申明:本文作者為郭弘、徐志強,出版于2016年3月《保密科學(xué)技術(shù)》第66期,引用或轉發(fā)本文內容請注明出處。
? ?電子數據取證技術(shù)在國外已經(jīng)發(fā)展了三十多年,早期主要在歐美執法部門(mén)和司法機關(guān)使用。大多數的商業(yè)化取證工具則是在2000年后研發(fā)并在實(shí)戰中投入使用。國際上比較知名的電子數據取證企業(yè)有Guidance Software、AccessData、MicroSystemation、Paraben、Logicube、ICS、X-Ways、Cellebrite、Oxygen等。隨著(zhù)電子數據取證技術(shù)的日益成熟,以及越來(lái)越多的執法人員加入企業(yè),從事合規調查、反欺詐調查、稽核監察等內部調查,該技術(shù)逐步被越來(lái)越多的國內外知名企業(yè)所接受,并用于企業(yè)的內部調查。
? ? 當前,中國在電子數據取證領(lǐng)域的研發(fā)實(shí)力和技術(shù)積累已經(jīng)走在國際前列,擁有了包括電子數據取證的硬件(硬盤(pán)復制機、只讀鎖、取證工作站)以及取證軟件(計算機取證分析、手機取證分析)等全系列自主研發(fā)的取證產(chǎn)品,成為繼美國后第二個(gè)擁有電子數據取證軟硬件綜合研發(fā)能力的國家。中國的電子數據取證實(shí)驗室預計已經(jīng)超過(guò)600家,并逐步通過(guò)資質(zhì)認定和實(shí)驗室認可來(lái)進(jìn)行規范管理。
? ? 硬盤(pán)復制機、只讀鎖、取證工作站等裝備是電子數據取證過(guò)程中常用的設備,有些設備體積小,便攜性好,常用于現場(chǎng)勘查取證;有些則體積較大,適用于固定場(chǎng)所(如電子數據取證實(shí)驗室)。當前,硬盤(pán)復制機、只讀鎖及取證工作站等取證產(chǎn)品已經(jīng)相對成熟,接口也相對比較齊全、速度不斷大幅提升,但是在技術(shù)升級及應用方面缺乏創(chuàng )新。隨著(zhù)歐美電子數據取證市場(chǎng)的日益飽和,電子數據取證廠(chǎng)商的業(yè)務(wù)拓展舉步維艱,研發(fā)投入也大幅減少,這也是導致電子數據取證軟硬件裝備創(chuàng )新不足的主要原因。
? ? 硬盤(pán)復制機,又稱(chēng)為克隆機,是電子數據取證中最常見(jiàn)的鏡像設備。它基于位對位(bit by bit)方式對硬盤(pán)進(jìn)行復制。硬盤(pán)復制機一般有源盤(pán)和目標盤(pán)兩種接口分類(lèi),源盤(pán)接口通常啟用寫(xiě)保護模式,目標盤(pán)則是讀寫(xiě)模式。早期硬盤(pán)復制受限于硬盤(pán)I/O性能,多數IDE及SATA硬盤(pán)復制速度在3~4GB/Min,如同時(shí)計算硬盤(pán)哈希值(MD5),則性能進(jìn)一步下降。隨著(zhù)硬盤(pán)復制設備硬件的更新?lián)Q代,SATA/SAS接口的硬盤(pán)成為主流,硬盤(pán)I/O性能大幅提升,較新的硬盤(pán)復制機對機械硬盤(pán)進(jìn)行復制,性能可高達7GB/Min,支持同時(shí)計算MD5哈希值且不降低性能。如果對于源盤(pán)和目標盤(pán)均采用固態(tài)硬盤(pán)進(jìn)行復制,速度則可高達26GB/Min以上。當前主流的硬盤(pán)復制機多數支持了各種主流接口,包括IDE、SATA、SAS、USB,而SCSI接口硬盤(pán)采用轉換卡進(jìn)行轉化。
? ? 只讀鎖,又稱(chēng)為寫(xiě)保護設備,對應英文名稱(chēng)是Write Blocker或Forensic Bridge。只讀鎖分為硬件只讀鎖和軟件只讀鎖。由于軟件只讀鎖是通過(guò)軟件來(lái)實(shí)現存儲介質(zhì)的保護,系統環(huán)境不可靠可能造成無(wú)法安全保護數據。因此在司法取證領(lǐng)域,為了確保可靠性,通常建議采用硬件只讀鎖。
