【乾貨】位元流複製裝置所有的資料------------資料恢復與檢視
來源: Unit 1: Computer Forensics Fundamentals 1.1 Computer Forensics Fundamentals Data Acquisition
凡是分類到計算機取證的一切文章,提到的所有工具都是免費的,大多數工具存在於名叫SANS SIFT Workstation也就是SANS社群(這個社群有驚人的安全培訓)的SIFT工作站,這個工作站下載下來直接匯入到虛擬機器中,你就可以擁有一切工具,以及整個實戰的感受環境,直面學習與體會黑客的核心技術。一切開源,幫助你增長收入,你自己會讓這些開源環境活下去,它相信大家的價值觀。它的安裝與下載方式在
不存在沒有上下文,盡情的思考,我們為何而學習理論。擁有理論並進一步實戰,理論是否應該為了實戰而服務?假如我們沒有擁有這些理論與實戰的備份,從日本的企業文化思考一下。如果你要招聘一個新員工,他出現了問題,你還能否再溯源和定位,你是否會指責他或者跟他說:噢,這一切都是我的責任,你不應該自責。你希望自己成為怎樣的人?請思考這個核心問題。一切的創業或著帶團隊都不應該擁有僥倖心理(沒技術沒關係,我招有技術的人。)最後,盡情感受這篇乾貨吧。
此實戰使用FTK Imager工具。它在downloads & supplies 文章中提供下載方式,使用在windows平臺。這裡複製的是1G的USB,它可以把USB中包括以及刪除掉的資料全都複製出來以及檢視它們。想想豔照門事件。
另外,如果你是法醫學從業者需要知道FTK Imager不保證在複製的過程中,多寫入一些資訊和1G的USB一起儲存到你的取證裝置裡。這意味著,你在複製現場的證據,但這個軟體額外的寫入東西改變了證據,這將使得你的取證可能會被判為無效證據。這裡可以使用寫入阻止程式,也可以使用收費的商業軟體來搞定這件事情。(由於寫入阻止程式需要人民幣來玩,這裡當然不用它,這不影響感受核心技術,最後提供商業軟體,已防你真的是從業者而不知道去哪裡獲取相關資訊)
建立磁碟映象
選擇你要複製的USB,它是犯人的物理裝置
選擇要複製成為什麼型別的映象以及把證據儲存到何處。一般情況下選擇DD型別,這是國際法庭普遍接受的證據格式。是的,多次提及法醫學,這意味著你一旦掌握所有的乾貨,就可以協助警察的工作並從中收益GDP和榮耀。
選擇你要儲存的路徑,以及複製好的檔案命名
這個選項是複製好了以後並計算雜湊驗證。結果有映象的MD5和SHA1值。這兩個值是複製好證據的值,再與證據本身的MD5和SHA1值(通過軟體計算得出)對比。一致就表示,你的副本和證據一致,沒有被篡改。
如果裝置存在壞扇區,這將有點麻煩,因為雜湊值不匹配。以後遇到再說,這裡偷懶。
這裡可以看見生存的雜湊值,以及是否存在壞扇區的提示。下面是證據和你複製的副本的MD5值與SHA1值。因為單使用MD5值會意外發生衝突,所以MD5與SHA1這兩個值一起看,確保兩個值都一致。
最後,我們來體驗一下檢視證據檔案。看看USB裡面的刪除資訊。匯入複製好的證據檔案。
你複製好的檔案是一個映象,選擇第三個。
FTK Imager這個工具只能檢視,FTK這個工具不僅可以檢視還能分析。紅色X標記的那個是刪除檔案。
還有其他功能。比如捕獲記憶體資料。這裡不跑題,自己感受。
最後,收費的工具可以去社群或者百度收集,我相信這是非常容易獲取到的,偷懶了。哈哈。