第六章——当前的数字取证工具

当前的数字取证工具

1、解释如何评估数字取证工具的需求

制定一个商业计划来证明购买数字取证硬件和软件的合理性。在评估工具时需要问的问题包括：

• 取证工具运行在哪个操作系统上?该工具是否可以在多个操作系统上运行?
• 工具是否通用?例如，它在 Windows和 Linux上都能工作吗?
• 该工具是否可以分析多个文件系统，如 FAT、NTFS和 Ext4?
• 可以使用脚本语言来自动执行重复的功能和任务吗?
• 该工具是否有任何可以帮助减少分析数据所需时间的自动化功能?
• 供应商在提供产品支持方面的声誉如何?对于开源工具，支持论坛有多好?

1.数字取证工具的类型

数字取证工具分为两大类：硬件和软件

硬件取证工具硬件取证工具的范围从简单、单一用途的组件到完整的计算机系统和服务器。例如，Tableau T35es-R2SATAIDE eSATA桥是一个单一用途的组件，它可以通过一个设备访问SATA或IDE 驱动器。完整系统的一些例子是数字情报F.R.E.D.系统(www.digitalintelligence.com/cart/ComputerFo rensicsProducts/Hard ware-p1.htm l) ,DIBS 高级法证工作站(www.dibsforensics.com/index。法证计算机的法证检验站和便携式仪器(www和 H-11数字取证系统(www.h11dfs.com/products/ products/forensic-hardware/)。

软件取证工具软件取证工具分为命令行应用程序和GUI应用程序。有些工具专门用于执行一项任务。例如，SafeBack被设计为New Techno logies Inc.(NTI)的命令行磁盘获取工具。当其他所有工具都失败时，它更多地被用作可靠的备用工具，而不是主要工具。其他工具被设计用来执行许多不同的任务。例如，PassMark 软件OSForensics、Technology Pathways ProDiscover、X-WaysForensics、制导软件EnCase和 AccessData FTK是设计用来执行大多数取证采集和分析功能的GUI工具。

软件取证工具通常用于将数据从嫌疑人的硬盘复制到图像文件。许多GUI获取工具可以读取图像文件中的所有结构，就像图像是原始驱动器一样，并具有分析图像文件的能力。

2.数字取证工具执行的任务

所有的数字取证工具，无论是硬件还是软件，都有特定的功能。测试新工具时可能会发现遵循NIST的计算机取证工具测试(CFTT)计划、ASTM国际(原美国测试与材料协会)E2678标准和国际组织建立的指导方针是有帮助保陷所有权利。

计算机证据(IOCE)。此外，ISO标准27037规定数字证据第一反应者(DEFRs)应该使用经过验证的工具。以下几类功能是数字取证工具评估的指导原则，子功能用于细化数据分析和恢复,确保数据质量：

• 收购
• 验证和验证提取
• 重建
• 报告

采集采集是数字取证调查的首要任务，是对原始硬盘进行复制。如第3章所述，这个程序保留了原始驱动器，以确保它不会损坏和损坏数字证据。在第4章中，学习了如何正确处理数字证据，在第8章中，学习了更多关于使用获取工具的知识。收购类的子功能包括：

• 物理数据拷贝
• 逻辑数据拷贝
• 数据采集格式
• 获取命令行GUI收购
• 远程、实时和内存获取

ISO标准27037规定，数据采集中最重要的因素是DEFR的能力和验证工具的使用，它还包括了在不同情况下如何进行采集的指导方针。最重要的是记录所做的事情和原因。例如，如果在一个有危险材料的场景中获取数据，显然速度是至关重要的，可能决定放弃获取 RAM而专注于收集设备。例如还可以找到决策流程图，确定是复制整个物理磁盘，还是只复制一个分区或文件夹。

一些数字取证软件套件，如AccessData FTK，有单独的工具来获取图像。然而一些调查人员选择使用硬件设备，如 Tab leau TD2,Logicube Talon，VOOM HardCopy 3P，或Intelligent Computer So lutions，Inc.的 Image master Solo-4取证单元来获取图像。

3.数字工具的重建方法

在取证工具中拥有重建功能的目的是重建嫌疑人的驾驶，以显示在犯罪或事件中发生了什么。复制可疑驱动器的另一个原因是为其他数字调查人员创建一个副本，可能需要一个功能完整的驱动器副本，以便他们可以自己获取、测试和分析证据。如果硬盘被恶意软件或嫌疑人的行为破坏，也需要进行重构。
以下是重建方法：