? ? 早期的只讀鎖主要采用USB2.0及Firewire(火線(xiàn))接口,隨著(zhù)硬盤(pán)容量的增長(cháng),其傳輸速度跟不上實(shí)際的需求,逐步采用eSATA及USB3.0接口。雖然數據的讀取速度得到大幅提升,但是數據傳輸仍然存在帶寬限制。此外,由于之前的USB3.0芯片控制器技術(shù)不是很成熟,部分只讀鎖在使用一段時(shí)間后,會(huì )產(chǎn)生設備發(fā)熱、接口連接不牢固及其他外界因素導致設備可靠性較差的情況,導致硬盤(pán)鏡像時(shí),出現數據獲取不完整或哈希校驗不一致等問(wèn)題。
目前,市場(chǎng)上主流的只讀鎖設備分為兩類(lèi):?jiǎn)我唤涌谥蛔x鎖和多功能綜合只讀鎖。常見(jiàn)的多功能綜合只讀鎖支持對IDE、SATA、SAS、SCSI、USB、Firewire等接口的存儲介質(zhì)進(jìn)行寫(xiě)保護。此外,也有針對數碼設備存儲卡(SD卡、記憶棒等)進(jìn)行寫(xiě)保護的存儲卡只讀讀卡器。
? ??早期,電子數據取證人員通常需要攜帶大量的取證設備前往涉及電子證據的案件現場(chǎng),這些取證設備包括:硬盤(pán)復制機、只讀鎖、取證軟件及筆記本電腦,它們都是電子數據取證勘查箱中標配的工具。由于這些取證設備或軟件相對獨立使用,因此,取證人員需在多個(gè)不同設備或軟件之間切換操作,流程繁瑣且效率低下。此外,硬件只讀鎖與筆記本電腦的連接還經(jīng)常存在接口連接不牢靠的現象,經(jīng)常出現意外狀況導致數據獲取或數據分析中斷,浪費了大量時(shí)間。針對現場(chǎng)勘驗的問(wèn)題與現狀,國內廠(chǎng)商將硬盤(pán)復制機、只讀鎖、取證軟件及筆記本電腦等軟硬件結合起來(lái),于2010年研發(fā)并推出取證一體機,將硬盤(pán)復制、計算機取證分析、動(dòng)態(tài)仿真取證三大功能結合,讓取證人員在現場(chǎng)通過(guò)一臺專(zhuān)業(yè)設備即可完成電子數據的證據固定、數據的快速分析、深度分析以及動(dòng)態(tài)仿真取證等工作。取證一體機從2011年開(kāi)始廣泛被一線(xiàn)取證人員所接受,在國內眾多執法部門(mén)廣泛使用。
? ? 取證分析工作站一般是電子數據取證實(shí)驗室中的重要組成部分。由于計算機取證分析離不開(kāi)高性能的工作站,因此,國外的取證集成廠(chǎng)商(如Digital Intelligence)研發(fā)一系列取證分析工作站。這種工作站集成了電子數據取證常用的只讀接口及計算機取證分析軟件等,便于取證人員進(jìn)行各種鏡像及數據分析。在國外,電子數據取證的人員分工較為細致,現場(chǎng)勘驗人員和數據分析人員一般由不同人來(lái)處理。因此國外取證分析工作站多數只配備一個(gè)多功能綜合只讀鎖,設備主要的目的是提供高性能處理能力,即使需要做硬盤(pán)鏡像,也只是逐個(gè)硬盤(pán)進(jìn)行制作,未采用并行制作方式。不管是使用硬盤(pán)復制機還是采用取證分析工作站,通常只能一次對1至2個(gè)硬盤(pán)進(jìn)行鏡像,效率較為低下。
? ? 在中國情況則有些不同,執法人員在案件調查過(guò)程中經(jīng)常遇到大量的硬盤(pán)需要進(jìn)行證據固定及取證分析的情況,某些案件可能一次性就要處理幾十甚至上百個(gè)硬盤(pán)。因此,取證人員需要能一次性并行對多個(gè)硬盤(pán)進(jìn)行鏡像以及并行高效分析的取證工作站。
