什么是取证镜像?
取证镜像(又称取证副本)是指对物理存储设备进行的逐位、逐扇区直接复制,包含所有文件、文件夹以及未分配空间、空闲空间和松弛空间。取证镜像不仅包含操作系统可见的所有文件,还包括已删除文件及残留在松弛空间和空闲空间中的文件片段。
取证成像是计算机取证的一个组成部分,法证检查员通过计算机调查分析技术收集数字证据,以便在法庭上呈现。
取证镜像在网络安全中的应用
在网络犯罪案件中,除了通过操作系统获取的证据外,还可能发现其他证据。这类原始证据包括为阻止电子取证而已删除的涉案数据。除非数据被安全删除并覆盖,否则通常可以通过取证或数据恢复软件进行恢复。
创建取证镜像并备份可防止因驱动器故障导致的数据丢失。作为证据的数据丢失可能对案件审理造成不利影响。取证数字镜像文件还能防止关键文件的丢失。
取证镜像类型
捕获存储设备内容时可创建三种类型的取证镜像,具体采用哪种方式取决于可用技术和业务需求:
- 物理镜像:捕获存储设备的全部内容,包括活动数据、未使用或未分配空间,以及可能仍驻留在存储单元中的已删除数据。
- 逻辑镜像:通过扫描存储设备通常只捕获活动数据。
- 定向镜像:识别并对特定数据(如法律检查所需的数据)进行成像。
取证镜像格式类型
多种不同的取证镜像格式满足不同需求,主要格式包括:
- 原始镜像:也称为DD,这种镜像类型是简单的未压缩克隆,包含已删除文件和未分配空间,被Autopsy等工具广泛支持。
- EnCase镜像:也称为E01,是一种带有元数据和完整性检查的压缩格式,常见于法律调查。
- 高级取证格式:AFF是一种开源格式,支持压缩和加密,并将数据和元数据存储在一起。
- SMART格式:包含压缩和分段功能,用于特定取证工具处理大型数据集。
- FTK取证工具包:FTK是Exterro的专有成像器格式,具有哈希验证功能,最适合证据完整性要求。
捕获和创建取证镜像
生成存储设备的数字取证镜像需要工具和软件来扫描设备、捕获所需内容,并将精确副本提供到另一个存储设备。几乎所有具有存储功能或能力的设备都可以创建取证镜像,例如硬盘、CD-ROM、闪存驱动器、手机、计算机、智能手机甚至网页都可以实现。
例如,OpenText EnCase Forensic软件创建用于存储和未来取证分析的镜像格式。成功的取证镜像具有以下特征:
- 被扫描设备与扫描技术成功连接
- 源设备及其数据未被修改
- 扫描技术生成待扫描数据的真实副本
写阻止是一种在扫描过程前后和期间防止对源设备进行任何更改的技术。写阻止器通常位于源设备和扫描系统之间,可用于不同的存储设备。
在作为取证成像过程一部分扫描数据时,会放置写阻止器,以确保数据及其所在驱动器不会被更改。然后扫描数据并格式化以供存储和分析。
为什么取证成像很重要?
取证成像可防止原始数据丢失。这些成像工具和技术是确保电子数据能够成功作为证据被法庭或法律程序采纳的唯一途径。
内存系统或主存储设备的详细镜像提供其内容的准确信息,使取证专家能够诊断现有和潜在问题。执法部门需要准确且可验证的数据,以用于法律或合规审计,作为取证调查的一部分。
取证镜像的挑战
取证成像面临若干挑战,最重要的是:
- 保持真实性:在涉及加密或反取证工具时确保精确复制可能很困难
- 大镜像尺寸:特别是原始格式,可能对存储需求和访问逻辑造成压力
- 时间限制:对大型驱动器成像时可能出现,可能延迟紧急调查
- 工具兼容性问题:并非所有软件都支持每种格式
- 法律复杂性:包括在避免数据篡改的同时满足监管链标准