首页 > 其他分享 >磁盘取证

磁盘取证

时间:2022-10-30 14:34:28浏览次数:72  
标签:文件 cyq 取证 -- dd 磁盘

磁盘取证


免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.


简介

一般来说取证就是收集并分析证据,并为司法行动中的展示构建事实的一个过程。但在计算机技术中,或在计算机取证技术中,取证就是通过专门的技术来发现证据的过程,这些证据可被用于确认计算机、计算机网络、相关设备、数据存储媒体是否被用于实施犯罪或未授权的活动。在计算机的取证领域中,取证人员在取证调查的整个过程中证明证据媒体没有在任何方面被篡改是至关重要的。其中一种方法是对原始的证据媒体作一个映象复制,并对映象复制品展开调查,以防止对原始证据的任何更改。

相关文章


磁盘提取

Linux

dd & nc

  • 本地取数据

    fdisk -l    # 查看磁盘及分区
    dd if=需要拷贝的磁盘 of=/存储目录/镜像文件 (确保存储目录有足够的空间) # 获取整个磁盘镜像文件
    
  • 远程取硬盘数据

    # 取证机器 B 上运行
    nc -l -p 4445 | dd of=/tmp/sda2.dd
    
    # 受害机器 A 上执行传输,即可完成从受害机器 A 克隆 sda 硬盘到取证机器 B 的任务:
    dd if=/dev/sda2 | nc 192.168.10.11 4445
    

FTK Imager for Linux

./ftkimager --help          # 查看帮助信息
./ftkimager --list-drives   # 查看当前加载的驱动器列表

# 获取/dev/sdb 这个磁盘的 E01 模式的文件映像
./ftkimager /dev/sdb /tmp/cyq.e01 --e01 --frag 500M --description "cyq" --examiner cyq
    # /dev/sdb              取证目标驱动器名称
    # /tmp/cyq.e01          取证文件的名称和路径
    # --e01                 表示使用 E01 格式。
    # --frag 500M           表示每 500MB 分成一个文件,在映象片断的大小中,用户可以可以选择将映象分割为多个文件以便于在 DVD 或 FAT 文件系统中中备份
    # --examiner cyq        取证操作人员的姓名简称
    # --description "cyq"   操作说明

# dd 镜像格式是目前被最广泛使用的一种镜像格式,也称成原始格式 (RAW Image)。dd 镜像的优点是兼容性强,目前所有磁盘镜像和分析工具都支持 dd 格式。
# E01 是法证分析工具 EnCase 的一个证据文件格式,较好地解决了 dd 镜像的一些不足。在生成 E01 格式证据文件时,会要求用户输入与调查案件相关的信息,如调查人员、地点、机构、备注等元数据。这些元数据将随证据数据信息一同 存入 E01 文件中。文件的每个字节都经过 32 位的 CRC 校验,这就使得证据被篡改的可能性几乎为 0。默认情况下,分析软件自动以每 64 扇区的数据块进行校验,这种方式兼顾速度和完整性两个方面的考虑。获取个磁盘的 E01 模式的文件映像需要一些时间,根据磁盘大小和硬件型号有所差异.

xmount - xmount 工具可以把 E01 格式的镜像文件转化为 VDI 或者 VMDK 格式。然后用户可以使用 VirtualBox 和 Vmware 软件打开文件进行取证操作。

rpm -ivh https://forensics.cert.org/cert-forensics-tools-release-el7.rpm
yum install -y xmount

groupadd fuse
groupadd cyq
usermod -a -G fuse cyq
vi /etc/fuse.conf

++ user_allow_other
mkdir ~/mnt0
xmount --in ewf --out vdi --cache ~/tmp/MyDisk.cache ~/tmp/cyq.E?? ~/mnt0
    # --in ewf              表示源文件是 E01 格式。
    # -~/tmp/cyq.E??        表示源文件的路径,并且可能是多个文件。
    # --out vdi             表示输出格式是 vdi。
    # /mnt0                 输出文件的目录。
    # --description "cyq"   操作说明。
    # ~/tmp/MyDisk.cache    缓存文件名

