取證大師（Forensics Master）是國內計算機取證領域上市企業廈門市美亞柏科信息股份有限公司自主研發的一款綜合計算機取證拳頭產品。美亞柏科在國內率先提出自動取證、并行取證理念，并迅速將多年的一線實戰經驗與多個取證技術理念融合，研發出專業性強且容易操作的計算機取證分析軟件“取證大師”。

　　取證大師提供電子數據證據固定、分析、報告生成等取證功能，該軟件可獨立使用，也內嵌于多種綜合取證設備（如取證魔方、取證塔等），可應用于現場勘驗及計算機取證實驗室的檢驗鑒定等不同應用場景。

　　取證大師廣泛應用在公安機關、司法機關、行政執法單位、電子數據司法鑒定中心以及國內大中型企業，目前已超過15000名取證人員在使用該工具。取證大師分為專業版、教育版以及實驗室版（“取證金剛”分布式取證系統），已成為中國最具有代表性的計算機取證工具，并已走向國際化，在東南亞、歐洲等多個國家執法部門已得到應用。

　　（1）案例管理及設備添加

　　① 啟動取證大師，選擇“新建案例”，填寫案件相關信息并選擇相關選項。

　　② 取證大師自動彈出“添加設備”窗口，選擇“磁盤鏡像”，選擇證據文件的正確位置。

　　③ 取證大師自動彈出“自動取證”窗口，選擇微軟的Windows圖標，然后選擇要分析的項目及相關參數設置。如圖1所示。

　　圖1  取證大師自動取證窗口

　　④ 取證結果分析

　　取證大師自動將取證分析結果集成匯聚到一個名為“取證結果”的標簽頁。調查員可方便地查看分析的結果內容，包括系統痕跡、用戶痕跡、上網記錄、即時通信、解析網絡軟件分析、反取證軟件、文件分析、下載工具分析、日志分析、輸入法、密碼/密鑰檢索等。如圖2所示。

　　圖2  取證大師取證結果分析窗口

　　（2）文件快速查找

　　① 選擇取證大師軟件窗口上方的“文件過濾”按鈕，可以根據預定義的文件類型，也可以直接輸入文件名稱或擴展名進行文件查找。

　　② 通過取證大師菜單中【設置】|【搜索關鍵詞】，輸入要搜索的關鍵詞的名稱及搜索詞，同時選擇常用的編碼。不同軟件在生成文件時，可能會對中文文字進行不同編碼，簡體中文常用的編碼為GB2312、Unicode和UTF-8。在電子郵件取證過程中，有時需要搜索未分配簇中殘留的郵件片段，則還可以勾選區分大小寫，然后選擇【Base64】和【Quoted-Printable】，取證大師將自動生成多個電子郵件編碼十六進制，可直接進行搜索。如圖3所示。

　　圖3  取證大師文件快速查找窗口

　　③ 取證大師也支持正則表達式（GREP語法）進行關鍵詞的模糊搜索，默認該軟件已內置多個常用GREP語法搜索表達式，支持搜索手機號碼、身份證號、銀行卡號、護照、電子郵件地址、IP地址等。如圖4所示。

　　圖4  取證大師正則表達式（關鍵詞模糊搜索）窗口

　　（3）數據恢復

　　取證大師具備國際上主流計算機取證軟件的所有數據恢復功能，包括對刪除文件恢復、分區恢復、格式化恢復、簽名恢復、RAID陣列重組等功能。以下主要對其中的分區恢復、格式化恢復、簽名恢復做簡要介紹。

　　① 分區恢復

　　分區恢復是取證大師數據恢復重要功能之一，通過該功能，對于用戶手工刪除的分區，可以有效快速地恢復，無需復雜操作。

　　② 格式化恢復

　　取證大師支持對格式化的分區進行數據恢復，其恢復原理是基于文件系統元數據特性的文件搜索定位，目前支持FAT、NTFS以及exFAT等文件系統。以NTFS為例，NTFS分區被格式化后，雖然文件系統已經重建，$MFT等文件已經清空，然而原有的$MFT記錄大部分還可以從未分配空間中恢復出來，其頭部特征為FILE，取證大師通過解析未被覆蓋的$MFT記錄，將所有丟失的文件全部恢復出來。如圖5所示。

　　圖5  取證大師數據恢復（格式化恢復）窗口

　　③ 簽名恢復

　　簽名恢復是計算機取證中常用的一種數據恢復方法。在文件系統被破壞后，文件系統的元數據信息丟失，無法通過從未分配簇中搜索$MFT記錄或目錄項找到文件的元數據信息，因此軟件無法定位已刪除或丟失文件的位置。唯一的辦法就是根據各類文件自身的文件頭部及尾部特征（常稱為文件簽名）進行搜索，定位到文件頭部后，將文件數據內容導出。部分文件的文件頭之后還有描述文件大小的標志位，因此可以借助該信息來精確恢復文件數據。目前，取證大師、EnCase、X-Ways Forensic及WinHex均具備這種精確恢復的能力。

　　取證大師簽名恢復界面帶有綠色圖標的類型均屬于可以通過文件頭部判斷文件大小，實現精確恢復文件原始數據內容。如圖6所示。

　　圖6  取證大師數據恢復（簽名恢復）窗口