• 其他磁盘复制
• Partition-to-p artition副本
• Image-to-disk副本

• Image-to-p art ition副本
• Disk-to-image副本
• 从数据运行和雕刻重建文件

2、描述可用的数字取证软件工具

• 命令行取证工具

第一个从软盘和硬盘中分析和提取数据的工具是IBMPC文件系统的MS-DOS工具。

​ 最早用于数字调查的MS-DOS工具之一是Norton Disk Edit。该工具使用手工处理，这需要调查人员在一个典型的500 MB驱动器上花费相当多的时间。最终，为数字取证设计的程序被开发用于DOS、Windows、Apple、NetWare和 UNIX系统。一些早期的程序可以从闲置和空闲的磁盘空间中提取数据;有些则只能检索被删除的文件。目前的程序更加强大，可以搜索特定的单词或字符，导入关键字列表来搜索，计算哈希值，恢复被删除的项目，进行物理和逻辑分析，等等。

​ 使用命令行工具进行调查的一个优点是只需要很少的系统资源，因为它们被设计成在最小的配置中运行。事实上，大多数工具都适合可引导的媒体(USB驱动器、cd和 dvd)。使用可引导的媒体进行初步调查或全面调查可以节省时间和精力。大多数工具还会生成适合USB驱动器或其他可移动媒体的文本报告。

​ 一些命令行取证工具是专门为 Windows命令行界面(CLI)平台创建的；还有一些是为Macintosh和 UNIX/Linux创建的。因为有许多不同版本的UNIX和 Linux，这些操作系统通常被称为“Linux平台”。

​ 一些在命令行中很容易使用的工具经常被忽略。例如，在 Windows 2000 及以后的版本中，如果系统或网络上有多个用户，则dir命令会显示文件所有者。试试以下步骤：

1.打开命令提示符窗口。
⒉.在命令提示符下，输入cdn并按Enter，将您带到根目录，输入cmd
WorknChap06nChapter创建本章的工作文件夹(用你的工作文件夹的名字替换工作),然后按Enter键
3.确保您在根目录下，然后输入
dir lq > C:nWorknChap06nChapternFileowner.txt，回车。
4.在任何文本编辑器中，打开Fileowner.tx查看结果。您应该看到文件结构，以及这些
文件是由系统还是用户生成的。完成后，退出文本编辑器并关闭命令提示符窗口。

• Linux取证工具

SMART SMART被设计成可以安装在许多Linux版本上，包括 Gentoo、Fedora、sUSE、Debian、Knoppix、Ubuntu、Slackware等等。

SMART包括几个插件实用程序。这种模块化的方法使智能组件能够轻松快速地升级。SMART还可以利用OSs和硬件中的多线程功能，这是其他取证工具所缺乏的特性。这个工具是为数不多的能够以只读格式挂载不同文件系统(如日志文件系统)的工具之一。

SMART中的另一个有用的选项是十六进制查看器，它用颜色对十六进制值进行编码，从而更容易看到文件的开始和结束位置。SMART还提供了一个报告功能。在使用SMART进行调查期间所做的一切都会被记录下来。

企业调查期间，经常需要检索RAM和其他数据，如怀疑的用户配置文件，从一个工作站或服务器，不能抓住或关机。提取这些数据在系统运行时，在其状态时提取。但是一定要记日记来记录你正在做的事情。要进行现场采集，将螺旋CD/DVD插入嫌疑人的机器。

Sleuth Kit是一个Linux取证工具，而尸检是用于访问Sleuth Kit工具的GUI浏览器界面。

• 其他 GU取证工具

一些软件供应商已经引入了适用于Windows 的取证工具。因为 GUI取证工具不需要像命令行工具那样理解Windows CLl和文件系统，所以它们可以简化数字取证调查,但是也有些GUI工具可能会错过关键证据。

大多数GUI工具都被放在一起作为工具套件。例如，最大的 GUI工具供应商accessdata和指导软件提供了执行本章中讨论的大部分任务的工具。与所有软件一样，每个套件都有其优缺点。

GUI工具有几个优点，比如易于使用，能够执行多个任务，不需要学习旧的OS。它们的缺点包括过度的资源需求(例如，需要大量的RAM)和由于所使用的操作系统类型而产生不一致的结果。使用GUI工具的另一个问题是，它们造成了调查者对仅使用一种工具的依赖。在某些情况下，GUI工具不起作用，需要命令行工具，因此研究人员必须熟悉不止一种类型的工具。

3、数字取证硬件工具

• 法证工作站

  一般而言，法证工作站可分为以下几类：

  • 固定工作站-有几个隔间和许多外围设备的塔
  • 便携式工作站―—一种几乎与固定工作站一样多的工作台和外围设备的笔记本电脑
  • 轻量级工作站―—通常是一个内置在手提箱里的笔记本电脑，有少量的外设选项

• 使用Write-Blocker

  • 对于取证工作站，应该考虑的第一个项目是写阻止程序。写拦截器通过阻止数据写入证据盘来保护证据盘。软件和硬件写拦截器执行相同的功能，但方式不同

  • 软件写阻止程序，如来自Dig ital Intelligence 的 PDBlock，通常在 shell模式下运行(如Windows CLI)。PDBlock更改中断工作站BlOS 的 13，以防止写入指定的驱动器。当用户试图对被阻塞的硬盘进行写操作时，系统会发出告警，提示未进行写操作。PDBlock 只能在真正的DOS模式下运行，但是不能在 windows命令行中运行。

