时间: 2021-06-09 22:27:39 | 作者:人间小美味 | 来源: 喜蛋文章网 | 编辑: admin | 阅读: 109次
通过第三章,我了解到:
一、取证数据获取以三种不同的格式存储:原始格式、专有格式和AFF格式。大多数专有格式和AFF在图像fle中存储有关获取数据的元数据。
二、获取用于取证分析的数据的四种方法是:磁盘到图像文件、磁盘到磁盘副本、逻辑磁盘到磁盘文件或磁盘到数据文件,或者文件夹或文件的稀疏数据副本。1用于取证收购的无损压缩在恢复数据时不会改变数据,这与有损压缩不同。对于大多数数据,无损压缩最多可压缩50%。如果数据已在驱动器上压缩,则无损压缩可能不会节省更多空间。
如果存在从大型驱动器或RAID驱动器获取数据的时间限制或数据过多,则可能需要逻辑获取或稀疏获取。首先咨询你的主管或主管,让他们知道收集所有数据可能是不可能的。你应该有一个应急计划,以确保你有一个法医健全的问答,并作出两次收购,如果你有足够的数据存储。第一次应压缩,第二次应予以解压。如果一项收购腐败,另一项可供分析。
三、.写阻塞设备或实用程序必须与Windows和Linux中的GUI获取工具一起使用。使用测试驱动器而不是可疑驱动器进行练习,并在测试驱动器上使用散列工具来验证数据是否被更改。
四、始终使用来自法医获取程序的内置工具、带有MD5或SHA-1散列函数的十六进制编辑器或Linuxmd5sum或SHA1sum命令验证您的获取。LinuxLiveCD(如SIFT、Kali Linux或TIFT)为获取数字取证提供了许多有用的工具。
五、首选的Linux获取工具是dcfldd,而不是dd,因为它是为取证而设计的。Dcfldd工具也可用于Windows。始终使用dcfldd和md5sum或sha 1 sum的散列特性来确定收购日期。。当使用Linuxdd或dcfldd命令时,请记住倒转可疑驱动器和目标驱动器的输出字段(of=)和输入字段(if=)可以将数据写入。
部分具体内容如下:
一、数字证据存储格式有原始格式,专有格式和高级法医格式。
原始格式
过去,为了保存和审查证据,只有一种实际的复制数据的方法。检查人员从一个磁盘到另一个大小相同或更大的磁盘进行逐点复制.作为一种保存数字证据的实用方法,供应商(以及一些OS实用程序,如Linux/UNIXdd命令)使得将比特流数据写入FLES成为可能。这种复制技术创建了可疑驱动器或数据集的简单顺序平面文件。这些平面文件的输出称为原始格式。这种格式在选择购置格式时有其独特的优点和缺点。原始格式的优点是数据传输速度快,并且可以忽略源驱动器上的小数据读取错误。此外,大多数取证工具都可以读取原始数据,使之成为大多数工具的通用获取格式。原始格式的一个缺点是它需要与原始磁盘或数据集相同的存储空间。另一个优点是,一些原始格式工具,通常是免费软件版本,可能不会收集源驱动器上的mar-ginal(坏)扇区,这意味着它们对驱动器上的弱媒体点重试读取的阈值很低。许多商业工具具有更高的重试读取阈值,以确保收集所有数据。
几种商业获取工具可以生成原始格式的获取,并且通常使用循环冗余检查(CRC 32)、消息摘要5(MD5)和安全哈希算法(SHA-1或更高版本)哈希函数进行验证检查。然而,这些验证检查通常会创建一个包含散列值的单独的fle。
专有格式
大多数商业取证工具都有自己的收集数字证据的格式。支持优先的格式通常提供几个补充供应商分析工具的功能,例如:
压缩或不压缩可疑驱动器的图像文件的选项,从而在目标驱动器上节省空间。
图像分割成较小的分段文件以便存档的功能,如CD或dvd,并将数据完整性检查集成到每个片段中。
将元数据集成到映像fle中的功能,如交换的日期和时间、原始磁盘或媒体的哈希值(用于自我身份验证)、调查人员或检查人员的名称以及注释或案例详细信息。
专有和原始格式的另一个问题是对每个分段卷的fle大小限制。通常,专有格式工具产生650 MB的分段文件。文件大小可以向上或向下调整,每个段的最大文件大小不超过2GB。大多数专有的格式工具只有2GB,因为许多审查员使用格式化为FAT的目标驱动器,其文件大小限制为2GB。
高级法医格式
SimsonL.Garfinkel博士开发了一种名为高级法医格式(Aff)的开源获取格式.这种格式有以下设计目标:
能够产生压缩或未压缩的图像文件
·磁盘到映像文件没有大小限制
图像文件中的空间或元数据的分段文件
·具有可扩展性的简单设计
·多种计算平台和开放源码软件的开放源
·自我认证的内部一致性检查。
二、一些可用于获取数据的取证工具:
除了ProDiscoveren、FTK Imager和X-Ways Forensics之外,可以使用其他商业获取工具:
1、PassMark软件ImageUSB
PassMark软件为其OSForensics分析产品提供了一个名为ImageUSB的获取工具
2、ASRData SMART
ASRDataSMART是一个Linux取证分析工具,可以生成可疑驱动器的图像文件。SMART可以生成专有或原始格式的图像,并包括以下功能:
*强劲地读取驱动器上不良部门的数据
·在写入保护模式下安装可疑驱动器
在读/写模式下挂载目标驱动器,包括NTFS驱动器
·可选压缩方案,以加快获取或减少获取数字证据所需的存储量
3、运行时软件
除了RAID重构器之外,Runtime软件还为数据采集和恢复提供了几个紧凑的共享软件程序,包括用于FAT的DiskExplorer和用于NTFS的DiskExplorer。运行时已经将其工具设计为特定于fle系统的工具,因此可以为FAT和NTFS提供DiskExplorer版本。这些工具为获取需求提供了以下特性:
·创建原始格式的图像文件。
·分割原始格式或压缩图像,以供存档之用。
访问网络计算机驱动器。
全站搜索