计算机取证分析2

DOS5.0以上高版本里状态下，在缺省 状态下FORMAT格式化操作在缺省状态下 都建立了用于恢复格式化的磁盘信息，实 际上是把磁盘的DOS引导扇区、FAT分区 表及目录表的所有内容复制到了磁盘的最 后几个扇区中,这样通过运行UNFORMAT 命令即可恢复。 另外DOS还提供了一个MIROR命令用 于记录当前磁盘的信息，供格式化或删除 磁盘之后的恢复
目录表记录着硬盘中文件的文件名等数 据，如果目录损坏将丢失大量的文件。 一种减少损失的方法也是采用CHKDSK 或SCANDISK程序恢复的方法，从硬盘中搜 索出*.CHK文件，由于目录表损坏时仅是首 簇号丢失，每一个*.CHK文件即是一个完整 的文件，把其改为原来的名字即可恢复大多 数文件把其改为丢失文件的名字即可恢复大 多数文件。
在处理有关类型、特征和处理方面， ZIP、TGZ等压缩包无法解压，ZIP文件损 坏的情况下可以用一个名为ZIPFIX的工具 处理。 自解压文件无法解压，可能是可执行 文件头损坏，可以用对应压缩工具按一般 压缩文件解压。 DBF文件死机后无法打开，典型的文 件头中的记录数与实际不匹配了，把文件 头中的记录数向下调整。

保证安全并进行隔离(secure and isolate) 对现场信息进行记录(record the scene) 全面查找证据(conduct a systematic search for evidence) 对证据进行提取和打包(collect and package evidence) 维护证据监督链(maintain chain of custody) 。
下面以EnCase为例来分析计算机取证 软件。EnCase是目前使用最为广泛的计算 机取证工具，至少超过2000家的法律执行 部门在使用它。
它提供良好的基于Windows的界面； 它能调查Windows、Macintosh、Linux、 UNIX或DOS机器的硬盘，把硬盘中的文件 镜像成只读的证据文件，这样可以防止调 查人员修改数据而使其成为无效的证据；
通 过 使 用 Sniffer 类 型 工 具 ， 如 ： Windows平台上的sniffer工具：netxray和 sniffer pro软件等，可以完成网络数据获取。 在Linux平台下的TCPDump：根据使 用者的定义可以完成对网络上的数据包截 获工作。
对磁盘或其它存储介质的安全无损伤备 份技术；
对已删除文件的恢复、重建技术； 对磁盘空间、未分配空间和自由空间中包含的信 息的发掘技术；
对交换文件、缓存文件、临时文件中包含的信息 的复原技Βιβλιοθήκη Baidu；
计算机在某一特定时刻活动内存中的数据的搜集 技术； 网络流动数据的获取技术等。
计算机及硬盘数据恢复原理: 以FAT文件系统为例，数据文件写到 基于该系统的磁盘上以后，会在目录入口 和FAT表（File Allocation Table文件分配 表）中记录相应信息。当我们从磁盘上删 除一个文件后，该文件在目录入口中的信 息就被清除了，在FAT表中记录的该文件 所占用的扇区也被标识为空闲。
当前的计算机取证软件的主要功能是文件信 息获取和数据恢复。为了更好地理解它们的原理 和实现方法，下面以Unix为例介绍基本的文件系 统理论和元数据的知识（不针对任何实现）。
关于文件的信息 关于文件的结构和账号的信息称为元 数据（包括超级分组、索引节点和目录文 件）；
文件的内容。 文件的内容则被简单地称为数据。
事实上，这时保存在磁盘上的实际数据 并未被真正清除；只有当其他文件写入，有 可能使用该文件占用的扇区时（因为它们已 被标识为空闲），该文件才会被真正覆盖掉。 下面，我们给出可以为取证服务的各种 基于硬盘数据的获取技术。
一般来说，文件删除仅仅是把文件的首 字节改为E5H，文件本身并没有破坏对于不 连续文件需要恢复文件链，由于手工交叉恢 复对一般计算机用户来说并不容易需要用工 具处理，如可NortonUtilities来查找。另外， RECOVERNT等工具，都是恢复的利器。
一定要反解加密算法，或找到被移走的 重要扇区。对于那些加密硬盘数据的病毒， 清除时一定要选择能恢复加数据的可靠杀毒 软件。 加密文件后密码破解：采用口令破解软 件，如zipcrack等，其原理是字典攻 击。有 些软件是有后门的，比如DOS下的WPS， Ctrl + qiubojun就是通用密码。
用软盘启动（也可以把盘挂接在 其他NT上），找到支持该文件系统结 构 的 软 件 （ 比 如 针 对 NT 的 NTFSDOS），利用它把密码文件清掉、 或者是COPY出密码文档，用破解软件 来处理。
(1) 系统不认硬盘
系统从硬盘无法启动，这种故障大都 出现在连接电缆或IDE端口上,可通过重新 插接硬盘电缆或者改换IDE口及电缆等进行 替换试验,就会很快发现故障的所在,如果新 接上的硬盘也不被接受，一个常见的原因 就是硬盘上的主从跳线有问题。
CMOS中的硬盘类型正确与否直接影 响硬盘的正常使用。当硬盘类型错误时， 有时干脆无法启动系统，有时能够启动， 但会发生读写错误。比如由于CMOS中的 硬盘类型错误，导致逻辑硬盘容量小于实 际的硬盘容量，则硬盘后面的扇区将无法 读写，如果是多分区状态则个别分区将丢 失。



