磁盘映像取证
数字存储设备,如硬盘驱动器、固态硬盘和USB驱动器,存储着大量数据,这些数据对于数字取证调查至关重要。磁盘映像取证是分析这些设备及其内容以在调查期间寻找有用信息的过程。
在这个实验室中,我们将探索磁盘映像取证的基础知识,包括基本术语以及获取和分析磁盘映像所涉及的步骤。
基本术语
磁盘映像
磁盘映像是整个磁盘(如硬盘驱动器、USB等)或分区的逐位复制,它保留了原始数据的确切内容和结构。它不仅包括文件和文件夹,还包括空白空间、元数据和其他通常不可见的隐藏数据。
磁盘映像制作
磁盘映像制作是创建存储设备(如硬盘驱动器或USB驱动器)的取证副本的过程。这是数字取证中的关键步骤,因为它确保原始数据保持完整且未修改。使用加密哈希来验证副本与原始数据完全相同,确保原始数据未被修改。这种方法允许取证调查员使用副本工作,而不必担心意外更改原始数据。
磁盘映像取证
磁盘映像取证是分析磁盘映像以搜索相关证据的过程。这包括使用像Autopsy和FTK Imager这样的工具来发现有用的信息,并分析系统工件,如Windows注册表、Web浏览器、LNK文件、事件日志、命令提示符历史记录等。
有几种工具可以用于磁盘映像取证,例如Autopsy和FTK Imager。虽然Autopsy在分析期间提供了更多功能,但我们将使用FTK Imager,因为它轻量级的特性。
该工具可以从 https://www.exterro.com/ftk-imager 下载,因此在继续实验室之前,请确保您已经在计算机上安装了FTK Imager。
获取磁盘映像
在本次实验过程中,要使用ftk-imager,这里直接放了国内中文版使用介绍。
【电子取证篇】FTK Imager取证教程合集,看这一篇也够了 https://www.cnblogs.com/ldsweely/p/18137677
分析磁盘映像
一旦磁盘映像被获取,下一步就是分析它以寻找与调查相关的任何证据。
💡 尽管FTK Imager轻量级,但它要求我们事先知道磁盘映像内部存在的文件及其位置。另一方面,Autopsy可以自动解析有用的信息,如图像、互联网历史、地理位置、时间线等。它还可以恢复已删除的文件,在磁盘映像中搜索模式,并生成详细的报告。所以我建议你也探索一下这个工具。
要下载磁盘映像,请使用链接 https://github.com/vonderchild/digital-forensics-lab/blob/main/Lab 06/files/Image.ad1。
要在FTK Imager中打开磁盘映像,请点击“文件”,然后选择“添加证据项”。从那里,选择“映像文件”,并选择您想要分析的磁盘映像。
一旦您在FTK Imager中打开了磁盘映像,您将能够在窗口中看到四个部分:
顶部左侧的证据树,它显示了磁盘映像的层次结构布局。
底部左侧的属性,它显示了与选定文件相关的元数据,如其名称、最后修改和访问日期、md5和sha1哈希值等。
中间靠上的文件列表,它显示了选定分区或映像中文件和目录的列表。
底部的预览,它显示选定文件的预览或十六进制内容。
为了能够探索磁盘映像中的文件系统,我们需要展开位于顶部左侧的证据树:
- 在证据树中,您通常会看到一个或多个磁盘或分区的条目,这些代表了磁盘映像中的物理存储区域。
- 点击证据树中的加号(+)或三角形图标,可以展开相应的磁盘或分区,查看其下包含的文件夹和文件。
- 您可以继续展开文件夹,直到您找到需要分析的具体文件或目录。
- 一旦选定了文件或文件夹,您可以在属性区域查看其详细信息,在文件列表区域查看其他相关文件,在预览区域查看选定文件的内容。
通过这种方式,您可以系统地浏览和分析磁盘映像中的所有数据,寻找与您的调查相关的线索。
在FTK Imager中,当您已经展开了证据树并定位到了磁盘映像的根目录时,您将能够查看该USB驱动器的顶层文件和文件夹。根目录是文件系统层次结构的最顶层,所有其他文件和文件夹都从这里开始分支。
