1. 云存儲及應用取證工具

　　隨著國內(nèi)外云存儲及云應用的日益普及，越來越多的案件涉及對百度云、騰訊微云、金山快盤、360云盤、iCloud Drive、OneDrive、Dropbox等云存儲進行取證，然而現(xiàn)階段缺乏相應的取證工具。

　　在眾多云盤中，部分云盤（如360云盤及金山快盤）采用了一些加密手段，要對加密的云盤應用進行取證，還需進行相應的逆向分析。目前，取證大師已經(jīng)支持國內(nèi)及國際主流云存儲的痕跡取證，包括騰訊微云、金山快盤、360云盤、iCloud Drive等。例如，百度云管家痕跡取證結(jié)果如圖1所示。

　　圖1  百度云管家痕跡取證結(jié)果窗口

　　2. 互聯(lián)網(wǎng)云應用及公開數(shù)據(jù)取證工具

　　目前，國內(nèi)已經(jīng)涌現(xiàn)多家第三方存證平臺，為社會提供服務。取證人員、公證人員及律師等均可以通過此類平臺及時有效地對互聯(lián)網(wǎng)上的網(wǎng)站、微博、微信朋友圈、百度文庫等網(wǎng)絡空間存在的侵權內(nèi)容或頁面進行證據(jù)獲取并固定。

　　網(wǎng)站動態(tài)取證系統(tǒng)（Site Analyzer）是一款多任務多線程的網(wǎng)站動態(tài)跟蹤分析工具，并結(jié)合第三方電子數(shù)據(jù)“存證云”服務，對接司法鑒定機構，為計算機取證提供法律效力保障。主要取證功能如下：實現(xiàn)目標網(wǎng)站的爬取、目標網(wǎng)站的目錄重構；支持爬取過程中，對目標網(wǎng)站鏈接的過濾，只爬取用戶想要的鏈接；實現(xiàn)目標網(wǎng)站的資源信息的獲取，并在本地展現(xiàn)；支持Cookie獲?。唤仄凉δ?；實現(xiàn)截取非法論壇圖片到本地作為有力證據(jù)；實現(xiàn)截取非法論壇圖片的配置，只截取所需要的內(nèi)容。網(wǎng)站動態(tài)取證系統(tǒng)模型如圖2所示。

　　圖2  網(wǎng)站動態(tài)取證系統(tǒng)模型

　　“存證云”是一個第三方電子數(shù)據(jù)證據(jù)服務平臺，最大的特點是將第三方證據(jù)與司法鑒定無縫對接，通過網(wǎng)站、PC客戶端及手機客戶端，為用戶提供電子數(shù)據(jù)前期規(guī)范取證、中期安全存證以及后期便捷出證的一站式綜合服務，有效解決了目前計算機取證過程中遇到的取證手段有限、證據(jù)效力不高以及傳統(tǒng)司法鑒定服務不夠便捷的問題。

　　3. 云主機取證

　　云計算經(jīng)過幾年的發(fā)展，國內(nèi)外涌現(xiàn)不少提供云主機服務的提供商。例如，Amazon、阿里云等均提供了云主機。然而云主機具有以下特點：超大規(guī)模，存儲位置難以定位；動態(tài)擴展，負載均衡，位置遷移；同構互換，容錯備份，位置變化；持續(xù)寫入，存儲數(shù)據(jù)瞬間消失。因此給云主機取證帶來了諸多挑戰(zhàn)。

　　云主機取證的常見步驟有：明確目標所屬云服務類型（SaaS、PaaS或 IaaS）；確認云主機所在位置、獲得管理權限；獲得云服務提供商的支持（如提供云主機系統(tǒng)的硬盤完整數(shù)據(jù)、數(shù)據(jù)文件、日志文件及相關特定數(shù)據(jù)文件）。目前，云主機采用的軟件平臺主要有Vmware、Windows Azure、Amazon等。至今對云主機取證沒有專門的工具，一般需要根據(jù)實際情況開展相應的數(shù)據(jù)獲取與數(shù)據(jù)分析。云主機取證中的云服務類型如圖3所示。

　　圖3  云主機取證中的云服務類型