2014电子物证大纲

第三章 电子物证检验工具

学习目的和要求:熟悉电子物证检验常用的硬件和软件工具。

第一节硬件工具

一、电子数据保全备份设备

电子数据保全备份是电子物证检验中最重要的一个环节,在进行电子物证检验之前,必须在不损坏原有数据的情况下,对被检验的存储介质进行完整精确的备份;在检验过程中,采取写保护方式读取存储介质中的电子数据,不进行任何写入和修改等操作;对检验分析的存储介质或文件进行完整性校验,保证被检验电子数据的原始性、完整性、有效性,没有被其他电子数据污染。

电子数据保全备份要用到的设备主要有克隆设备、数据擦除设备、存储介质只读设备。 (一)克隆设备

为了避免在检验过程中破坏源存储介质,需要在检验前对源存储介质做逐位精确的备份,即克隆。克隆设备主要是对硬盘、光盘等存储介质进行逐位复制,克隆的同时能够进行校验。

1. 硬盘克隆设备

硬盘克隆设备主要是专用硬盘克隆机,其主要技术指标有: ? 数据镜像100%

? 自动对源盘、目标盘进行Hash校验 ? 数据镜像具有单项性

? 复制速快,高于3GB/分钟的数据传输速度

? 兼容性好,适用IDE、SCSI、SATA、USB等各种接口 2. 光盘复制设备

光盘复制机为高速复制设备,支持光盘对光盘、光盘对硬盘的快速复制,操作十分简便。 主要技术指标:

? 复制速度CDROM1-5分钟,DVD5-10分钟 ? 具有载入(Load)、复制(Copy)、对比(Compare)、检查(Verify)等功能 ? 可自动识别光盘格式,如CD、VCD、DVD,并自动执行对应的复制操作 (二)数据擦除设备

为了保证用来制作保全备份的目标磁盘是“干净的”,在克隆前没有被其他数据污染,在进行保全备份之前,必须对目标磁盘进行数据擦除。数据擦除设备采用先进的数据覆盖技术能够快速擦除硬盘数据,可以彻底地擦除存储介质中原有的数据。

(三)存储介质只读设备

存储介质的只读设备常见的有带各种只读接口的电子物证取证专用机、只读读卡器、只读锁、只读硬盘盒、USB只读接口、便携式写保护箱等。这些存储介质写保护设备,可以方便地将证据盘接入计算机取证专用设备,直接进行取证和分析,同时能使证据盘数据的属性不发生变化,以保证取证和检验过程的司法有效性。

二、专用电子物证检验分析设备 主要特性:

?可直接把嫌疑系统硬盘取下,插入专用电子物证检验分析设备中,直接获取数字证据。

21

?可以直接从IDE/EIDE/ATA/SATA/ATAPI/SCSII/SCSIII/SCSIIII等硬盘和存储设备中捕获数据,并把司法镜像存储到DVD、CD或是其它硬盘中。

?可以从软盘、CD-ROM、DVD-ROM、CompactFlash、微硬盘、SmartMedia,、MemoryStick、MemoryStickPro、xD卡、SecureDigitalMedia和MultimediaCards中获取信息。

此外,还有针对手机进行取证的专用手机取证分析设备,具有对手机信号进行屏蔽、直接连接手机获取电子数据信息等功能。

三、接口转换设备

常用的硬盘和存储介质转接口主要有IDE到SATA硬盘转换接口、SATA到IDE硬盘转换的硬盘转换接口、2.5硬盘到3.5IDE线的转换接口,微硬盘及CF卡到3.5IDE线转换接口等。

四、数据连接线

此外,在电子物证检验过程中,还要用到大量的连接硬盘、手机等不同存储介质的各种类型的电子数据连接线等硬件设备。

第二节软件工具

一、查看软件

查看软件主要主要有以下几种:

?IECookies查看类软件:可查看IE的Cookies信息。

?文档快速查看类软件:例如,QuickViewPlus是目前基于Windows平台最优秀的文档内容游览工具。该程序可支持的文件格式多达200种以上,全面支持目前面世的各版本的Windows系统。

