第三周——数据采集

第三周——数据采集

一、数字证据存储格式

取证采集工具收集的数据以图像文件的形式存储，通常采用开源或专有格式。

根据专有格式，许多取证分析工具可以读取其他供应商格式化的收购。许多取证取证工具使用旧的开源格式(称为 raw)以及它们自己的专有格式创建一个磁盘到图像文件。新的开源格式，高级法医格式(AFF)，正在得到一些法医鉴定人员的认可。

原始的格式

​ 过去只有一种实用的方式来复制数据，以保存和检查证据。检查人员将一个磁盘一点一点地复制到另一个相同或更大的磁盘上。作为一种保存数字证据的实用方法，供应商(以及一些操作系统实用程序，如Linux/UNIX dd命令)允许将位流数据写入文件。这种复制技术创建可疑驱动器或数据集的简单顺序平面文件。这些平面文件的输出称为原始格式。在选择采集格式时,这种格式有其独特的优点和缺点。

​ 原始格式的优点是快速的数据传输和忽略源驱动器上较小的数据读取错误的能力。此外，大多数取证工具可以读取原始格式，使其成为大多数工具的通用获取格式。原始格式的一个缺点是,它需要尽可能多的存储空间的原始磁盘或数据集。另一个缺点是,一些原始格式工具,通常免费版本,可能不会收集边际(坏的管理者)部门在源驱动,这意味着他们有一个低门槛的重试读取弱媒体在一个驱动器上。许多商业工具都有更高的重试读取阈值，以确保收集所有数据。

​ 一些商业获取工具可以生成原始格式，通常通过使用循环冗余检查(CRC32)、MD5和安全哈希算法(SHA-1或更高版本)哈希函数来执行验证检查。但是，这些验证检查通常会创建一个单独的文件，其中包含散列值。

专有的格式

大多数商业取证工具都有自己收集数字证据的格式。专有格式通常提供一些功能，以补充供应商的分析工具，例如:

• 压缩或不压缩可疑驱动器的映像文件的选项，从而节省目标驱动器上的空间
• 将图像分割成较小的分割文件存档的能力，如到cd或dvd，与数据完整性检查集成到每个段
• 将元数据集成到图像文件的能力，例如采集日期和时间，原始磁盘或介质的哈希值(用于自我身份验证)，调查员或检查者的姓名，以及评论或案件细节

专有格式获取的一个主要缺点是无法在不同供应商的计算机取证分析工具之间共享图像。例如，ILookIX成像工具IXimager会生成三种专有格式——idif、IRBF和ieif，这些格式只能被ILooklIX读取。如果有必要，lIXimager可以将IDIF、IRBF和IEIF格式复制到可以由其他工具读取的原始格式图像文件中。

​ 专有和原始格式的另一个问题是每个分段卷的文件大小限制。通常，专用格式工具生成的分段文件大小为650mb。文件大小可以上下调整，每个分段文件的最大大小不超过2gb。大多数专有格式工具最多只能达到 2gb，因为许多检查人员使用格式化为FAT的目标驱动器，该驱动器的文件大小限制为2gb。
​ 在所有图像获取的专有格式中，专家证人格式是目前非官方的标准。这种格式是引导软件EnCase 的默认格式，可以生成压缩和未压缩的图像文件。这些文件(或卷)写一个以.e01开头的扩展名，并对每个额外的分段图像卷递增。
​ 一些取证分析工具可以生成专家证人格式的通用版本并对其进行分析，包括X-Ways取证、AccessData取证工具包(FTK)和SMART。

先进的法证格式

Simson L. Garfinkel博士开发了一种开源获取格式，称为高级法证格式(AFF)。这种格式有以下设计目标：

• 能够产生压缩或未压缩的图像文件

• 没有磁盘到镜像文件的大小限制

• 映像文件或分段文件中的元数据空间

• 设计简单，可扩展性强

• 多计算平台和操作系统的开源

• 自我认证的内部一致性检查

文件扩展名包括分割图像文件的，afd和 AF元数据的。afm。由于AF是开源的，数字取证供应商对这种格式没有实现限制。

二、确定最佳的数据获取方法

​ 如上所述，有两种类型的收购:静态收购和实时收购。通常，静态采集是在警察突袭时缴获的计算机上完成的。如果计算机有一个加密驱动器，如果密码或密码是可用的—―这意味着计算机已开机，并已被嫌疑人登录。静态收购总是收集数字证据的首选方式。然而，它们在某些情况下确实有局限性，比如只有在计算机上电时才能读取的加密驱动器，或者只有通过网络才能访问的计算机。一些解决方案可以帮助解密用整个磁盘加密加密过的驱动器，例如Elcomsoft法医磁盘解密器。

