# 磁盘取证实验

## 1、环境准备

目标系统：Win7SP1x86

1、在D盘创建 image.jpg、video.mov、text.txt、document.docx、image\_d.jpg、video\_d.mov、text\_d.txt、document\_d.docx。

2、删除image\_d.jpg、video\_d.mov、text\_d.txt、document\_d.docx，之后清空回收站 。

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsCptezoiROhdPSO4v%2Fimage.png?alt=media\&token=8834f199-de0f-4146-8ee7-c93778d6b3f4)

## 2、创建磁盘镜像

在进行磁盘取证时，为了尽量减少目标主机文件系统的变动，我们可以使用离线方式进行磁盘取证，将目标主机的磁盘创建镜像，放在移动磁盘中存储。

### 1、在Kali下创建磁盘镜像

这里使用的是虚拟机，因此我可以直接加载ISO文件进入Live环境，如果在物理机上操作，可以先烧录Kali启动U盘、光盘。我在测试过程中内存容量512MB似乎直接进入不了Kali桌面，1GB内存也很容易就死机，若恰巧遇到配置很低的物理机，可要小心使用Kali了。

#### 1、启动到Live模式下

1、首先启动进入取证模式

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsDIgW7v2YGUfNK8kd%2Fimage.png?alt=media\&token=4117adad-f7eb-4dfc-bccf-f1973b83002f)

2、接入移动硬盘，fdisk -l 确定移动硬盘的设备名为/dev/sdb1

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsDQpwZkG4W8jBsUKK%2Fimage.png?alt=media\&token=ef999381-0bb8-4f7c-8c81-9b6a74a36f4e)

3、挂载移动硬盘 

```
cd /mnt 
mkdir udisk  
mount /dev/sdb1 /mnt/udisk
```

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsDg19cytW7W1wttRp%2Fimage.png?alt=media\&token=1a236026-b1c5-4bc8-9cdd-965a94be24de)

#### 2、使用Guymager

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsDr6lNYVocfIyAO7H%2Fimage.png?alt=media\&token=094ce6c4-c77e-41ac-b656-e68a761a9776)

1、在目标硬盘上右键 Acquire image，设置相关信息、保存路径、文件名，开始获取磁盘镜像。  下面的hash校验我勾掉了，是为了让速度更快一些。

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsE38ZRLxTXZjPZcR_%2Fimage.png?alt=media\&token=cd68526a-ce6b-40ca-a434-3f4f51d829f6)

2、Start开始后，需要一段时间，有磁盘容量、速度与电脑性能决定。

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsEBXi9JAdHsG_aErt%2Fimage.png?alt=media\&token=6f92e72c-e70a-47f4-a8a4-227eed6e89b5)

3、镜像制作完成。

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsEH8ovsl5hA9zHAue%2Fimage.png?alt=media\&token=1daef28a-c5be-47e6-95f5-f6d905f44db1)

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsEKNitKRjH56bAeCD%2Fimage.png?alt=media\&token=5828a378-0f61-4a46-9e8e-8f33c6f6944f)

全磁盘镜像文件大小共4.7GB

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsEOj2ZnAFGqhemUI4%2Fimage.png?alt=media\&token=d95e7c96-e9a9-4c5b-81ff-ca4b5314bda5)

磁盘实际使用大小是这样的

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsETJRZgKownDXsvJG%2Fimage.png?alt=media\&token=984cd90f-3bbd-455e-a51b-c3938ec0ad84)

#### 3、使用dd

```
fdisk -l    #判断目标磁盘编号 
#if=指定需要制作映像设备，-of=指定保存的位置

dd if=/dev/sda of=/mnt/udisk/Forensic/dd/sda
```

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsEnidWpkJIWW-G5gh%2Fimage.png?alt=media\&token=cbfe1dc0-9272-4cc6-b2ec-6d275644e387)

dd速度非常慢，且在备份过程中没有任何进度提示，直接放弃换用增强版dd——dc3dd

#### 4、使用dc3dd

dc3dd和dd参数使用是一样的，它们一样是完整备份，对备份盘容量需求比较大，这里只备份sda3（D盘），可以看到备份了约6GB大小

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsF1GdScgSkChiM_4T%2Fimage.png?alt=media\&token=cca4bbaa-e400-4f86-b8f7-9a22b9a3bf48)