?图片浏览类软件:可查看所有BMP、GIF、JPG、TGA、TIF等图片格式文件。

?邮件浏览类软件:可查看Eudora、NetscapeMessenger、OutlookExpress、Pegasus、FoxMail、Calypso以及Agent等不同邮件软件中的电子邮件信息。

?影音文件浏览类软件:可直接打开影音文件播放。

?压缩文件浏览类软件:可以解压缩ZIP、RAR等压缩文件,查看其中内容。 ?乱码查看类软件:将乱码通过一定的转换,形成可浏览的信息。 二、克隆硬盘的软件

(一)Windows下克隆硬盘的软件工具

Windows下克隆硬盘时使用的主要软件工具:Safeback、SnapBack、Encase。 硬盘克隆是对驱动器精确复制,不仅能获得所有文件,且包括所有的已被删除或隐藏的文件、未分配区域、磁盘闲散空间等。克隆包括全盘镜像、分区镜像。为保持镜像文件的完整可靠,可计算镜像文件的哈希值,并存储在输出的审计文件中,恢复后可验证其哈希值是否一致,以确认文件是否被修改过。

(二)UNIX/Linux下克隆硬盘的软件工具

UNIX/Linux下使用的主要克隆硬盘的软件工具:dd 三、数据恢复软件 (一)DOS操作系统

在DOS操作系统中,使用Undelete命令。 (二)Windows系统

在Windows操作系统中,使用的工具软件主要有: 1.EasyRecovery。EasyRecovery使用Ontrack公司复杂的模式识别技术找回分布在硬盘上不同地方的文件碎块,并根据统计信息对这些文件碎块进行重整。EasyRecovery在内存中

22

建立一个虚拟的文件系统并列出所有的文件和目录。哪怕整个分区都不可见或者硬盘上也只有非常少的分区维护信息,EasyRecovery仍然可以高质量地找回文件。用EasyRecovery可找回数据、文件的前提就是硬盘中还保留有文件的信息和数据块。

2.RecoverNT。RecoverNT是一个提供图形界面的小工具,可以非常安全、方便地恢复包括FAT16、FAT32、NTFS等文件系统下删除的文件,在提供删除文件的恢复同时,它还提供被删除文件的文件名、大小、日期、损害程度等相关信息,以帮助用户可以非常迅速地进行删除恢复文件定位。

3.FinalData。FinalData可以通过寻找保存在数据扇区中的信息和使用留在硬盘上的实际数据来恢复清空的文件。FinalData具有强大的恢复功能,能恢复从Windows中删除的最难恢复的文件,甚至硬盘信息由于病毒或者硬盘格式化或者目录结构由于文件覆盖被部分破坏,FinalData也能够恢复原始数据。

4.R-Studio。R-Studio是功能超强的数据恢复、反删除工具,采用全新恢复技术,可恢复FAT12/16/32、NTFS、NTFS5(Windows2000系统)和Ext2FS(Linux系统)分区的磁盘数据;能够重建损毁的RAID阵列;为磁盘、分区、目录生成镜像文件;恢复删除分区上的文件、加密文件(NTFS5)、数据流(NTFS、NTFS5);恢复FDISK或其它磁盘工具删除过的数据、病毒破坏的数据、MBR破坏后的数据等等。

5.Encase。Encase能深入操作系统底层查看所有的数据。包括松弛空间(slackspace,数据不能装满操作系统所定义的最小块时剩余的空间)、未分配空间(unallocatedspace,未使用的空间和文件删除后未再分配的空间)、Windows交换分区的数据等。

6.DiskForen。DiskForen可以对各种情况引起的数据丢失进行恢复,包括人为有意或无意的操作、病毒等外界因素所导致的文件被删除、目录被删除、磁盘格式化、磁盘软故障或磁盘硬故障等多种数据灾难。

(三)UNIX操作系统系统

UNIX系统使用的Unrm和Lazarus工具软件。Unrm和Lazarus用来恢复被删除的数据。Unrm程序通过把所有处于空闲状态的数据块的内容都按字节拷贝到取证软件的数据空间来防止对原始数据的破坏。Lazarus的作用是整理由Unrm找回的未知结构的数据,以方便用户阅读和操作。它有两个基本功能:取得原始数据和对这些数据进行分割和分析。它只是把原始数据划分成小的数据片,而不对它们进行任何改变。Lazarus还能通过检查数据片中最初10%的字节是否为可打印的字符来确认该数据的类型——文本或二进制。如果是文本数据,它甚至还会对照一系列常用的格式确定更精确的细节。