​ 对于这两种类型的采集，可以通过四种方法收集数据：创建磁盘到镜像文件、创建磁盘到磁盘副本、创建逻辑磁盘到磁盘或磁盘到数据文件，或者创建文件夹或文件的稀疏副本。确定最佳的获取方法取决于调查的情况。

​ 创建磁盘到映像文件是最常用的方法，它为调查提供了最大的灵活性。使用这种方法可以为一个可疑驱动器创建一个或多个副本。这些副本是原始驱动器的逐位复制。此外，还可以使用其他取证工具，如 ProDiscover、EnCase、FTK、SMART、Sleuth Kit、X- Ways forensics和 ILookIX，来读取所创建的最常见类型的磁盘到图像文件。这些程序将磁盘到映像文件当作原始磁盘来读取。MS-DOS工具只能从驱动器读取数据。要使用MS-DOS工具，必须复制原始驱动器来执行分析。GUI程序节省时间和磁盘资源，因为可以直接从复制驱动器的磁盘到映像文件读取和解释。

​ 从一个大硬盘上收集证据可能需要几个小时。如果时间有限，考虑使用逻辑采集或稀疏采集数据复制方法。逻辑捕获限制仅用于案例感兴趣的特定文件或特定类型的文件。稀疏采集与此类似，但也收集未分配(己删除)的数据片段。逻辑获取的一个例子是只需要收集Outlook .pst或.ost文件的电子邮件调查。另一个例子是只从大型 RAID服务器收集特定的记录。如果必须从具有数EB(EB)或更多数据存储的RAID或存储区域网络(SAN)服务器恢复数据，逻辑方法可能是获得证据的唯一方法。

三、数据获取的应急计划

处理数字证据必须采取预防措施来防止丢失，因此应当制定应急计划，以防软件或硬件无法工作或在收购过程中遇到故障。

​ 保存证据的技术是创建磁盘到映像文件的副本。许多数字调查人员不复制他们的证据，因为他们没有足够的时间或资源来制作第二张图像。然而，如果第一个副本不能正常工作，拥有一个副本是值得的努力和资源。

​ 作为一种标准做法，至少为收集的数字证据制作两张图像。如果有多个成像工具，如ProDiscover、FTK和X-Ways Forensics，请使用一个工具制作第一份副本，使用另一个工具制作第二份副本。如果只有一个工具，考虑使用同一工具制作驱动器的两个映像，特别是用于关键调查。使用诸如EnCase、X-Ways Forensics、FTK lmager和 ProDiscover等工具，可以不压缩一个副本，并压缩另一个副本。

​ 某些获取工具不会在磁盘驱动器的主机保护区域(HPA)中复制数据。检查供应商的文档，以验证其工具可以复制驱动器的 HPA。对于这些情况，考虑使用可以在BIOS级别访问驱动器的硬件获取工具，例如带有写阻止程序的ProDiscover、ImageMASSter Solo或X-WaysReplica。这些工具可以读取磁盘的HPA。
​ 微软用Bit Locker在其较新的操作系统(如 Windows 7和 Windows 8)中增加了全磁盘加密功能，这使得静态收购变得更加困难。(还有其他一些第三方的全磁盘加密工具)作为应急计划的一部分，必须准备好处理加密驱动器。目前，在大多数整个磁盘加密驱动器上的静态获取涉及对驱动器的解密，这需要用户合作提供解密密钥。大多数完整的磁盘加密工具至少有一个手动的数据解密过程，即将加密的磁盘转换为未加密的磁盘。这个过程可能需要几个小时，这取决于磁盘的大小。加密的一个好处是数据不会被改变，在自由和宽松的空间里数据不会被改变。整个磁盘加密的最大问题是获取解密密钥，即用于访问加密数据的密码或代码。如果可以使用前面提到的Elcomsoft 取证磁盘解密器等工具恢复整个磁盘密钥，需要学习如何解密驱动器。