? ? 在計算機取證分析軟件方面,除了美國Guidance Software公司的EnCase、美國AccessData公司的FTK,還有德國X-Ways的X-Ways Forensics,這三款軟件是目前國際上比較主流的計算機取證分析工具,功能上也不斷豐富和完善。EnCase在全球擁有最多的用戶(hù)群,并擁有一定數量的EnScript腳本編程愛(ài)好者,深受歐美專(zhuān)家級調查人員喜愛(ài),其條件表達式(Conditions)可自定義程度高,使用起來(lái)非常靈活。而FTK則操作簡(jiǎn)單,過(guò)濾器也相當靈活,能滿(mǎn)足調查員各種過(guò)濾要求,此外取證結果集中匯總進(jìn)行查看,相當直觀(guān),無(wú)需過(guò)多的培訓即可實(shí)現主要的數據分析目的。X-Ways Forensics則是一款輕量級計算機取證工具,軟件無(wú)需安裝,功能也十分強大,具備EnCase、FTK的大部分功能,其在數據恢復、圖片模糊搜索及膚色檢測、視頻抽幀等方面有自己的特色。
? ? 此外,俄羅斯Belkasoft也研發(fā)了Belkasoft Evidence Center計算機取證分析工具,其特點(diǎn)是支持眾多國內外即時(shí)通訊軟件、瀏覽器、電子郵件客戶(hù)端工具的數據解析。一直專(zhuān)注于電子郵件取證分析的澳大利亞Nuix公司也開(kāi)始嘗試將其產(chǎn)品Nuix轉變?yōu)榫C合取證分析軟件,推出Nuix Investigator產(chǎn)品,功能也十分強大,具備EnCase、FTK等常見(jiàn)取證功能,支持上網(wǎng)記錄分析、系統痕跡分析、注冊表分析、視頻抽幀等功能。
? ? 在中國,上海盤(pán)石SafeAnalyzer是國內最早的計算機取證分析產(chǎn)品,早期吸收借鑒了國外取證軟件EnCase和FTK的優(yōu)點(diǎn),是一款功能齊全、操作簡(jiǎn)單的計算機取證分析軟件。 美亞柏科 “取證大師”將靜態(tài)取證、自動(dòng)取證、動(dòng)態(tài)取證等功能集成于一體,已成為國內電子數據取證分析人員必備的分析系統。
? ? 國產(chǎn)計算機取證分析軟件與國外取證軟件(EnCase、FTK、X-Ways Forensics)相比,實(shí)用性較強,能支持本地應用軟件的取證分析。主要體現在除了支持國外主流的各類(lèi)應用軟件解析,還支持國內本地化的各種軟件的數據提取與分析,能快速解析國內各種瀏覽器(IE、Firefox、Chrome、360瀏覽器、獵豹瀏覽器、世界之窗等)的上網(wǎng)記錄信息,快速提取各種網(wǎng)絡(luò )下載工具的下載記錄信息,免密碼提取多種即時(shí)通訊軟件(Skype、MSN、汪汪等)聊天記錄信息,有效分析多種客戶(hù)端(Outlook Express、Office Outlook、Foxmail、網(wǎng)易郵等)的郵件內容。
? ? 隨著(zhù)大容量硬盤(pán)的日益普及,取證人員面向的數據成倍增長(cháng),計算機取證的方式將逐步從傳統的單兵作戰轉向協(xié)同作戰。可以預見(jiàn),未來(lái)幾年,分布式取證與協(xié)同取證將成為取證的新模式。分布式取證涵蓋了計算機分布式取證、分布式密碼恢復取證。目前,分布式計算機取證系統主要有美國AccessData AD Lab產(chǎn)品和美亞柏科的“取證金剛”,而分布式密碼恢復系統主要有美國AccessData的DNA、俄羅斯Passware Kit Forensic、俄羅斯Elcomsoft Distributed Password Recovery、美亞柏科“極光”系統,目前幾個(gè)廠(chǎng)商的產(chǎn)品均支持硬件(GPU、FPGA)加速,相比傳統的分布式密碼恢復要提高好幾個(gè)數量級。
? ? 分布式處理數據快速自動(dòng)找出所需的證據是分布式取證的一個(gè)發(fā)展方向。AccessData公司的AD Lab (早期名為FTK Lab)是一款基于FTK取證分析軟件研發(fā)的分布式取證系統,采用MSSQL Server作為數據存儲服務(wù),具備利用多個(gè)計算機節點(diǎn)協(xié)同分析同一個(gè)證據文件或多個(gè)證據文件的能力,并提供了用戶(hù)權限管理、多用戶(hù)協(xié)同分析、Web審閱、電子郵件去重及增強OCR識別等功能。
