取出證據,就是要從計算機裝置中獲取資訊,供案、事件調查使用。對一台處於關機狀態的計算機來說,所有東西都存在了硬碟;正在執行的計算機,記憶體中儲存了系統當前執行的狀態中。儘管電子取證標準中,被檢查的計算機室不允許開機的,但不開機就無法看到計算機的面目,相關技術也值得研究和學習。
目前從實現的角度來看,硬碟分為機械式硬碟和ssd硬碟等,但是從資料獲取上來看,除了物理獲取這一方式,其他的都大同小異。
當被檢查的計算機處於關機狀態下,且不可拆機的時候,可以使用取證專用的linux可啟動光碟。這是因為現代作業系統一般都支援頁交換,當硬碟中某個分割槽被掛載之後,就存在被作業系統作為頁交換空間的風險,且取證人員的誤操作也會影響相關分割槽的資料。linux的相關設定比較好做、有文件支援、不涉及版權問題。
第二種方法是用硬碟複製機來複製硬碟,硬碟複製機一端連線源硬碟,一端連線目標硬碟,將源硬碟中的資料位元組複製到目標硬碟中。
第三種方法是利用取證計算機複製硬碟,在使用唯讀介面將源硬碟與取證計算機連線起來之後,如果取證計算機中安裝的是linux作業系統,就可以使用dd程式複製硬碟,如果是windows作業系統,可以通過製作dd映象,通過純二進位制形式的複製也能得到硬碟的dd映象。
當證據取出後,可以對其進行hash運算,以固定電子資料。
硬碟拿下來之後,接著就是分析。一塊硬碟中的分割槽,其實並不全都可被使用者使用,在計算機的磁碟管理中,我麼可以看到有1~2個沒有碟符的系統保留分割槽。而在手機中,不能被使用者使用的分割槽就更多了。所以大多數情況下,我們只去檢查以讀寫模式掛載的分割槽就可以了。
從硬碟映象中解析出各個分割槽的方法,要根據mbr或者gpt分割槽方案來判斷。在系統啟動之初,bios載入mbr並將控制權交託給mbr。mbr中的**會管理分割槽的劃分。
傳統的資料恢復原理利用了檔案系統的優化措施,檔案系統就是分割槽。在乙個檔案複製入檔案系統時,會將有關資訊記錄在檔案登入項中。正是因為硬碟的i/o需要時間,所以把檔案的內容寫入對應的資料塊也需要一定的時間。刪除的時候只需要在登入項中,對其做乙個「已經釋放」的標記。
常見的資料恢復工具包括winhex、r-stuidio、easyrecovery、finaldata,以及常見的取證工具ftk、safeananlyzer、encase等。列出檔案時,已經被釋放的檔案也會展現出來。
因此,以上我們得出的結論就是,檔案刪除後沒有任何資料寫入檔案系統的情況下,才可以成功。必要的,應該立即拔掉電源。
但大多時候,面對的是檔案已經被覆蓋了,分為以下三種情況:
原檔案登記項被覆蓋了,但是原檔案占用的資料塊沒有被影響。可以使用各種資料恢復工具和電子取證工具只針對分割槽進行掃瞄,根據資料恢復時所使用的計算機效能、儲存裝置的效能、分割槽中當前資料的複雜程度,對大小正常的分割槽的掃瞄耗時以小時為單位計。
原檔案登入項沒有受到影響,但是原檔案占用的資料塊全部或部分被覆蓋了。好像專業的技術人員更喜歡處理這種普通工具無法完成的工作。第一種思路是資料在檔案中的儲存編碼尋找資料:如在《頭部缺失的 jpeg 檔案碎片恢復》一文中,犯罪嫌疑人被懷疑傳播兒童色情**,取證者控 製其電腦準備蒐集證據,但是發現裡面的資料已經 被刪除。隨後計算機取證者利用檔案雕復等技術獲 取了大量的影象檔案碎片,遺憾的是大部分恢復出 來的碎片卻並不能正常解碼和顯示出來。究其原因 是因為恢復出來的 jpeg 檔案大部分已經損壞。利用流的自同步特性,從殘缺的資料中推算出中某個片段的初始位置,加上jpg檔案頭來恢復資料。《word檔案雕復技術的研究》一文中,同樣是這種思路來進行修復。另一種思路是根據資料在檔案中的儲存編碼尋找資料。
原檔案登入項被覆蓋,且原檔案占用的資料塊全部或部分被覆蓋。最為險峻的狀況,仍然使用殘缺檔案修復或者特徵碼方法進行恢復。
開門見山來說,要進行記憶體分析,首先要獲得記憶體映象。
如果當前分析的系統在虛擬機器中,我們直接做乙個快照,就可以儲存下來了。
如果分析的系統就在主機當中,且到場的時候電腦處於開機狀態,可以使用膝上型電腦的休眠檔案來獲取系統物理記憶體的映象:
休眠的時候,系統會將物理記憶體備份到c:\hiberfil.sys。
也可以使用專門的工具獲取。在windows中,knttools、fastdump等都可以用於獲取記憶體映象,linux中擇優fmem和lime,但是因為這些工具在獲取時系統仍在執行,可能無法保證記憶體映象中資料的一致性。
在記憶體映象的分析方面,我們可以使用volatility這款工具。volatility是一款開源的記憶體取證分析工具,由python編寫,支援各種作業系統。可以通過外掛程式來拓展功能。kali下整合了該工具,命令列輸入volatility使用該工具。
關於檔案的尋找,可以使用軟體everything
引用於《加密與解密》(第四版)
計算機取證技術
計算機取證技術 供稿人 潘巨集 隨著計算機技術的成熟與廣泛應用,以計算機資訊系統為犯罪物件和以計算機為犯罪工具的各類新型犯罪活動越來越猖獗。計算機取證是將計算機調查和分析技術應用於對存在於計算機和相關外圍裝置中 包括網路介質 的潛在的 有法律效力的電子證據的確定與獲取。目前計算機取證技術已成為世界各...
實戰學習 電子資料取證專題 磁碟檔案分析取證
windows硬碟檔案分析取證 登陸使用者的使用者名稱 背景介紹 犯罪嫌疑人在使用電腦時,登入過www.laifudao.com這個 分析硬碟檔案並找到登入這個 的使用者名稱。實訓目標 1 了解accessdata ftk imager使用方法 2 了解xp儲存的 使用者存放在什麼檔案裡 windo...
記憶體取證 Linux硬碟和記憶體映象取證
在windows系統上,有winhex等神器,可以方便的完成映象取證等工作,如何將linux系統硬碟和記憶體映象資料給winhex等進行分析?除了通過dd等工具映象為檔案外,本文將介紹乙個方法,將更方便的完成該工作。一台被映象取證的電腦執行的linux系統 一台電腦執行的windows系統 兩台電腦...