四、如何使用数据获取工具

1、Mini-WinFE启动光盘和USB驱动器

​ 直接访问计算机磁盘驱动器可能不适合取证取证。例如，笔记本电脑的设计可能会使移除磁盘驱动器以将其装入写阻止程序变得困难，或者可能没有合适的驱动器连接器。Mini-WinFE是一个很好的 Windows引导工具。它能够构建一个Windows法医引导CD/DVD或USB驱动器的修改，在其 Windows注册表文件，使连接的驱动器挂载为只读。在用Mini-WinFE启动嫌疑人的计算机之前，只需要连接目标驱动器，比如 USB驱动器。在Mini- WinFE启动后，可以列出所有连接的驱动器，并将目标USB驱动器更改为读写模式，以便运行收购程序，如FTK Imager Lite或X-Ways取证。

2、使用Linux引导CD获取数据

​ Linux操作系统有许多适用于数字取证的特性，特别是数据采集。一个独特的特性是Linux可以访问没有挂载的驱动器。物理以读取数据为目的的访问可以在连接的媒体设备上完成，例如磁盘驱动器、USB驱动器或其他存储设备。在 Windows操作系统和更新的 Linux内核中，当通过USB、火线、外部SATA，甚至内部 PATA或SATA 控制器连接驱动器时，两个操作系统都会自动挂载并访问驱动器。在 Windows驱动器上，采集工作站可以访问和修改回收站中的数据；在Linux驱动器上，工作站很可能会更改元数据，比如 Ext3或Ext4驱动器的挂载点配置。

​ Linux可以从物理设备读取数据，而不必挂载。通常的做法是，不要安装可疑的媒体设备以防对其进行任何写操作。以下是一些精心设计的数字取证Linux Live cd：

• 企鹅侦探(www.linux-forensics.com)
• F.l.R.E(http://fire.dmzs.com)
• Kali Linux (www.kali.org)，以前称为BackTrack (www.backtrack-linux。orgwikilindex。php /取证)–Knoppix (www.knopper.net/knoppix/in dex-en.html)
• SANS调查法医工具包(SIFT；http://computer-forensics.sans.org/社区/下载)

3、用AccessData FTK Imager Lite捕捉图像

FTK Imager是一个数据采集工具，包含在 AccessData取证工具包的授权副本中。FTK Imager可用于 Windows和 Macintosh。FTKlmager是专为查看证据磁盘和磁盘到图像文件创建从其他专有格式。它可以读取AccessData .ad1、Expert Witness (EnCase) .e01、SMART .s01、高级取证格式和原始格式文件。除了磁盘媒体，FTK成像仪可以读取CD和DVD文件系统。这个程序显示磁盘分区或映像文件的视图，就像它是一个挂载的分区一样，还有额外的窗格显示所选文件的内容。

五、如何验证数据获取

计算机取证最关键的方面是验证数字证据。任何数字调查最薄弱的一点是收集的数据的完整性，所以验证是必不可少的。
验证数字证据需要使用哈希算法实用程序，该实用程序旨在创建表示数据集(如文件或磁盘驱动器)的唯一性的二进制或十六进制数。这个唯一的数字被称为“数字指纹”。除了少数例外情况外，对其中一个文件进行任何更改——甚至将一个字母从大写改为小写―—都会产生完全不同的哈希值。
这些异常被称为“冲突”，已经发现在少数使用MD5的文件中发生，SHA-1也可能发生冲突。然而，对于磁盘驱动器上的数据文件的法医检查来说，碰撞是不太重要的。如果两个不同内容的文件具有相同的MD5哈希值，则可以对文件的每个字节进行比较，以查看差异。目前，有几种工具可以对文件进行逐字节比较。X-Ways Forensics、X-Ways WinHex和IDMComputing Solution的 ultraccompare等程序可以分析和比较数据文件。
对于证据驱动器的成像，许多工具提供了CRC-32、MD5、SHA-1到SHA-512等验证技术。这些散列算法实用程序可以作为独立程序使用，也可以集成到许多采集工具中。

