1. 電子證據只讀鎖

　　為了避免在計算機取證過程中，由于對硬盤操作而引發更改硬盤數據的現象，電子證據只讀鎖已經成為計算機取證的標準配置工具，其獲取的證據的有效性已經被法庭采信。只讀鎖通過屏蔽寫信號，確保不會修改犯罪嫌疑人的硬盤，因此具有司法有效性。

　　電子證據只讀鎖具體操作步驟如下。

　?。?）將嫌疑硬盤連接到只讀鎖相應接口（如SATA、SAS、IDE）。

　　（2）將只讀鎖的eSATA或USB接口與計算機主機連接。

　?。?）連接好只讀鎖電源線并打開電源開關，開始工作。

　　目前國際上流行的電子證據只讀鎖有Tableau系列只讀鎖、Wiebetech系列只讀鎖以及美亞柏科DC-8700系列只讀鎖。然而只有美國Guidance Software與中國美亞柏科擁有SATA、IDE、SAS、USB3.0、USB2.0、存儲卡等全系列電子證據只讀鎖的核心技術。

　　2. 硬盤復制機

　　目前對硬盤的數據獲取主要有軟件方式和硬件方式兩種實現方法。軟件方式主要利用如EnCase、FTK或其他專用磁盤復制及鏡像軟件，通過相應接口實現對嫌疑硬盤的數據分析或直接硬盤鏡像，能夠在一定程度上滿足硬盤數據獲取的需要。

　　硬件方式主要利用硬盤復制機，通過對嫌疑硬盤的精確復制，實現對硬盤數據的完整獲取。目前普遍使用的是Tableau TD2及TD3、SOLO 4、Forensic Falcon以及取證魔方（DC-8811）、高速硬盤復制機（DC-8202）等設備。目前國內外硬盤復制設備性能基本達到同等水平，SATA III代機械硬盤復制速度一般可達6～7 GB/min，SSD硬盤復制可高達20 GB/min以上。

　　3. 取證魔方

　　“取證魔方”是廈門美亞柏科信息股份有限公司研發的一款適合執法部門進行現場勘查分析的綜合取證一體化設備。成立于1999年的美亞柏科是國內最早從事取證工具研發的公司之一，也是全球計算機取證產品的兩家上市公司之一。2011年，取證魔方獲得中國創新設計大獎“紅棉獎”。2014年，取證魔方通過美國FCC和歐洲CE認證。

　　取證魔方采用全球領先的高速硬盤復制、自動取證分析、動態系統仿真等多任務并行處理技術，同時提供了符合司法有效性的寫保護功能，使現場進行證據固定、計算機取證分析工作簡單快捷，大大提高現場勘查的效率，是國內最受歡迎且用戶數最多的一款取證一體化設備，有計算機取證界的“瑞士軍刀”之稱。

　　在硬盤復制方面，取證魔方支持多種只讀和復制接口（IDE、SATA、SAS、SCSI、USB），支持一對一、二對二等多路并行復制，硬盤復制速度可達27 GB/min。在復制或鏡像時可進行關鍵詞搜索，并可將結果導入取證大師進行關聯查看。取證魔方支持對目標計算機進行不拆機硬盤復制，支持分別或同時加載/卸載多個只讀源盤接口，包括SATA/SAS接口、IDE接口及USB接口，并且支持續點復制、續點鏡像功能。

　　在數據分析方面，取證魔方支持對指定的源盤進行預分析，提取指定分析策略相關的文件到本地磁盤上，提取完畢后，再對提取到本地的相關文件進行解析，同時啟動硬盤復制功能，把源盤的所有數據復制到目標盤，還可在復制的同時查看分析數據的結果。此外，取證魔方內置取證大師專業版，支持對磁盤中的數據進行深度分析及數據恢復，還支持通過取證服務云對QQ、飛信、阿里旺旺、Skype等密碼密鑰的提取。

　　在系統仿真方面，取證魔方支持Windows 10、Windows 8.1、Windows 8、Windows Server 2012、Windows 7、Windows Vista、Windows XP、Windows 2008、Windows 2003、Windows 2000，多種版本的Linux，以及基于x86架構10.10、10.9和以下版本Mac OS系統的系統仿真；并支持對整個硬盤（MBR格式和GPT格式）、全盤鏡像或分區鏡像（DD文件、E01文件、Img文件等）的仿真。

　　取證魔方可快速批量生成現場快速分析工具“取證精靈”U盤，對現場正在運行的大量計算機系統進行數據快速提取及分析（如企業單位、網吧等場合）；可制訂各種現場取證策略，提取特定數據，加快數據提取速度，特定數據包括上網記錄、即時通信信息、電子郵件、加密文件、各類文檔等；支持現場快速分析，或現場只導出相關重要文件，縮短現場信息獲取時間；支持預先設置關鍵詞信息，現場快速查獲所需的機器。

　　4. “章魚”多通道高速獲取系統

　　“章魚”多通道高速獲取系統是一款利用多個傳輸通道對計算機存儲介質進行不拆機并行獲取的便攜設備，支持對不易拆卸硬盤的筆記本、服務器以及蘋果筆記本（MacBook/iMac）等不拆機進行高速數據獲取。該系統充分利用目標計算機現有的一個或多個接口將硬盤數據鏡像分流存儲到設備內置的多個硬盤，實現硬盤鏡像速度大幅提升。相比單路獲取設備，DC-8670單位時間獲取的數據量可提升4倍，可以很好地解決現在計算機存儲設備容量越來越大、獲取時間越來越長的問題。

　　DC-8670與目標計算機的連接步驟如下。

　　（1）使用USB 3.0或雷電數據線連接通道1盤位與目標計算機。

　?。?）使用USB 3.0數據線分別連接通道2、通道3、通道4盤位與目標計算機。使用四路USB 3.0集線器連接DC-8670與目標計算機，如圖1所示。

 DC-8670與目標計算機的連接

　　（3）在DC-8670主界面，勾選需要獲取的硬盤或分區，該硬盤將被自動添加至任務列表中。

　　（4）單擊“開始”按鈕，進行獲取操作。在信息打印區域將顯示任務獲取詳情。