磁盘取证基础

约 7 分钟读完

磁盘取证基础

磁盘取证是数字取证中最基础也是最重要的分支之一。通过对存储介质的深入分析,调查人员可以提取大量有价值的信息,包括已删除文件、隐藏数据、用户活动痕迹等。

一、磁盘基础概念

1.1 存储结构

硬盘存储采用层次化结构:

  • 磁道(Track):盘片上同心圆形状的数据轨道
  • 扇区(Sector):磁道上最小的存储单元,通常为 512 字节或 4096 字节
  • 簇(Cluster):文件系统分配存储空间的最小单位,由若干连续扇区组成
  • 柱面(Cylinder):所有盘片上同一位置磁道的集合

1.2 分区与文件系统

  • MBR(主引导记录):位于磁盘第一个扇区,包含引导代码和分区表
  • GPT(GUID分区表):较新的分区方案,支持更大磁盘和更多分区
  • 常见文件系统:NTFS、FAT32、exFAT、ext4、APFS、HFS+

二、磁盘镜像制作

2.1 为什么需要磁盘镜像

磁盘镜像是原始存储介质的逐位复制,取证工作必须在镜像上进行,以保护原始证据不受破坏。

2.2 常用镜像工具

dd 命令(Linux)

# 制作完整磁盘镜像
dd if=/dev/sda of=/mnt/external/disk_image.E01 bs=4096 conv=noerror,sync

# 显示进度
dd if=/dev/sda of=/mnt/external/disk_image.raw bs=4096 status=progress

FTK Imager(Windows)

  • AccessData出品的免费工具
  • 支持制作E01、AFF、RAW等多种格式
  • 自动计算MD5/SHA-1哈希值
  • 可预览磁盘内容

dc3dd

  • 增强版dd,内置哈希计算功能
  • 支持分段输出和进度显示
dc3dd if=/dev/sda hof=/mnt/external/image.E01 hash=sha256 log=/mnt/external/hash.txt

2.3 镜像格式对比

格式 特点 适用场景
RAW (.dd/.raw) 原始逐位复制,无压缩 通用性最强
E01 (EnCase) 压缩、分段、内置校验 法律取证标准
AFF 开源格式,灵活扩展 学术研究、开源工具
VMDK 虚拟机格式 虚拟化环境分析

三、文件系统分析

3.1 NTFS文件系统

NTFS是Windows系统最常用的文件系统,取证价值极高:

  • $MFT(主文件表):记录所有文件和目录的元数据
  • $LogFile:事务日志,记录文件系统操作
  • $UsnJrnl:更新序列号日志,记录文件变更历史
  • $Recycle.Bin:回收站,包含已删除文件信息
  • $Secure:安全描述符信息

3.2 EXT4文件系统

Linux常用文件系统:

  • Superblock:文件系统全局信息
  • Inode:文件元数据结构,包含权限、时间戳等
  • Block Group:数据块分组管理
  • Journal:日志记录,保障数据一致性

3.3 文件系统时间戳

NTFS维护四个关键时间戳(MACB):

  • M(Modified):文件内容最后修改时间
  • A(Access):文件最后访问时间
  • C(Created/Metadata Changed):文件创建或元数据变更时间
  • B(Born):文件创建时间(NTFS特有)

四、数据恢复原理

4.1 文件删除的本质

当文件被"删除"时,操作系统通常只是标记该文件占用的空间为可用,而实际数据仍保留在磁盘上,直到被新数据覆盖。

4.2 基于文件系统的恢复

  • 分析文件记录:通过MFT或Inode恢复被删除文件的元数据
  • 文件签名搜索(Carving):利用文件头尾特征码在未分配空间中提取文件
  • 日志分析:从文件系统日志中恢复操作记录

4.3 文件雕刻(File Carving)

文件雕刻是不依赖文件系统元数据,直接从原始数据中提取文件的技术:

  • 按照已知的文件头/尾签名进行切割
  • 常用工具:Scalpel、Foremost、Bulk Extractor
  • 对严重损坏的文件系统尤为有效

五、Autopsy使用指南

5.1 Autopsy简介

Autopsy是开源的数字取证平台,由Basis Technology开发维护,是Sleuth Kit的图形化前端。

5.2 创建案例并导入镜像

  1. 启动Autopsy并创建新案例
  2. 填写案例信息(名称、编号、检查员等)
  3. 添加数据源——选择磁盘镜像文件
  4. 配置数据源处理器(自动运行文件分析、哈希计算等)

5.3 关键分析模块

  • 文件分析:浏览文件系统、查看文件内容、提取已删除文件
  • 关键词搜索:支持正则表达式的全盘搜索
  • 时间线分析:按时间维度展示文件和事件活动
  • 哈希过滤:对比已知文件库,快速过滤已知文件
  • Web分析:提取浏览器历史、书签、Cookie
  • Email分析:解析邮箱文件,提取邮件内容

5.4 时间线分析

时间线分析是磁盘取证中最常用的功能之一:

  • 将所有文件系统事件按照时间排序
  • 识别异常时间段内的可疑活动
  • 建立攻击者的操作序列
  • 关联不同来源的证据

六、实战注意事项

  • 始终使用写保护设备连接原始磁盘
  • 镜像制作完成后立即计算并记录哈希值
  • 分析工作在镜像副本上进行,保留一份原始镜像备份
  • 详细记录每一步操作,维护证据链完整性
  • 注意时区设置,确保时间戳解读准确

七、总结

磁盘取证是数字取证的基石。掌握磁盘镜像制作、文件系统分析和数据恢复技术,能够帮助蓝队人员在安全事件中获取关键证据。Autopsy作为功能强大的开源工具,为取证分析提供了便捷的操作界面和丰富的分析功能。

← 移动端取证基础 病毒与蠕虫分析 →