1、LINUX验证

​ 当前的 Linux发行版包括两个散列算法实用程序：md5sum和 sha1sum。这两种实用程序都可以计算单个文件、多个文件、单个或多个磁盘分区或整个磁盘驱动器的哈希值。
​ 验证dd获取的数据，以下命令生成ldevlsdb驱动器的分段卷，每个分段卷名为image_sdb，并以.aa、.ab、.ac等扩展名递增:

/dev/sdb j split -b 650m - image_sdb . dd
if 1/4 /dev/sdb j split -b650m - image_sdb . dd

​ 要使用md5sum实用程序验证可疑驱动器的所有分段卷，请在以下步骤中使用Linuxshell命令。对于已保存的映像，更改到保存数据的目录，或者列出已保存映像的确切路径。要使用sha1sum代替md5sum，只需将命令中的所有md5sum引用替换为sha1sum。驱动器应该仍然连接到采集工作站。

2、Windows验证

​ 与Linux不同，Windows没有用于数字取证的内置哈希算法工具。然而，许多 Windows第三方程序都有各种各样的内置工具。这些第三方程序的范围从十六进制编辑器，如X-Ways WinHex或断点软件 Hex Workshop，到取证程序，如ProDiscover，EnCase和 FTK。商业取证程序也有内置的验证功能。每个程序都有自己的验证技术，用于其专有格式的采集数据。例如，ProDiscover的.eve文件在获取文件或分段文件中包含元数据，包括可疑驱动器或分区的散列值。加载到 ProDiscover 中的图像数据被散列，然后与存储的元数据中的散列值进行比较。如果哈希值没有匹配，ProDiscover通知您，收购是腐败的，不能被认为是可靠的证据。这个函数被称为自动校验图像校验和。
​ 然而，在 ProDiscover和许多其他取证工具中，原始格式的图像文件不包含元数据。如前所述，建议在分析时对所有原始获取进行单独的手动验证。先前为原始格式获取而生成的验证文件对于数字证据的完整性是必不可少的。保存的验证文件可以稍后使用，以检查获取文件是否仍然有效。
​ 在FTK Imager中，当选择Expert Witness (.e01)或SMART(.s01)格式时，将显示用于验证的其他选项。该验证报告还列出 MD5和SHA-1哈希值。MD5哈希值被添加到专有格式的图像或分段文件中。当该图像加载到FTK、SMART或X-Ways取证(只能读取.e01和原始文件)时，将读取MD5哈希并与图像进行比较，以验证获取是否正确。

六、RAID获取方法

• RAID 0

RAID0提供快速访问和更大的数据存储能力。在RAID 0中，两个或多个磁盘驱动器成为一个大卷，因此计算机将这些磁盘视为单个磁盘。在这种存储方式下，数据的轨迹会传到每个磁盘上。逻辑寻址方案使数据的每个路径在所有磁盘上看起来都是连续的。如果有两个配置为DAID 0的磁盘，则第一个磁道从第一个物理磁盘开始，并继续到第二个物理磁盘。在引导的操作系统(如Windows XP或更高版本)中查看时，这两个磁盘显示为一个大磁盘。RAID 0的优点是提高了速度，并将数据存储能力分散到两个或多个磁盘(可以是一个大磁盘分区)上。它最大的缺点是缺乏冗余;如果磁盘故障，数据将无法持续可用。

• RAID 1

RAID1是由每个卷2块硬盘组成，用于在硬盘故障时进行数据恢复。RAID1中的2块硬盘内容完全相同。当数据写入卷时，操作系统会将数据两次写入每个磁盘，每次写入一次。如果其中一个磁盘故障，操作系统会切换到另一个磁盘。RAID 1确保数据不会丢失，并有助于防止计算机停机。RAID 1的主要缺点是每个卷需要两个磁盘，这使磁盘存储的成本增加了一倍。

