司的Portable Forensic Workhorse。

 

组合型将各种常见的计算机取证设备合理搭配，放置于特制的箱包中，组成功能全面的取证系统。主流方案是采用笔记本计算机，配合各种外设和专业计算机取证器材。这种方案优点是端口齐全，各种设备使用灵活，便于伪装和携带。

 

2.1    网警案件取证勘查专用机（美亚柏科）

网警案件取证勘查专用机属于改装型取证设备，基于PIII/PIV CPU，具有计算机的全部功能，配有ENCASE取证软件，能够实现对硬盘的预览和数据获取。该取证箱扩展性能好，连接方式灵活，支持3.5寸IDE硬盘、2.5寸IDE硬盘、SCSI硬盘的数据获取；支持对CD、CDR、CDRW、DVD的检查获取；支持对3.5寸软盘的获取和分析；支持数字存储介质的检查与拷贝；可对各种USB闪存、大容量存储介质进行拷贝；支持对手机卡（GSM/CDMA）的复制。

优势：接口齐全，具有数据获取和分析功能,数据只读

 

2.2    计算机犯罪取证勘查箱（金诺网安）

一种组合型计算机取证勘查设备，在笔记本计算机、SF5000硬盘拷贝机、ENCASE取证软件，的基础上，搭配了各种在计算机犯罪调查过程中经常使用的软件和硬件的集成，可满足复杂多变的现场勘查取证需要、实现符合法律程序要求的计算机犯罪调查过程，提供简单易用的电子取证与证据分析的工具，提高计算机犯罪调查的效率。

优势：计算机性能稳定，各种配件较全，具有数据获取和分析功能

不足：灵活性稍差

 

2.3    Forensic Air-Lite V（Forensic Computer）

Forensic Air-Lite V 是应美政府部门要求研制的一种快速计算机取证设备，可满足严格的证据获取要求，属于改装型设备。该系统配备有可移动的存储设备、DVD RW刻录机、SCSI卡、SATA卡，能够获取各种接口的SCSI硬盘、IDE硬盘和SATA硬盘。兼容各种证据获取、分析软件，如ENCASE、FTK、SMART、SafeBack、和MSDOS环境下的取证工具。

优势：硬盘获取功能强，硬件可由用户定制升级

不足：组合形式简单，功能单一

2.4    Image MASSter Road MASSter （ICS）

美国ICS公司研制的改装型计算机取证专业设备，具有证据获取、预览和数据分析的功能。采用Windows98操作系统，具有ICS公司专用拷贝软件，能够以1.5GB/分钟的速度进行硬盘直接对拷，可替代SOLO 2拷贝机。疑犯硬盘和证据硬盘的加载和拷贝由专用软件控制，无需关机即可更换硬盘。支持第三方软件对疑犯硬盘和证据硬盘的获取和分析。

优势：硬盘直接拷贝功能，可代替拷贝机，更换硬盘无需关机

不足：CPU、内存等计算机整体配置低，屏幕小

 

2.5    电子证据取证平台（天宇晶远）

由北京天宇晶远公司研制的组合型取证设备，基于笔记本计算机、SONIX拷贝机、1394B取证接口、PDA取证设备、手机取证设备，配合FTK、全能取证王软件，实现对电子证据的综合取证平台。全套设备采用灵活的组合方式，充分利用笔记本计算机齐全的接口和优秀的扩展功能，以最少的设备组合实现了全面的证据获取需要。可通过拷贝机和软件方式，有效解决3.5寸硬盘、2.5寸硬盘、1.8寸硬盘、SATA硬盘、SCSI硬盘的数据获取问题，同时可针对35种型号PDA，38种手机、GSM/CDMA手机卡，ZIP软盘、各种USB存储设备、PC卡硬盘、8种数字相机存储卡进行证据获取和数据拷贝。

优势：拷贝速度快，拷贝方法多样，可解决电子证据种类多。

不足：设备较多，携带不便。

 

3     结束语

通过对目前国内外8种硬盘拷贝机、5种取证勘察箱进行评测，我们可以看到国内外的专业计算机取证厂商、科研机构都在努力地加强计算机取证专业设备的开发与改进。国外计算机取证技术和设备属于成熟阶段，以美国Logicube、ICS、Guidence、Accessdata为代表的公司不断推出并改进其专业取证、数据分析软硬件产品。而国内科研机构和部分专业公司，也在加强对计算机取证设备的研究，推出了一些适合中国国内司法部门需要的软硬件产品。虽然其中一些产品技术水平含量相比较低，但这种对计算机取证技术发展趋势的关注、研究与投入，还是值得我们去鼓励的。

而作为最终使用计算机取证专业设备的公安部门，面对众多的专业、民用的取证设备，一方面要充分利用各种已有的工具，从中发现作用明显、优秀实用的设备来武装自己，提高打击计算机犯罪行为的能力；另一方面也应该密切与从事计算机取证研究的公司和专业研究机构合作，研制开发出功能更强的专业软硬件设备，提高国内计算机取证水平，为打击和防范各种计算机犯罪行为、各种恐怖行为的漫延作出努力。

 

 

 

 

致谢  在此,我们向对本文的工作给予支持和建议的同行,尤其是提供测试设备的相关部门表示感谢。

---

作者简介: 冯俊豪（1965年），男，浙江省舟山市人，大学本科，主要研究领域为计算机取证技术研究；孙飞（1970年），男，北京市人，大学本科，主要研究领域为计算机监察；郭勇鸿（1970年），男，北京市人，大学本科，主要研究领域为计算机网络安全；王玉福(1974年),男,山东省平度市人,大学本科,主要研究领域为计算机取证软硬件设备。