磁盘取证实验
最后更新于
最后更新于
目标系统:Win7SP1x86
1、在D盘创建 image.jpg、video.mov、text.txt、document.docx、image_d.jpg、video_d.mov、text_d.txt、document_d.docx。
2、删除image_d.jpg、video_d.mov、text_d.txt、document_d.docx,之后清空回收站 。
在进行磁盘取证时,为了尽量减少目标主机文件系统的变动,我们可以使用离线方式进行磁盘取证,将目标主机的磁盘创建镜像,放在移动磁盘中存储。
这里使用的是虚拟机,因此我可以直接加载ISO文件进入Live环境,如果在物理机上操作,可以先烧录Kali启动U盘、光盘。我在测试过程中内存容量512MB似乎直接进入不了Kali桌面,1GB内存也很容易就死机,若恰巧遇到配置很低的物理机,可要小心使用Kali了。
1、首先启动进入取证模式
2、接入移动硬盘,fdisk -l 确定移动硬盘的设备名为/dev/sdb1
3、挂载移动硬盘
1、在目标硬盘上右键 Acquire image,设置相关信息、保存路径、文件名,开始获取磁盘镜像。 下面的hash校验我勾掉了,是为了让速度更快一些。
2、Start开始后,需要一段时间,有磁盘容量、速度与电脑性能决定。
3、镜像制作完成。
全磁盘镜像文件大小共4.7GB
磁盘实际使用大小是这样的
dd速度非常慢,且在备份过程中没有任何进度提示,直接放弃换用增强版dd——dc3dd
dc3dd和dd参数使用是一样的,它们一样是完整备份,对备份盘容量需求比较大,这里只备份sda3(D盘),可以看到备份了约6GB大小
最终D盘分区镜像大小5.81GB
在Windows下也最好使用Live系统如WindowsPE启动盘进行取证,但是由于这里没有现成的包含取证工具的启动盘,因此直接在系统里操作。取证工具、创建的磁盘镜像文件,都放在虚拟机的共享磁盘上,尽可能避免改变目标文件系统。
这个工具就是Winhex的取证加强版,因此界面几乎都一样。
1、工具栏选择Create Disk Image
2、直接给整个磁盘创建镜像,创建分区镜像可以选择上边的
3、选择好存储路径后点OK开始
4、开始创建镜像,镜像备份的速度比dd真是快的太多了
全盘备份5.8GB,要比guymager备份的文件容量多1GB,这个结果可能是受到了在线备份镜像的影响
由于我找到的这个版本不支持32位系统,因此只能使用它在另外一台x64虚拟机做一个创建镜像的演示。(D盘环境存在相同的文件读写删除操作)
1、同样在工具栏选择Create Disk Image
2、选择整个磁盘或分区,这里准备备份一个分区D盘
3、选择备份类型,这里不建议用Raw,那样就跟dd一样创建一个和磁盘大小一样的镜像,无视实际使用空间大小
4、按需填写证据信息
5、选择存储位置,之后开始创建镜像
D盘镜像大小21.6MB(如果使用RAW格式,将会是10GB)
Linux下分析镜像的工具没有发现什么比较好的,因此放弃Linux,只在Windows下进行。
相较于FTK,X-Ways拥有更完善的案件、证据管理模式,可以保存案件后续再接着分析。
1、创建案件
2、导入证据:可以导入各类证据,这里选择镜像
3、导入前面创建的4个镜像(包含两个全磁盘镜像、1个x86虚拟机的D盘、1个x64虚拟机的D盘)
4、查看D盘里的文件,可以正常显示图片,但是这里没有看到被删除的文件(被删除的文件显示为半透明)
5、寻找被删除的文件:由于删除时,是先del进入回收站,然后清空的,因此被删除的文件会在回收站的路径中。
6、可以将镜像中有需要的文件恢复出来进一步分析
1、添加证据
2、选择镜像文件,之后选择位置即可
3、将4个镜像全部载入,这里不支持重命名
4、分析文件:FTK同样可以直接预览txt、jpg
5、寻找被删除的文件:同样到回收站目录下寻找被清空的文件,这里是使用红叉表示其被删除了
6、导出文件:FTK同样可以导出镜像内的文件
1、FTK有个特殊功能,可以把磁盘镜像映射为一个虚拟磁盘
2、这样就多了一个和win7x86主机里一样的分区
3、不用的时候unmount即可
经过测试,jpg、mov、txt、docx四种类型的文件,只能提取到docx和jpg两种格式的文件