• RAID 2

与 RAID 1类似，RAID 2通过将两个或多个磁盘配置为一个大卷，实现快速访问和增加存储容量。与RAID 2不同的是，数据以位级的方式写入磁盘。EcC(error-correcting code)用于校验写成功。因此，RAID 2比RAID 0具有更好的数据完整性校验功能。然而，由于位级写和ECC,RAID 2比RAID 0慢。

• RAID 3

RAID 3采用数据分条和专用校验，至少需要3块硬盘。与RAID 0类似，RAID 3的条带贯穿组成一个卷的所有磁盘。RAID 3还实现了数据的专用奇偶校验，确保数据损坏后可以恢复。专用校验存储在RAID 3阵列中的一个磁盘上。

• RAID 4

与RAID 3类似，RAID 4使用数据分条和专用奇偶校验(写入块)，不同的是数据是以块而不是字节写入的。

• RAID 5

RAID 5与RAID 0、RAID 3类似，采用分布式数据、分布式奇偶校验和条带数据路径，分布在RAID的所有硬盘上。然而，与RAID 3不同的是，RAID 5将奇偶校验数据放在每个磁盘上。当 RAID组中的某个硬盘出现数据故障时，当更换该硬盘时，其他硬盘上的奇偶校验会自动重建损坏的数据。

• RAID 6

在RAID 6中，分布式数据和分布式校验(双校验)功能与RAID5完全相同，只是RAID组中每个硬盘都有冗余校验。与RAID 5相比，RAID 6的优点在于，它可以恢复由于存储在每个磁盘上的额外奇偶校验而故障的任意两个磁盘。

• RAID 10

RAID 10，又称镜像条带化RAID 110，是RAID 1和 RAID 0的组合。它提供了快速访问和冗余数据存储。

• RAID 15

RAID 15或镜像校验条带化，也称为RAID 115，是RAID 1 和RAID 5的组合。它提供了最健壮的数据恢复能力和所有RAID配置的访问速度，同时也更昂贵.

七、如何使用远程网络采集工具

1、使用ProDiscover进行远程采集

ProDiscover事件响应被设计成集成为一个网络入侵分析工具，对于执行远程获取很有用。当连接到远程计算机时，它使用前面描述的相同的 ProDiscover获取方法。连接成功后，“Capture Image”对话框中会显示远程计算机。这个工具提供了ProDiscover套件中其他工具的所有功能和特性，外加以下内容:

• 捕获易失的系统状态信息。
• 分析远程系统上当前运行的进程。
• 在可能运行恶意软件或间谍软件的远程系统上找到看不见的文件和进程。·远程查看和监听受损系统上的IP端口。
• 在远程系统上运行哈希比较，以搜索已知的木马和 rootkit 。
• 创建一个远程系统上所有文件的哈希清单(负哈希搜索能力)，以建立一个基线，如果受到攻击

2、使用EnCase Ente rprise进行远程采集

Guidance Software是第一家基于桌面工具盒开发远程采集和分析工具的取证供应商。这个远程工具EnCase Enterprise有几个功能。以下是它的一些远程采集功能：

• 计算机媒体和 RAM数据的远程数据采集
• 与入侵检测系统(IDS)工具集成，可以将入侵证据自动复制到调查工作站，以便在网络上进行进一步分析
• 从一个或多个系统创建数据图像的选项
• 预览系统，以确定是否需要未来的行动，如收购广泛的文件系统格式，如NTFS，FAT，Ext2/3，Reiser, Solaris UFS，AIX日志文件系统(JFS)，LVM8，FFS,Palm，Macintosh HFS/HFS1，CDFS,ISO 9660, UDF，DVD等支持硬件和软件的 RAID

3、使用R-Tools R-Studio进行远程采集

R-Tools 软件套件是为数据恢复而设计的。作为这种恢复能力的一部分，R-Studio网络版可以远程访问联网的计算机系统。它的远程连接使用三重数据加密标准(3DES)加密。使用 Studio net work edition获取的数据会创建原始格式，并且它能够恢复许多不同的文件系统，包括引用。

4、使用WetStone US-LATT PRO进行远程采集

US-LATT PRO是 WetStone开发的一套工具的一部分，它可以远程连接联网的计算机并实时获取连接到计算机上的所有驱动器。