? ? 大多數計算機取證軟件(如EnCase、FTK、X-Ways Forensic)支持Mac OSX文件系統解析,然而對系統中的應用程序數據解析支持甚少,多數只會(huì )提取日志文件,也沒(méi)有提供分析所需的功能。正是因為主流取證軟件對Mac OSX支持較弱,國外的SubrosaSoft、BlackBag、Sumuri等公司研發(fā)了針對蘋(píng)果取證的工具。此類(lèi)工具基本分為兩種,一種是在線(xiàn)獲取數據,如SubrosaSoft LockPickup、Recon for Mac OSX、BlackBag MacQuisition及Katana Lantern Imager,第二種是離線(xiàn)靜態(tài)數據分析,如MacForensicLab、BlackBag Black Light、Katana Lantern 5等工具。
? ? 近幾年,國內的取證廠(chǎng)商也均研發(fā)了針對蘋(píng)果取證的產(chǎn)品,如盤(pán)石軟件SafeImager蘋(píng)果版,支持通過(guò)LiveCD啟動(dòng)Power PC和Intel架構的蘋(píng)果計算機,支持對硬盤(pán)的全盤(pán)鏡像及各類(lèi)數據的獲取及解析。美亞柏科DC-8670多通道高速數據獲取設備支持通過(guò)ThunderBolt、USB3.0及火線(xiàn)等多個(gè)接口并用,快速對蘋(píng)果計算機進(jìn)行全盤(pán)鏡像制作,而蘋(píng)果系統Mac OSX的取證分析則使用計算機取證分析工具“取證大師”來(lái)進(jìn)行分析,支持對Mac OSX下的多種郵件客戶(hù)端、瀏覽器、聊天工具及系統信息進(jìn)行數據的解析。
? ? 隨著(zhù)移動(dòng)終端的迅速發(fā)展,利用移動(dòng)終端進(jìn)行各類(lèi)非法或犯罪行為呈上升趨勢,這使得電子數據取證的主要目標從存儲介質(zhì)向移動(dòng)終端延伸。由于移動(dòng)終端更新?lián)Q代速度非常快,操作系統多樣,且移動(dòng)終端的運行機制不同于傳統計算機設備,因此移動(dòng)終端取證設備的開(kāi)發(fā)難度超過(guò)介質(zhì)取證設備。從近幾年的案件發(fā)展趨勢來(lái)看,未來(lái)一個(gè)時(shí)期將會(huì )是移動(dòng)終端取證快速發(fā)展的黃金期。
? ? 2014年5月,美國國家標準與技術(shù)研究院NIST發(fā)布了移動(dòng)終端取證的操作指南NIST SP 800-101 Revision 1 《Guidelines on Mobile Device Forensic》,將移動(dòng)終端的取證分為5個(gè)層次:微讀、芯片分析、十六進(jìn)制鏡像/JTAG、邏輯分析以及人工分析。
? ? NIST發(fā)布的《移動(dòng)終端取證的操作指南》NIST SP 800-101 Revision 1 《Guidelines on Mobile Device Forensic》還列出了一些移動(dòng)終端取證設備對應支持的提取層級。表1列出了幾款主流移動(dòng)終端取證設備對應支持的提取層級。
手機系統仿真是目前手機取證中的一種新興的技術(shù),手機仿真取證是指通過(guò)提取手機系統數據,在專(zhuān)用取證設備上運行手機仿真器,模擬手機運行環(huán)境,運行并登錄手機應用程序,進(jìn)行數據瀏覽和分析。同時(shí),在仿真過(guò)程,可實(shí)時(shí)抓取應用程序的通訊數據,分析應用程序的行為特征。整個(gè)仿真過(guò)程不破壞手機環(huán)境及用戶(hù)數據,對案件手機數據起到有效的保護。
