磁盘取证基础
磁盘取证基础
磁盘取证是数字取证中最基础也是最重要的分支之一。通过对存储介质的深入分析,调查人员可以提取大量有价值的信息,包括已删除文件、隐藏数据、用户活动痕迹等。
一、磁盘基础概念
1.1 存储结构
硬盘存储采用层次化结构:
- 磁道(Track):盘片上同心圆形状的数据轨道
- 扇区(Sector):磁道上最小的存储单元,通常为 512 字节或 4096 字节
- 簇(Cluster):文件系统分配存储空间的最小单位,由若干连续扇区组成
- 柱面(Cylinder):所有盘片上同一位置磁道的集合
1.2 分区与文件系统
- MBR(主引导记录):位于磁盘第一个扇区,包含引导代码和分区表
- GPT(GUID分区表):较新的分区方案,支持更大磁盘和更多分区
- 常见文件系统:NTFS、FAT32、exFAT、ext4、APFS、HFS+
二、磁盘镜像制作
2.1 为什么需要磁盘镜像
磁盘镜像是原始存储介质的逐位复制,取证工作必须在镜像上进行,以保护原始证据不受破坏。
2.2 常用镜像工具
dd 命令(Linux)
# 制作完整磁盘镜像
dd if=/dev/sda of=/mnt/external/disk_image.E01 bs=4096 conv=noerror,sync
# 显示进度
dd if=/dev/sda of=/mnt/external/disk_image.raw bs=4096 status=progressFTK Imager(Windows)
- AccessData出品的免费工具
- 支持制作E01、AFF、RAW等多种格式
- 自动计算MD5/SHA-1哈希值
- 可预览磁盘内容
dc3dd
- 增强版dd,内置哈希计算功能
- 支持分段输出和进度显示
dc3dd if=/dev/sda hof=/mnt/external/image.E01 hash=sha256 log=/mnt/external/hash.txt2.3 镜像格式对比
| 格式 | 特点 | 适用场景 |
|---|---|---|
| RAW (.dd/.raw) | 原始逐位复制,无压缩 | 通用性最强 |
| E01 (EnCase) | 压缩、分段、内置校验 | 法律取证标准 |
| AFF | 开源格式,灵活扩展 | 学术研究、开源工具 |
| VMDK | 虚拟机格式 | 虚拟化环境分析 |
三、文件系统分析
3.1 NTFS文件系统
NTFS是Windows系统最常用的文件系统,取证价值极高:
- $MFT(主文件表):记录所有文件和目录的元数据
- $LogFile:事务日志,记录文件系统操作
- $UsnJrnl:更新序列号日志,记录文件变更历史
- $Recycle.Bin:回收站,包含已删除文件信息
- $Secure:安全描述符信息
3.2 EXT4文件系统
Linux常用文件系统:
- Superblock:文件系统全局信息
- Inode:文件元数据结构,包含权限、时间戳等
- Block Group:数据块分组管理
- Journal:日志记录,保障数据一致性
3.3 文件系统时间戳
NTFS维护四个关键时间戳(MACB):
- M(Modified):文件内容最后修改时间
- A(Access):文件最后访问时间
- C(Created/Metadata Changed):文件创建或元数据变更时间
- B(Born):文件创建时间(NTFS特有)
四、数据恢复原理
4.1 文件删除的本质
当文件被"删除"时,操作系统通常只是标记该文件占用的空间为可用,而实际数据仍保留在磁盘上,直到被新数据覆盖。
4.2 基于文件系统的恢复
- 分析文件记录:通过MFT或Inode恢复被删除文件的元数据
- 文件签名搜索(Carving):利用文件头尾特征码在未分配空间中提取文件
- 日志分析:从文件系统日志中恢复操作记录
4.3 文件雕刻(File Carving)
文件雕刻是不依赖文件系统元数据,直接从原始数据中提取文件的技术:
- 按照已知的文件头/尾签名进行切割
- 常用工具:Scalpel、Foremost、Bulk Extractor
- 对严重损坏的文件系统尤为有效
五、Autopsy使用指南
5.1 Autopsy简介
Autopsy是开源的数字取证平台,由Basis Technology开发维护,是Sleuth Kit的图形化前端。
5.2 创建案例并导入镜像
- 启动Autopsy并创建新案例
- 填写案例信息(名称、编号、检查员等)
- 添加数据源——选择磁盘镜像文件
- 配置数据源处理器(自动运行文件分析、哈希计算等)
5.3 关键分析模块
- 文件分析:浏览文件系统、查看文件内容、提取已删除文件
- 关键词搜索:支持正则表达式的全盘搜索
- 时间线分析:按时间维度展示文件和事件活动
- 哈希过滤:对比已知文件库,快速过滤已知文件
- Web分析:提取浏览器历史、书签、Cookie
- Email分析:解析邮箱文件,提取邮件内容
5.4 时间线分析
时间线分析是磁盘取证中最常用的功能之一:
- 将所有文件系统事件按照时间排序
- 识别异常时间段内的可疑活动
- 建立攻击者的操作序列
- 关联不同来源的证据
六、实战注意事项
- 始终使用写保护设备连接原始磁盘
- 镜像制作完成后立即计算并记录哈希值
- 分析工作在镜像副本上进行,保留一份原始镜像备份
- 详细记录每一步操作,维护证据链完整性
- 注意时区设置,确保时间戳解读准确
七、总结
磁盘取证是数字取证的基石。掌握磁盘镜像制作、文件系统分析和数据恢复技术,能够帮助蓝队人员在安全事件中获取关键证据。Autopsy作为功能强大的开源工具,为取证分析提供了便捷的操作界面和丰富的分析功能。