最终D盘分区镜像大小5.81GB

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsF5bxeQ_iF7aOoQLd%2Fimage.png?alt=media\&token=27cbd6f0-2450-4b74-ae8b-7d08942fd03b)

### 2、在Windows下创建磁盘镜像 

在Windows下也最好使用Live系统如WindowsPE启动盘进行取证，但是由于这里没有现成的包含取证工具的启动盘，因此直接在系统里操作。取证工具、创建的磁盘镜像文件，都放在虚拟机的共享磁盘上，尽可能避免改变目标文件系统。

#### 1、使用X-Ways Forensics 

这个工具就是Winhex的取证加强版，因此界面几乎都一样。 

1、工具栏选择Create Disk Image

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsFQp7v2jwoiwf33OZ%2Fimage.png?alt=media\&token=0f4fa053-5224-479e-8d97-7e6e7a6446c7)

2、直接给整个磁盘创建镜像，创建分区镜像可以选择上边的

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsFWAEesYJlA_1BPEi%2Fimage.png?alt=media\&token=1676ca47-f06b-4ceb-bbdc-caee1d2bb2ec)

3、选择好存储路径后点OK开始

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsFd5EpKvzeWREFEce%2Fimage.png?alt=media\&token=8c33864d-3f01-4706-b3ef-abd7a62341dd)

4、开始创建镜像，镜像备份的速度比dd真是快的太多了

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsFhgVlcjQW4oBAv8W%2Fimage.png?alt=media\&token=e14249ff-770b-4aa1-8e85-dcd7e834d956)

全盘备份5.8GB，要比guymager备份的文件容量多1GB，这个结果可能是受到了在线备份镜像的影响

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsFlZYBd8TuTozm_MQ%2Fimage.png?alt=media\&token=55d6ec4a-095b-47ba-b538-bbd9b488fd16)

#### 2、使用AccessData FTK Imager 

由于我找到的这个版本不支持32位系统，因此只能使用它在另外一台x64虚拟机做一个创建镜像的演示。（D盘环境存在相同的文件读写删除操作）

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsFyrHOW2mSAyillZV%2Fimage.png?alt=media\&token=b1cfefc9-f4e2-404b-afaf-f2cccbb1d561)

1、同样在工具栏选择Create Disk Image

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsG57oHBrBWIUjPwF0%2Fimage.png?alt=media\&token=61b41fa1-d7fe-4ecf-b14e-6347e6c46088)

2、选择整个磁盘或分区，这里准备备份一个分区D盘

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsGB2wxzuqkjehXf75%2Fimage.png?alt=media\&token=0da49800-6a51-49eb-9955-ecfe743e18bc)

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsGFLIxbNLmFQj7dAY%2Fimage.png?alt=media\&token=af616246-9730-4d25-a909-c288cd2419eb)

3、选择备份类型，这里不建议用Raw，那样就跟dd一样创建一个和磁盘大小一样的镜像，无视实际使用空间大小

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsGKc0VqzxGYbkZu7h%2Fimage.png?alt=media\&token=b8404611-3ad4-4031-9c13-2397350eb66e)

4、按需填写证据信息

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsGT3GVvDEfMatLf6v%2Fimage.png?alt=media\&token=fa413fac-02ca-4775-a9b1-9e2c0a94e96d)

5、选择存储位置，之后开始创建镜像

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsGWoeuLM3DaE3OWHl%2Fimage.png?alt=media\&token=1d2dbe5e-5dcb-4c37-b089-331dc2958921)

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsGYrruAB55mn6LyQX%2Fimage.png?alt=media\&token=acbab70c-e96c-40f3-9c20-3bd8d26b1a2a)

D盘镜像大小21.6MB（如果使用RAW格式，将会是10GB）

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsGcfIgx9-5g7Zq5GD%2Fimage.png?alt=media\&token=8f7660af-5f73-441f-a847-7b5dbebb01ae)

## 3、分析磁盘镜像 

Linux下分析镜像的工具没有发现什么比较好的，因此放弃Linux，只在Windows下进行。

### 1、X-Ways Forensics分析证据

相较于FTK，X-Ways拥有更完善的案件、证据管理模式，可以保存案件后续再接着分析。 

1、创建案件

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsGsvcs1kfGBQKa7X1%2Fimage.png?alt=media\&token=d0f93a92-646d-4b1a-a456-29c098a55b8f)