# 建立 vdi 文件后,可以使用 VirtualBox 虚拟机导入这个 vdi 文件进行取证分析。
# 建立 vmdk 文件后,可以使用 Vmware Workstation 导入这个文件进行取证分析。

Vmware

VMware-converter

管理员权限打开,选择 local machine

然后选择取证生成的镜像目标类型,这里就选 vmware,select vmware product 是选择适配 vmware 的版本,最后一个选项 select a location for the vitual machine 选择是保存位置,比如移动硬盘或者 nas。

当完成时候就生成了 vmware 可以跑起来的镜像。格式是 vmdk,仿真就直接可以用 vmware 打开。

AccessData FTK Imager


磁盘分析

分析工具

光盘镜像

  • UItralSO

磁盘加解密

相关文章

相关工具

  • TrueCrypt - 一款用于动态加密(OTFE)的免费开源软件。它可以在一个文件中创建一个虚拟的加密磁盘,或加密一个分区或整个存储设备。(已不推荐使用)
  • VeraCrypt - TC 的替代品
  • Elcomsoft Forensic Disk Decryptor - 如果有密码,工具可以安装加密的卷或将其解密以进行脱机分析

磁盘加密爆破

相关工具

BitLocker

点击关注,共同学习!
安全狗的自我修养

github haidragon

https://github.com/haidragon

标签:文件,cyq,取证,--,dd,磁盘
From: https://www.cnblogs.com/haidragon/p/16841222.html

相关文章

  • 内存取证
    内存取证免责声明本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.简介内存取证一般指对计算机及相关智能设备......
  • USB取证 学习笔记
    USB取证免责声明本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.相关文章USB-CTFWikiUSB流量取证分析......
  • 记UNDOTBS1表空间过大导致磁盘空间不足的问题
    一、背景oracle19c的undotbs1表空间共20G,占用达到80%,于是于上月扩增30G,本月观察又达到了50%,翻看了其他项目的表空间,发现基本占用都在5%以下。于是寻求回收UNDOTBS表空间......
  • Linux磁盘分区
    在Linux的文件系统中,有个很重要的概念就是挂载,,除了根文件系统,其他所有文件系统都要先挂载到根文件系统中的某个目录之后才能访问。所谓的根文件系统就是系统启动的时候安......
  • 物理机异常断电,linux虚拟机系统磁盘mount失败,导致无法启动
    1)、报错如下   (2)进入/run/initramfs查看详细的报错日志rdsosreport.txt发现执行mount/dev/mapper/centos-root/sysroot命令的时候,挂载失败了或者输入:journal......
  • 用shell脚本巧解日志文件塞满磁盘导致系统挂起的困惑
    作者:田逸(formyz​)出事了,十万火急​一帮可爱的程序员,写的程序没有规划,程序、代码与日志一锅粥,而且都在某云的系统盘,不光生成的文件多,而且不做处理。有一天,来了个十万火急的求......
  • 如何修复 uTorrent 访问被拒绝(写入磁盘)
    尝试使用uTorrent下载文件时出现uTorrent的访问(Access)被拒绝错误?(Denied)发生此错误的原因有很多,例如软件损坏、临时错误、硬盘驱动器故障以及缺乏管理员权限。如果您......
  • ESXi 磁盘扩容
    ESXi中的虚拟机,在一开始创建的时候,本着节约硬盘的目的分配了有限的磁盘容量(因为我可能一开始也不知道这个虚拟机以后需要用到多少磁盘,提前预置磁盘空间有利于提高磁盘性能......
  • window 将一个文件夹映射成为一个磁盘方法
    1 运行打开注册表编辑器regedit2找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System然后把EnableLUA数值改为0然后重启电......
  • linux分配 /home磁盘给根目录
    系统为centos7系统安装之后,根目录空间只有50G,/home有800多G,而/home使用较少,所以将/home空间分配给根目录。1,查看磁盘使用情况:df-h 2,减少/home (/dev/mapper/centos-......