【愚公系列】2022年06月 磁盘取证工具的使用

举报
愚公搬代码 发表于 2022/06/30 21:25:49 2022/06/30
【摘要】 磁盘取证工具的使用1、镜像工具 dd计算机取证时需要为计算机生成一个磁盘镜像, 这个操作要在系统还在运行的时候或在系统关闭之前进行。最常使用的就是两个工具: dd 和 netcat(两者都是开源软件,安装简单)。dd 为我们生成磁盘的位镜像文件,而 netcat 将拷贝通过网络传送出去。你需要一台联网的电脑来接收该镜像文件,而且该电脑需要有足够的空间来存放镜像文件。复制/dev/xvdb ...

磁盘取证工具的使用

1、镜像工具 dd

计算机取证时需要为计算机生成一个磁盘镜像, 这个操作要在系统还在运行的时候或在系统关闭之前进行。最常使用的就是两个工具: dd 和 netcat(两者都是开源软件,安装简单)。dd 为我们生成磁盘的位镜像文件,而 netcat 将拷贝通过网络传送出去。你需要一台联网的电脑来接收该镜像文件,而且该电脑需要有足够的空间来存放镜像文件。

复制/dev/xvdb 到文件 cyqdrive.dd 中。读取错误时,忽略该错误而不停止拷贝行为。:

dd if=/dev/xvdb of=cyqdrive.dd bs=1024 count=1G

1)使用netcat传输数据到远程主机
当当前空间不足的时候,我们可以通过netcat工具将数据传输到远程主机。

  首先在远程主机上,启动 netcat 作为一个监听,用 netcat 监听 TCP 的 3452 端口,并将镜像写入文件 myimage.dd。

  nc -l -p 3452 > myimage.dd

  -l 监听模式,用于入站连接

  -p 监听端口(本地端口号)

  然后你可以对服务器进行镜像拷贝,并通过标准输出(没有指定输出的文件)来将镜像文件输出到 netcat,然后由 netcat 将镜像文件发送到目标服务器,使用如下命令:

  dd if=/dev/xvdb of=cyqdrive.dd bs=1024 count=1G  | nc 192.168.1.1 3452

2、使用 FTK Imager for Linux

   使用 FTK Imager 工具用户可以创建原始证据媒体的取证映象,如本地硬盘、闪盘、软盘、Zip 驱动器、CD、DVD 等。对于 FTK Imager 来说 Command Line Version(命令行版本)是免费的,可以访问 http://www.accessdata.com/support/product-downloads 下载对应的操作系统版本。下载后解压缩后即可使用,文件名称是 ftkimager。

 使用如下命令查看帮助信息

在这里插入图片描述
命令参数帮助如下图:
在这里插入图片描述
1)、首先查看当前加载的驱动器列表

使用如下命令:

  ./ftkimager --list-drives

在这里插入图片描述
获取/dev/xvdb 这个磁盘的 E01 模式的文件映像, 使用如下命令:
在这里插入图片描述
参数解释:

/dev/xvdb 是取证目标驱动器名称

/tmp/cyq.e01 是取证文件的名称和路径

–e01 是表示使用 E01 格式。

–frag 500M 表示每 500MB 分成一个文件,在映象片断的大小中,用户可以可以选择将映象分割为多个文件以便于在 DVD 或 FAT 文件系统中中备份。

–examiner heetian 是取证操作人员的姓名简称。

–description "centos7"是操作说明。

PS:E01 格式说明:dd 镜像格式是目前被最广泛使用的一种镜像格式,也称成原始格式 (RAW Image)。dd 镜像的优点是兼容性强,目前所有磁盘镜像和分析工具都支持 dd 格式。E01 是法证分析工具 EnCase 的一个证据文件格式,较好地解决了 dd 镜像的一些不足。在生成 E01 格式证据文件时,会要求用户输入与调查案件相关的信息,如调查人员、地点、机构、备注等元数据。这些元数据将随证据数据信息一同 存入 E01 文件中。文件的每个字节都经过 32 位的 CRC 校验,这就使得证据被篡改的可能性几乎为 0。默认情况下,分析软件自动以每 64 扇区的数据块进行校验,这种方式兼顾速度和完整性两个方面的考虑。获取个磁盘的 E01 模式的文件映像需要一些时间,根据磁盘大小和硬件型号有所差异。完成界面:
在这里插入图片描述
3、使用 xmount 工具制作快照文件

xmount 工具可以把 E01 格式的镜像文件转化为 VDI 或者 VMDK 格式。方便取证人员可以使用 VirtualBox 和 Vmware 软件打开文件进行取证操作。

使用 xmount –help 可以查看帮助
在这里插入图片描述
1)、新建一个目录用来存放文件:

在这里插入图片描述
如果需要建立 vdi 格式,使用如下命令:

xmount --in ewf /tmp/cyq.e01.E?? --out vdi ~/mnt0

参数简单解释

–in ewf 是表示源文件是 E01 格式。

~/tmp/cyq.e01.E?? 表示源文件的路径,并且可能是多个文件。

–out vdi 表示输出格式是 vdi。

~/mnt0 是输出文件的目录。

建立 vdi 文件后,可以使用 VirtualBox 虚拟机导入这个 vdi 文件进行取证分析。

如果需要建立vmdk文件使用如下命令:

xmount --in ewf /tmp/cyq.e01.E?? --out vmdk ~/mnt0

如果报如下错误:

执行 fusermount -u ~/mnt0/ 然后再执行命令即可
在这里插入图片描述
建立 vmdk 文件后,可以使用 Vmware Workstation 导入这个文件进行取证分析。

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。