  • 硬件写拦截器可以把证据驱动器连接到工作站，然后像往常一样启动操作系统。硬件写拦截器充当可疑驱动器和取证工作站之间的桥梁，是GUI取证工具的理想选择。它们阻止 Windows或Linux向被阻塞的驱动器写入数据。

  • 许多厂商已经开发了通过火线、USB 2.0和 3.0、SATA、PATA和SCSI控制器连接到计算机的写阻塞设备。大多数写拦截器都在不关闭工作站的情况下删除和重新连接驱动器，从而节省了处理证据驱动器的时间。以下供应商提供写阻塞设备:

    www.dig it alintelligence.com
    Www.digit alIntelence.com
    
    -www.forensicp c.com
    -www.forensicp c.com
    
    -www.guidancesoftware.com-www.voomtech.com
    -www.Guide ancesoftware.com-www.voomtech.
    
    -www.my keytech.com-www.Ic-tech.com-www.logicube.com
    -www.my keytech.com-www.Ic-tech.com-www.logicube.com
    
    www.forensic-comp uters.com-www.cru-inc.com
    www.forensic-comp uters.com-www.cru-inc.com
    
    -www.paraben.com
    -www.paraben.com
    
    -www.usbgear.com/USB-FORENSIC.html
    -www.usbgear.com/usb-FORENSIC.html
    

4、描述验证和测试取证工具的方法

使用国家标准和技术协会的工具

国家标准和技术研究所(NIST)出版文章提供工具，并为测试和验证计算机取证软件创建程序。对软件进行验证，提高诉讼证据的可采性。NIST赞助CFTT项目管理取证工具的研究。计算机取证参考数据集(CFReDS;www.cfreds.n ist.gov)创建，为工具、培训和硬件测试提供数据集。

NIST还创建了测试取证工具的标准。本文讨论了法证工具应该做什么以及满足司法审查的工具的重要性的缺乏规范。该标准是基于标准测试方法和 ISO 17025测试标准，当没有现行的标准可用时。您的实验室必须符合以下标准，并保持准确的记录，以便当新的软件和硬件可用时，您的实验室的测试标准到位：为数字取证工具建立类别——根据类别对数字取证软件进行分组，例如用于检索和跟踪电子邮件的取证工具。

• 识别取证类别需求――对于每个类别，描述取证工具必须具备的技术特征或功能。
• 开发基于需求的测试断言，创建测试来证明或否定工具满足需求的能力。
• 识别测试用例―一用取证工具找到或创建要调查的案例类型，并识别要从样本驱动器或其他介质中检索的信息。例如，使用使用可信取证工具创建的结案文件的图像来测试同一类别中的新工具，看看它是否产生相同的结果。
• 建立测试方法——考虑工具的目的和设计，指定如何测试它。报告测试结果-在符合ISO 17025要求的报告中描述测试结果，该报告要求准确、清楚、明确和客观的测试报告。

另一个标准文件，ISO 5725，要求测试过程的所有方面的准确性，所以结果必须是可重复和再现的。“可重复的结果”意味着，如果您在同一实验室、同一台机器上工作，就会产生相同的结果。“可重现的结果”意味着，如果您在不同的实验室使用不同的机器，工具仍然检索相同的信息。

此外，NIST创建了NSRL项目(www.nsr.nist.gov)，目的是收集商业软件和操作系统文件的所有已知散列值。NSRL使用的主要哈希是SHA-1，它生成称为参考数据集(RDS)的已知数字签名。SHA-1比其他哈希方法(如MD5)具有更好的准确性。收集已知哈希值的目的是减少已知文件(例如操作系统或程序文件)的数量，以便只留下未知的文件。还可以使用RDS定位和识别可疑驱动器上已知的坏文件，如非法图像和计算机病毒。

使用验证协议

在使用一个工具检索和检查证据数据之后，应该通过使用其他类似的取证工具执行相同的任务来验证结果。例如，在使用一个取证工具检索磁盘数据之后，再使用另一个工具来查看您是否检索了相同的信息。

调查人员必须对工具在分析过程中产生一致和准确的结果的能力有信心。了解工具的工作原理也同样重要，因为可能不会在法庭上得到供应商的支持。比较结果和验证新工具的一种方法是使用磁盘编辑器，如 Hex Workshop或 WinHex，以原始格式查看磁盘上的数据。磁盘编辑器通常显示物理磁盘上的文件、文件头、文件闲置和其他数据。尽管磁盘编辑器并不以其华丽的界面而闻名，但它们很可靠，能够访问数字证据的各个部分来验证发现。