? ? 手機動(dòng)態(tài)仿真取證的應用價(jià)值體現在以下四個(gè)方面:(1)手機在線(xiàn)仿真、截圖輔助證據:提取手機應用數據進(jìn)行在線(xiàn)仿真,通過(guò)仿真模擬器查看手機QQ、微信、新浪微博等數據,進(jìn)行調查分析并截圖作為取證報告輔助證據,且不破壞原有手機數據的完整性及有效性。(2)手機鏡像離線(xiàn)仿真、截圖輔助證據:手機提取鏡像后,歸還嫌疑人后,通過(guò)手機仿真系統,可以加載鏡像進(jìn)行離線(xiàn)仿真。通過(guò)仿真模擬器上查看手機QQ、微信、新浪微博等數據,進(jìn)行調查分析并截圖取證。(3)查看微信紅包、公眾號文章等詳細信息:由于微信紅包數據只保存在服務(wù)器,本地為實(shí)時(shí)讀取,數據庫不保存,因此無(wú)法通過(guò)手機取證系統提取微信紅包詳細信息。此時(shí),可以通過(guò)手機仿真系統仿真后聯(lián)網(wǎng)查看,可以查看紅包的金額、個(gè)數等信息,廣泛應用在近期打擊利用微信紅包進(jìn)行網(wǎng)絡(luò )賭博的違法行為中。其他如微信公眾號文章等信息,同樣可以通過(guò)手機仿真系統在線(xiàn)瀏覽和截圖取證。(4)手機木馬及惡意軟件分析:在聯(lián)網(wǎng)情況下,手機仿真系統可以實(shí)時(shí)通訊抓包,生成的抓包文件可以用第三方Wireshark軟件進(jìn)行數據包分析,可用于手機木馬、惡意軟件分析及安全調查。
? ? 在移動(dòng)互聯(lián)網(wǎng)、云計算以及物聯(lián)網(wǎng)為代表的新一代網(wǎng)絡(luò )快速發(fā)展的背景下,網(wǎng)絡(luò )社會(huì )與物理社會(huì )相互交織、融為一體,改變了傳統的互聯(lián)網(wǎng)計算模式和體系結構,也改變了傳統的取證方式。如何研制出在新型網(wǎng)絡(luò )環(huán)境下進(jìn)行電子數據取證的工具成為取證廠(chǎng)商亟待解決的一大難題。因此,加大電子數據取證工具的研究力度勢在必行。展望未來(lái),電子數據取證工具將會(huì )向著(zhù)以下幾個(gè)方向發(fā)展:
1.?高速化、自動(dòng)化、專(zhuān)業(yè)化與智能化發(fā)展
? ? 如今,電子證據以不同形式分布在計算機、路由器、入侵檢測系統和移動(dòng)存儲等不同設備上。此外,數字設備的存儲能力以超過(guò)莫爾定律的速度增長(cháng),經(jīng)常涉及海量數據,如果依靠人工來(lái)實(shí)現,取證的速度和可靠性將大大降低。所以,未來(lái)需要功能更強、速度更快、自動(dòng)化程度更高的取證工具,才能有效進(jìn)行電子數據取證。取證工具也將不斷利用數據挖掘、人工智能以及硬件加速技術(shù)(如多核技術(shù)等)增強其智能化,以應對大數據量、復雜數據的取證分析能力。綜上,取證工具必須高速化、自動(dòng)化、專(zhuān)業(yè)化與智能化,才能提高和滿(mǎn)足不同領(lǐng)域電子數據取證調查需求。
? ? 目前,取證工具對于手機取證領(lǐng)域的固有難點(diǎn),如刪除圖片恢復、密碼破解等,依然存在短板。因此,新型智能終端的數據刪除恢復也是取證工具研究的重要方向,主要包括基于鏡像的簽名恢復。另一方面是針對應用數據的存儲容器如SQLite、ESE進(jìn)行記錄級的刪除數據恢復,恢復已刪除的應用APP數據等。隨著(zhù)檢驗技術(shù)的發(fā)展,可以預見(jiàn)在未來(lái)將會(huì )有一定程度的突破。