以下是您可能采取的步骤来选择和查看USB驱动器根目录中的文件内容:
定位根目录:在证据树中找到并选择代表USB驱动器根目录的项。
查看文件列表:在FTK Imager的主窗口中,文件列表区域会显示根目录下的所有文件和文件夹。
选择文件:在文件列表中,您可以通过点击文件名来选择您想要查看的文件,例如
note.txt或meme.jpeg。查看文件内容:
- 对于文本文件(如
note.txt),FTK Imager的预览区域可能会直接显示文件的文本内容,或者提供纯文本查看器的选项。 - 对于图像文件(如
meme.jpeg),预览区域将显示图像的缩略图或全尺寸图像。
- 对于文本文件(如
分析文件:您可以利用FTK Imager提供的工具来分析这些文件,比如查看文件的属性、元数据、搜索特定文本字符串、或者执行其他相关的取证分析。
导出文件:如果您需要将文件用于进一步的分析或作为证据保存,FTK Imager通常也提供了导出选定文件的选项。
通过这种方式,您可以有效地查看和分析存储在USB驱动器上的原始文件,帮助您在数字取证调查中找到关键信息。
我们可以通过对磁盘映像中的文件进行右键点击并选择“导出文件”来提取任何可能感兴趣的文件。
磁盘映像中的一些重要文件包括:
- $MFT — 主文件表(Master File Table)是NTFS文件系统中的一个重要文件,它存储了卷上所有文件和目录的信息,包括它们的名称、权限和属性。它还包含有关磁盘上每个文件位置的信息。
- $MFTMirr — 此文件代表MFT镜像(MFT Mirror),用作$MFT的备份,如果原始的$MFT损坏,它至关重要。
- $LogFile — 此文件记录了元数据(MFT区域)的事务日志信息,可用于从系统崩溃中恢复。
对于分析这些文件,有几种工具可用,例如analyzeMFT或MFTECmd,这些工具可以在 https://ericzimmerman.github.io/#!index.md 下载。
💡 磁盘映像中可能还有许多其他文件,如$Boot、$Secure、$Volume等。然而,我鼓励您作为您学习过程的一部分,自行探索这些文件。
结论
在这个实验室中,我们首先了解了一些基本术语,然后学习了如何获取磁盘映像。接着,我们探索了磁盘映像中常见的一些文件,并使用FTK Imager进行了基本分析。然而,重要的是要记住,我们分析的磁盘映像是一个小型的USB驱动器,而在更大的硬盘驱动器映像中有更多的内容需要分析。这可能需要寻找常见的工件,例如Windows注册表、浏览器历史记录、事件日志、控制台历史记录,以及任何可能为调查提供有价值见解的信息。
在进行更深入的数字取证分析时,调查人员通常会利用更高级的工具和技术来揭示隐藏的数据,恢复已删除的文件,以及重建事件的时间线。这包括但不限于:
Windows注册表分析:注册表包含了大量有关用户活动和系统配置的信息,可以提供用户行为的线索。
浏览器历史记录:分析用户的网页浏览历史可以揭示其兴趣、访问过的网站和可能的下载活动。
事件日志:Windows事件日志记录了系统和安全事件,可以提供关于系统活动和潜在安全威胁的详细信息。
控制台历史记录:查看命令行历史记录可以揭示用户在命令行界面中执行过的命令,这可能与恶意活动有关。
网络分析:检查网络连接日志和网络活动记录,以确定数据传输和通信模式。
密码恢复和解密:在某些情况下,可能需要恢复或破解加密的密码以获取受限访问的数据。
恶意软件分析:寻找和识别可能存在的恶意软件,以及它可能对系统造成的影响。
数据恢复:恢复由于删除、格式化或其他原因而丢失的数据。
时间线分析:创建一个事件时间线,以帮助确定事件发生的顺序和时间。
报告编写:最后,将所有发现和分析结果整理成一份详细的报告,以供法庭或其他目的使用。
通过综合运用这些方法,数字取证调查人员可以构建一个全面的案件档案,为法律诉讼或进一步的调查提供坚实的基础。