2、导入证据：可以导入各类证据，这里选择镜像

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsGzyPhqpsSIQujnx9%2Fimage.png?alt=media\&token=74c32391-c6a7-466f-9dd1-f3536fe42de3)

3、导入前面创建的4个镜像（包含两个全磁盘镜像、1个x86虚拟机的D盘、1个x64虚拟机的D盘）

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsH5OuZNGwtrs1hUVk%2Fimage.png?alt=media\&token=6a037079-d9e6-4f57-99be-72289e79bb28)

4、查看D盘里的文件，可以正常显示图片，但是这里没有看到被删除的文件（被删除的文件显示为半透明）

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsHFT2n1neMGu2Nty1%2Fimage.png?alt=media\&token=722b3e15-a5b8-4297-99bd-c9e9f8182ef5)

5、寻找被删除的文件：由于删除时，是先del进入回收站，然后清空的，因此被删除的文件会在回收站的路径中。

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsHNfibOpoR7v7_tJy%2Fimage.png?alt=media\&token=7c9f9589-ff28-441d-b2fd-535668b65736)

6、可以将镜像中有需要的文件恢复出来进一步分析

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsHURerKGTive2jCIm%2Fimage.png?alt=media\&token=ecfcc06e-4c76-4953-a825-2f2c62870f2b)

### 2、AccessData FTK Imager分析证据 

1、添加证据

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsHcDu1YYhc0HRETOE%2Fimage.png?alt=media\&token=ef77e13a-f4c6-42eb-ba11-61dcd4bc7650)

2、选择镜像文件，之后选择位置即可

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsHgEGaRZtcypSoH2W%2Fimage.png?alt=media\&token=8595fc4f-8388-4334-aaff-24b968e25587)

3、将4个镜像全部载入，这里不支持重命名

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsHkjML3VQfvweyQI4%2Fimage.png?alt=media\&token=6ed764a5-008d-4c87-8535-0b467669e00a)

4、分析文件：FTK同样可以直接预览txt、jpg

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsHuNW-bj2BLFkWO2d%2Fimage.png?alt=media\&token=9ee96884-ef64-4788-ac8b-adbbfcc0eb6a)

5、寻找被删除的文件：同样到回收站目录下寻找被清空的文件，这里是使用红叉表示其被删除了

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsI9ZZqIjjXJQR_Ajv%2Fimage.png?alt=media\&token=6c8531bf-3138-42fe-b034-80c546b8c590)

6、导出文件：FTK同样可以导出镜像内的文件

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsII9yftxjrG_DjGc9%2Fimage.png?alt=media\&token=4d03b463-6868-4b7a-81ab-a000e10bdef3)

#### 磁盘镜像挂载

1、FTK有个特殊功能，可以把磁盘镜像映射为一个虚拟磁盘

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsITNGx0scdcrWNpFN%2Fimage.png?alt=media\&token=d3491c87-e295-4091-9501-a375823ba705)

2、这样就多了一个和win7x86主机里一样的分区

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsIdTj15MiukkwjA74%2Fimage.png?alt=media\&token=d25afffc-2aff-49e9-a8b1-c38ff56fc227)

3、不用的时候unmount即可

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsIjX0wLVgHV2RFrzC%2Fimage.png?alt=media\&token=178acf1b-b18c-4975-ae24-6449c1a2f422)

## 四、快速提取镜像内的文件 

```
## 使用foremost提取磁盘映像里的文件

foremost -t all -i sda3    
# -i指定镜像文件，-t指定文件类型，all是所有支持的类型，具体支持的类型查看man
```

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsJBQW6PdRpbtL8-0z%2Fimage.png?alt=media\&token=7b9bf7d4-e3fd-430a-8bb9-508b0195ad41)

经过测试，jpg、mov、txt、docx四种类型的文件，只能提取到docx和jpg两种格式的文件

![](https://172932098-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-MC0hWgbNjaxH4i6ny5D%2F-MDsAMBYX-omzgy4ncHl%2F-MDsJF1-xxfmuYUWZE9n%2Fimage.png?alt=media\&token=95d5816a-fcaf-4d9f-a74b-b016bc524ec1)