电子数据取证中常用序列号来唯一标识检材。在检材的众多属性中,一般只有序列号可以出厂即固定且长期不变,所以理所当然被作为唯一标识信息的首选。但是,序列号真的就永远可以唯一标识一个检材?

一个案件中,被告对鉴定意见书中提到的优盘提出了质疑,称鉴定的优盘并不是他的优盘,因为序列号对不上。原来嫌疑人对电子数码比较感兴趣,平时有对优盘进行各种折腾操作的经历,正好对其优盘的序列号有印象。嫌疑人后来甚至还找到了一张以前的电脑截图,截图里是小工具USBTreeView的运行截图,里面可以看到优盘的序列号,确实与鉴定意见书中记录的不一致。

一番扯皮后,法院决定对有异议的优盘进行重新鉴定。鉴定人按照第一份鉴定意见书中提到的步骤,使用取证大师对优盘序列号进行获取,得到的结果和第一份鉴定意见书中的一致。使用FTK Imager进行检验,结果也一样。难道嫌疑人在说谎?但使用嫌疑人提到的工具USBTreeView查看,还真的可以看到另外一个序列号。

这一切到底怎么回事?为什么这么多取证软件在这里翻车?其实,这里的坑,会让不少取证软件都翻车,而且肯定已经翻车无数次了,只是没有被人注意到。

这一现象很容易复现。

下面一个朗科的优盘,本人之前常用的型号。

请输入图片描述

用取证大师加载优盘直接看,序列号为AA00000000000489。

请输入图片描述

用FTK Imager加载查看,序列号依然为AA00000000000489。

请输入图片描述

使用EnCase Imager查看,序列号却为AA00000000007275。

请输入图片描述

使用USB Tree View查看,序列号也为AA00000000007275。

请输入图片描述

在资源管理器中右击优盘,选择“属性”,然后依次点击“硬件”、“属性”,“详细信息”,然后在“属性”中选择“父系”,也可以看到和EnCase Imager中一致的AA00000000007275。

请输入图片描述

其实,造成这种情况的原因是Windows中使用不同方法获取优盘序列号,确实可能得到不同的结果。本人经过一番测试,通过PowerShell分别获取到了这两种序列号。

使用命令Get-WmiObject Win32_PhysicalMedia可以获取到序列号AA00000000000489。

请输入图片描述

使用命令Get-Wmiobject Win32_USBControllerDevice可以获取到序列号AA00000000007275。

请输入图片描述

其实,如果使用X-Ways,这两种序列号都可以获取到。新建案例加载优盘后,右击属性,即可在案件描述中看到这两个序列号。

请输入图片描述

一入取证深似海!

标签: none

添加新评论