[科普中国]-电子数据取证设备

介绍

从恢复已被破坏的计算机数据及提供相关的电子资料证据就是电子取证，从已被破坏的计算机数据及其它存储电子资料的设备中恢复相关的电子资料的设备就是电子取证设备。

信息收集由于电子证据的特殊性，在收集电子证据时，首先需由提供证据单位的计算机操作人员打开电脑，查找所需收集的证据。当找到证据时，取证人员应通过显示器观察和确认该文件的形成时间。然后由操作人员打开文件，由取证人员确认该文件系所要收集的证据后，采用相应的方式予以提取固定。在查找证据过程中，如遇文件找不到或打不开等问题，应及时通知专业人员予以协助。同时，为确保电子证据的原始性、真实性、合法性，在电子证据的收集时应采用专业的数据复制备份设备将电子证据文件复制备份，要求数据复制设备需具备只读设计以及自动校准等功能，这对电子取证设备的要求也大大提升。

应用电子物证数据恢复技术的出现，无疑迅速弥补了公安机构对高科技电子数据获取技术这一“刚需”要求。以常见的针对存储介质的电子物证数据恢复技术为例，如何快速、有效地从存储介质中获取有力的电子物证，对案件的顺利侦破具有重要作用，这也是为什么数据恢复技术会在当下高科技案件的侦破工作中扮演越来越重要的角色的重要原因。1

电子取证设备目前国内的计算机取证设备不少，包括Data Copy King多功能复制擦除检测一体机、Data Compass数据指南针司法取证专版（简称DC）、网警计算机犯罪取证勘察箱等。DCK硬盘复制机不仅硬盘复制速度达到创记录的7GB/min，同时该硬盘复制机还具备8GB/min的数据销毁功能，以及硬盘检测、Log日志记录生成、只读口设计等，可自动发现解锁HPA、DCO隐藏数据区，在将嫌疑硬盘中的数据完整复制到目标硬盘的同时，确保取证数据的全面客观。

硬盘作为计算机最主要的信息存储介质，是计算机取证的重要获取内容，也是目前各种计算机取证工具的主要方向。目前国内外市场上，用于硬盘拷贝、数据获取的专业产品较多：

1．有为司法需要而特殊设计的硬盘复制机Data Copy King、MD5、SF-5000、SOLO II硬盘拷贝机

2．有适合 IT业硬盘复制需要的SONIX 、Magic JumBO DD-212 、Solitair Turbo 、 Echo 硬盘拷贝机

3．有以软件方式实现硬盘数据全面获取的取证分析软件，如FTK、 Encase 、 Paraben's Forensic Replicator

4．有综合软件获取和硬拷贝方式的取证勘察箱，如 Image MASSter Road MASSter 、“天宇”移动介质取证箱、“网警”计算机犯罪取证勘察箱

5．此外，还有通过 USB 接口、1394接口、PCMCIA、并口等方式的硬盘获取设备及附件，如 LinkMasster II 、 CloneCard 、 USB WriteProtect 、 Desktop WriteProtect 、“天宇”全能拷贝王等等。

如何充分地利用这些已有的计算机取证工具，提高国内法律部门的计算机取证水平，有效地打击犯罪行为具有重要的意义。