? ? 此外,智能手機上會(huì )有更多的數據加密以保護個(gè)人隱私和企業(yè)數據,這將使取證更具挑戰性。Android5.0采取的全盤(pán)加密、國產(chǎn)手機的自主安全機制(聯(lián)想、華為、小米等),雖然都基于A(yíng)ndroid操作系統,但卻為取證工作帶來(lái)不少困難。蘋(píng)果取證領(lǐng)域雖然近一段時(shí)間在數字密碼暴力破解方面有一定突破,一旦系統漏洞修復,蘋(píng)果的取證將依然成為業(yè)內難題。在未來(lái)幾年,能幫助找到避開(kāi)密碼和設備鎖方法的手機取證工具以及先進(jìn)的加密技術(shù)將是發(fā)展趨勢。
? ? 移動(dòng)互聯(lián)網(wǎng)將全球計算機網(wǎng)絡(luò )、移動(dòng)網(wǎng)絡(luò )和物聯(lián)網(wǎng)等連接在一起,加上網(wǎng)絡(luò )訪(fǎng)問(wèn)具有較強的隱藏性以及匿名性,使得遠程跨域取證異常困難。當前有很多基于IDS的取證系統以及網(wǎng)絡(luò )取證系統,但是這些系統的取證范圍也常常是一些較小的單位網(wǎng)絡(luò ),如政府、企業(yè)網(wǎng)等。對于跨域發(fā)生的安全事件來(lái)說(shuō),如何進(jìn)行取證、如何進(jìn)行遠程跟蹤事件等目前缺乏有效的方法。因此,研究有效的遠程跨域取證工具將成為電子數據取證中的一個(gè)研究方向。
4.面向移動(dòng)終端的現場(chǎng)取證工具
? ? 隨著(zhù)移動(dòng)終端類(lèi)檢材的主流趨勢,可以預見(jiàn)的是現場(chǎng)取證工具將不再局限于計算機類(lèi)檢材的數據快速獲取和指定類(lèi)型數據的恢復獲取。隨著(zhù)手機與個(gè)人電腦概念的趨同,現場(chǎng)取證工具必定在原有基礎上,涵蓋手機、計算機、平板等數字產(chǎn)品的證據固定和快速獲取功能,這也必將是現場(chǎng)取證工具的發(fā)展方向。現場(chǎng)取證工具也將進(jìn)一步結合后端平臺,實(shí)現高性能計算、高度智能化等功能,現場(chǎng)獲取的數據可直接進(jìn)入平臺,并實(shí)現綜合的案件線(xiàn)索情報查詢(xún)及關(guān)聯(lián)分析。
? ? 隨著(zhù)科技的快速發(fā)展,已經(jīng)涌現了各種智能設備,如智能手表、智能手環(huán)、智能眼鏡、智能家電、智能汽車(chē)、智能自行車(chē)、無(wú)人機、增強現實(shí)(AR)和虛擬現實(shí)(VR)等智能設備。各類(lèi)智能設備的硬件、軟件系統都將不斷升級,對于電子數據取證來(lái)說(shuō),如何獲取智能設備中的數據、解析其數據內容,分析出使用者的行為、軌跡、發(fā)生的事件等均是未來(lái)研究的方向。
? ? 隨著(zhù)移動(dòng)智能終端、可穿戴設備及非智能嵌入式終端等普及應用,越來(lái)越多的案件調查涉及此類(lèi)設備。設備若出現故障、無(wú)法通過(guò)正常的通訊接口獲取數據或遇到有安全保護措施(如密碼保護),往往需要通過(guò)將芯片拆卸并獲取其數據內容。研究各類(lèi)芯片取證技術(shù),包含芯片物理提取、數據獲取、數據解析、數據恢復和鏡像仿真技術(shù)是電子數據取證的未來(lái)研究方向。
? ? 電子數據取證技術(shù)是一門(mén)跨領(lǐng)域的綜合性學(xué)科,因此必將通過(guò)和其他數字技術(shù)進(jìn)行結合才能取得發(fā)展,要克服當前的局限性就要吸收多學(xué)科的研究成果。隨著(zhù)移動(dòng)互聯(lián)網(wǎng)技術(shù)、云計算、大數據以及物聯(lián)網(wǎng)技術(shù)等各種新技術(shù)不斷涌現,必將對電子數據取證技術(shù)的發(fā)展產(chǎn)生較大的影響。而在這種情況下,只有通過(guò)有效的結合手段才能推動(dòng)電子數據取證技術(shù)的發(fā)展。因此,電子數據取證工具也必須要結合人工智能、機器學(xué)習、神經(jīng)網(wǎng)絡(luò )和數據挖掘等技術(shù)進(jìn)行開(kāi)發(fā),這也是取證工具今后的發(fā)展方向之一。