取证前锋 (CSIR)

取证前锋(CSI Responder)是厦门市兴百邦科技有限公司自主研发的一款既符合司法取证要求又简单易用的综合现场取证工具。它可让一线取证人员无需拆卸目标计算机,即可快速、高效地开展现场预检现场保全现场动态仿真现场取证分析,实现现场取证“零等待“,具有独特的应用创新理念,有效解决了现场取证遇到的各种问题。

取证前锋设备实现了业界多项第一功能创新

1) 业界率先实现基于雷电3和USB 3.1的超高速镜像,MacBook Pro 2016实测速度高达每分钟120GB(单通道), Surface Pro4实测高达每分钟20GB(单通道)。

2) 业界率先实现不拆机直接进行动态仿真取证分析,且符合司法规范,源盘数据不会被篡改。

3) 业界率先实现了基于TPM及T2加密芯片的加密磁盘数据获取与解密。

 

设备功能亮点

  • 支持苹果电脑取证

取证前锋完美支持了对MacBook、MacBookAir、MacBook Pro笔记本、iMac一体机、MacPro等机型进行不拆硬盘场景下的硬盘镜像制作,支持最新内置Apple T2加密芯片的机型的加密磁盘获取及解密,支持制作为E01、Ex01和DD等镜像格式,支持直接访问苹果文件系统分区中所有文件,并提取特定的数据文件。兴百邦技术团队对苹果实体店Apple Store中近3年销售的机型进行测试,实现100%兼容。

支持苹果专用TDM模式取证 (仅限旗舰版本),支持通过雷电(ThunderBolt2或ThunderBolt3)对目标计算机(苹果电脑系列)进行高速硬盘数据镜像、预检及取证分析等。支持对Fusion混合磁盘及CoreStorage的苹果电脑的硬盘镜像获取,无需再重组文件系统,支持苹果最新macOS10.13(带APFS文件系统)的磁盘的获取

  • 支持内置TPM加密芯片的加密磁盘获取与解密

兴百邦技术团队对微软Surface、Thinkpad、DELL等内置TPM加密芯片的电脑进行了大量测试,取证前锋可完美支持所有Surface系列机型(基于ARM架构的Surface1和2代除外)的证据固定,也支持其它内置TPM v2.0加密芯片硬件,且默认开启设备加密的电脑的磁盘获取及解密。

微软的Surface系列电脑都内置TPM加密芯片,使用本地帐户登录即默认启用设备加密(Device Encryption),它是一种基于TPM芯片的BitLocker简单加密机制,加密机制与用户密码设置无关。此外,取证前锋同时支持微软账户登录模式下的BitLocker加密磁盘数据获取与数据解析(需提供用户密码或恢复密钥)。

  • 其它市场主流品牌电脑取证

经过前期大量的设备实测,取证前锋支持大部分市场主流笔记本、基于Intel架构的平板电脑(小米、华为、戴尔、SONY、华硕等)、台式机及服务器进行不拆硬盘的镜像获取,固定现场电子证据。

联系我们

在线咨询:

电话:0592-3278928

邮件:support@binarydata.cn

工作时间:周一至周五,9:30-18:30,节假日休息

QR code