四、密码破解软件 1.办公文档类密码破解软件。例如,AdvancedOffice2000(XP)PasswordRecovery(AOPR)可以帮助获取MicrosoftWord、Excel、Access、PowerPoint等办公软件的打开和修改密码,能够提供暴力破解、mask破解和字典破解三种方式来尝试获取加密文件的密码。

2.EFS加密类破解软件。EFS(EncryptingFileSystem,加密文件系统)是Windows系统特有的一个功能,对于NTFS卷上的文件和数据,都可以直接被操作系统加密保存,在一定程度上提高了数据的安全性。EFS加密只对NTFS5分区上的数据有效(NTFS5分区指由Windows2000/XP格式化过的NTFS分区;而由WindowsNT4格式化的NTFS分区是NTFS4格式的,不支持EFS加密),EFS无法加密FAT分区上的数据。例如,AdvancedEFSDataRecovery能够直接读取NTFS分区里经过EFS加密的文件。

3.压缩文件类密码破解软件。例如,压缩文件密码破解软件AdvancedArchivePasswordRecovery可用来恢复ZIP、ARJ、ACE、RAR等类型的文件所加入的密码。压缩文件密码破解软件获取文件密码的方式可以有:暴力破解、模糊攻击、字典和无格式文本攻击。

23

4.邮箱在线类密码破解软件。例如,邮箱在线破解可使用AdvancedMailboxPasswordRecovery来实现,它是一个基于POP3协议的自动登录机。一般对于UNIX机器来说,其每一个用户都有相应的Email账号,而且Email账号密码和登录密码是一样的。这样,如果能够得到用户的Email账号密码,就可以得到他的登录密码。邮箱在线破解软件就是利用POP3协议的功能,对可能的用户密码进行登录试验,从而获得用户的密码。

5.邮件客户端密码破解软件。例如,OutlookExpress密码破解可使用AdvancedOEPasswordRecovery来完成,它可以恢复服务器名、登陆信息和密码。

6.网络即时通讯工具类密码破解软件。随着互联网的发展,QQ、MSN、网易泡泡、新浪UC等网络即时通讯工具层出不穷,使用的人越来越多。有很多专用软件可以破解本地网络即时通讯工具登陆密码和聊天记录。

7.系统开机和登陆密码破解软件。以Windows系统为例,在BIOS中可以设置计算机开机密码,在控制面板的“用户帐户”中可以设置系统不同用户的登陆密码。我们通常对CMOS放电或跳线短接去掉开机密码,或者用Debug、mospwd、Biospwds等工具软件去掉开机密码。用深山红叶工具箱或ERDCommand等工具软件破解系统登陆密码。

五、文件一致性检验软件 文件一致性检验软件(如md5sum)可根据文件内容生成一组用于描述文件唯一性的128位的二进制数字(32位的十六进制),是文件或磁盘内容的“数字指纹”,只有在两份文件的内容完全一样时哈希值才会相等。

六、电子物证综合检验分析软件 (一)Encase

GuidanceSoftware公司开发的电子数据取证和分析软件,该软件功能完善,实用性强,世界上大多数国家的司法鉴定部门已将Encase作为电子数据取证与分析的主要工具。

Encase主要功能有: ?证据数据的完整性固定

?搜索和分析多种文件系统和存储介质 ?图库可以自动识别所有图形文件 ?支持NTRAID卷

?可以通过并口、网线、特殊硬件等对磁盘内容进行预览 ?生成和维护用户自定义文件HASH值 ?支持对磁盘内容的关键词搜索

?可以使用二进制/文本格式显示任意文件内容 ?破解加密或口令保护的文件 ?文件特征分析 ?删除文件恢复 ?查看复合文件

(二)FTK(ForensicToolkit)

AccessData公司的FTK主要功能有: ?集成的数据库 ?支持多国语言

?支持增强的电子邮件功能 ?数据挖掘 ?删除数据恢复 ?支持新文件系统

24

联系客服:779662525#qq.com(#替换为@)