0×1 簡介
随着計算機犯罪個案數字不斷上升和犯罪手段的數字化,搜集電子證據的工作成為提供重要線索及破案的關鍵。恢複已被破壞的計算機資料及提供相關的電子資料證據就是電子驗證。nstrt也曾協助進行過電子驗證的工作,本期nstrt将以一個假定的案例對基于磁盤的電子驗證的過程進行一次講解。
在一般的資料驗證工作中,為了證據保全,確定驗證工作造成資料丢失,在擷取到證據媒體後,首先要做的就是對媒體資料進行全盤鏡像備份。在制作完鏡像備份後,接下來要做的就是對鏡像進行資料提取了。
本文按照資料提取的正常思路,來介紹如何利用磁盤存儲和檔案系統的知識來進行磁盤資料提取。
對磁盤資料進行備份的方式中,比較常見的格式有dd、img、raw等。在提取了磁盤鏡像後(本處使用dd鏡像),使用某些工具可以詳細地分析查找各種可用的資料。這裡以強大的tsk(the sleuth kit)工具包為例進行說明。(工具下載下傳)the sleuthkit可以對存儲鏡像做基于檔案系統層,資料層,inode層和檔案層等多個角度的詳細分析。
本例假設得到一個dd鏡像檔案image.dd,驗證的目标是查找jimmyjungle相關的資料資訊。
在本例中,我們制作好了一個dd鏡像,檔案名為image.dd。本次驗證的目标是查找與“jimmyjungle”相關的資料資訊。
在對磁盤資料進行驗證時,我們會進行多個層面的分析,包括檔案系統層、資料層、inode層和檔案層。這些不同的分析層面互相之間有着緊密的關聯。下面我們來一一介紹各個層面的對驗證的作用和分析過程
0×2 檔案系統層分析
在得到一個磁盤或鏡像後,一般首先會先進行檔案系統層分析。檔案系統層分析,顧名思義,就是了解磁盤分區的檔案系統資訊。擷取檔案系統資訊不是為了直接擷取資料,而是為了給後續的資料層分析和檔案層分析提供分析依據。這些分析依據包括扇區資訊、資料區域資訊、目錄區域資訊和簇資訊等。
在tsk裡面的fsstat工具用于分析鏡像的檔案系統資訊。使用方法非常簡單,直接在指令行後面加入磁盤或鏡像檔案的路徑。如下圖顯示了此鏡像的扇區總數為2879,資料區域位于扇區19-2879,磁盤根目錄位于扇區19-32,用于存放檔案的地方位于扇區33-2879。簇大小為512b,剛好一個扇區。
0×3 資料層分析
資料層分析簡單來說就是是分析磁盤鏡像中基于簇的資料資訊。資料層包含了檔案的真實内容。分析資料層的目的是在磁盤的簇資訊中查找目标相關的資料線索。資料在不同的檔案系統裡存儲在不同名稱的單元結構中。
我們首先提取未配置設定空間内容至un.ls:
然後提取un.ls裡面的ascii字元串(也可以按需求選擇其它格式字元串)。d:\program\sleuthkit-win32-4.0.2\bin>strings-t d d:/un.ls > d:\str.str,對un.ls立面的字元串進行搜尋,找到了jimmy jungle的相關内容:
發現資料内容jimmy jungle,其中第一個資訊位于未配置設定空間區域的第2560個扇區。下面我們以位址2560為第一個線索進行分析。
根據前面fsstat資料資訊得知,簇大小為512,用2612除去簇大小後得知資料位于第5到第6個簇的開頭之間。是以“jimmy jungle”的相關資料塊位于未配置設定空間中的第5個簇。下面使用blkcalc工具計算第5個簇的扇區位置。
計算出image.dd的第五個簇位于扇區的位置是38。
在原始dd鏡像中提取38号資料單元的内容。下圖使用指令blkcat,不加其它參數的話預設隻顯示1個簇内容。
0×4 inode層分析
首先介紹一下檔案系統的inode。對于系統來說,檔案名隻是inode号碼便于識别的别稱或者綽号。表面上,使用者通過檔案名,打開檔案。實際上,系統内部這個過程分成三步:首先,系統找到這個檔案名對應的inode号碼;其次,通過inode号碼,擷取inode資訊;最後,根據inode資訊,找到檔案資料所在的block,讀出資料。
通過inode層我們能夠了解到資料存儲單元與檔案屬性資訊的聯系。
我們使用ifind工具查找資料區域扇區号對應的檔案中繼資料資訊的位置:
由以上指令得知,此檔案的檔案中繼資料資訊位于第五個中繼資料結構單元。
下面我們使用istat工具來輸出此檔案的inode資訊:
0×5 檔案層分析
檔案層的分析主要是根據inode資訊來收集檔案的具體内容。
根據inode層所提供的資訊得知此檔案為一個字尾名為doc的文檔,大小為20480位元組,占用的扇區為33-72一共40扇區。占有的扇區包括如下
把此内容提取出來存為word檔案。
這樣一個完整的檔案就提取出來了。
至此,我們就根據得到的資訊提取出了一份完整的檔案 。
0×6 總結
通過以上的步驟,我們看到幾個層次之間的線索共享關系,并通過各種關聯的方法得到了最終想要的結果,除了上述的基于磁盤的驗證外。對其他類型資料的驗證技術也非常多,驗證的思路也多種多樣。這是一個最簡單的磁盤資料分析例子,希望能夠給大家對磁盤的驗證分析帶來一個系統化的分析和學習思路。目前電子驗證技術發展越來越快,并且已經從原先的pc端驗證延伸到了移動終端,在未來電子驗證也将成為資訊安全的一個重要分支領域,nstrt也将在以後的技術分享中繼續給大家介紹其他的驗證技術。
原文釋出時間為:2015-02-03
本文來自雲栖社群合作夥伴“大資料文摘”,了解相關資訊可以關注“bigdatadigest”微信公衆号