1、攻击预防阶段(Pre-incident Preparation):事先进行相 关培训，并准备好所需 的数字取证设备。 2、事件侦测阶段(Detection of the Incident):识别可疑事 件。 3、初始响应阶段(Initial Response):证实攻击事件己经发 生，须尽快收集易丢 失的证据(volatile evidence). 4、响应策略匹配(Response Strategy Formulation):依据 现有的经验确定响应策略。 5、备份(Duplication):产生系统备份。
在目录项中记录文件名、索引节 点号等信息。另外，由于目录项的长 度不是固定的，所以目录项中还有专 门的变量表示自身的长度。每次建立 一个文件就会在目录文件中增加一个 新的目录项。
目录文件和目录项的结构如图 2所示。
在UNIX 环境下删除一个文件的过 程很简单，即首先把索引节点和文件 所占用的数据分组的状态信息标记为 空闲，然后增大目录文件中相应的目 录项的前一项中记录项长度的值，绕 过对被删除目录项的访问。




1、准备阶段(Preparation)在调查前，准备好所需设备和工具。 2、收集阶段(Collection):搜索和定位电子证据。 .保护与评估现场(Secure and Evaluate the Scene):保护现场人员的 安全以及保证证据的完整性。并识别潜在的证据。对现场记录、归档 (Document the Scene):记录包括现场的计算机照片等物证。 .证据提取(Evidence Collection):提取计算机系统中的证据，或对计算 机系统全部拷贝。 3、检验(Examination):对可能存在于系统中的证据进行校验与分析。 4、分析(Analysis):对检验分析的结果进行复审和再分析，提取与对案 件侦破有价值的信息。 5、报告(Reporting):对案件的分析检验结果汇总提交。 此过程模型基于标准的物理犯罪(Physical Crime)现场调查过程模型。
UNIX系统使用索引节点来记录文件信 息，每一个普通的文件和目录都有惟一的 索引节点与之对应。在索引节点中记录着 文件的UID、GID、大小、MAC（修改/存 取/属性变更）时间、链接计数等信息。
索引节点的结构如图 1所示。
为了能够通过文件名找到文件，UNIX 文件系统还用到了目录文件。目录文件的 逻辑结构为一棵以根目录开始的树。它实 际上是文件名和索引节点的对应关系—— 目录项 （directory entry）的列表。



6、调查((Investigation):调查系统以便识别攻击者身份、攻击 手段及攻击过程。 7、安全方案实施(Secure Measure Implementation):对被侦察 的系统进行安全 隔离。 8、网络监控(Network Monitoring):监视网络以便识别攻击。 9、恢复(Recovery):将系统恢复到初始状态，并合理设置安全 设施。 10、报告(Reporting):记录相应的步骤及补救的方法。 11、补充(Follow-up):对响应过程及方法进行回顾审查，并进 行适当的调整。
注意：千万不要在发现文件丢失之后在， 本机安装什么恢复工具，你可能恰恰把文件 覆盖掉了。 特别是你发现主要文件被你失手清掉了， 应该马上直接关闭电源，用软盘启动进行恢 复或把硬盘串接到其他有恢复工具的机器处 理。
恢复文件损坏需要清楚地了解文件的 结构，因此不是件很容易的事情，不过一 般的说，文件如果字节正常，不能正常打 开往往是文件头损坏。下面就文件恢复举 几个简单例子。
图 3表示的是删除一个文件对应 的目录项之后的情形。
正是由于文件系统的上述特点，所 以在计算机的硬盘中会留下大量记录着 过去曾经发生过的文件操作的信息。当 前取证软件的作用就是收集和分析这些 残存信息。取证软件可以从目录文件中 找到被删除的目录项，从中恢复出过去 存在过的文件的名字，还可以从索引节 点中得到有关文件的信息
主引导程序位于硬盘的主引导扇区， 主要用于检测硬盘分区的正确性，此段程 序损坏将无法从硬盘引导。 修复此故障的方法较为简单，使用高 版本DOS的FDISK是最为方便的，当带参 数/mbr运行时，将直接更换(重写)硬盘的 主引导程序。
如果是没有活动分区标志，则计算 机无法启动。但从软驱或光驱引导系统 后可对硬盘读写，可通过FDISK重置活 动分区进行修复。 如果是某一分区类型错误，可造成 某一分区的丢失。 分区表中还有其它数据用于记录分 区的起始或终止地址。这些数据的损坏 将造成该分区的混乱或丢失，可用的方 法是用备份的分区表数据重新写回。
计算机取证 Forensics
基本过程模型(Basic Process Model) 事件响应过程模型(Incident Response Process Model) 法律执行过程模型(Law Enforcement Process Model) 过程抽象模型(An Abstract Process Model) 。
DOS 引 导 系 统 主 要 由 DOS 引 导 扇 区 和 DOS系统文件组成。DOS引导出错时， 可从 软盘或光盘引导系统后使用SYSC：命令传送 系统，即可修复 故障，包括引导扇区及系统 文件都可自动修复到正常状态。
Fat表记录着硬盘数据的存储地址，Fat表 的损坏意味着文件内容的丢失。 DOS系统本身提供了两个Fat表，如果目 前使用的Fat表损坏,可用第2个进行覆盖修复。 一些工具软件如NU等本身具有这样的修复功能， 使用也非常的方便。如果第2个Fat表也损坏了， 可采用CHKDSK或SCANDISK命令进行修复， 最终得到*.CHK文件，这便是丢失Fat链的扇区 数据。
硬盘主引导扇区中最后的两个字节： “55aa”为扇区的有效标志。如果存在则认为 有硬盘存在，否则将不承认硬盘。此处标志可 用于整个硬盘的加密技术，可采用DEBUG方 法进行恢复处理。 另外，当DOS引导扇区无引导标志时，系 启动将显示为：“Missing Operation System”。 可使用DOS系统通用的修复方法。
为了确定镜像数据与原始数据相同，EnCase会 计算CRC校验码并和MD5哈希（Hash）值进行比 较。 EnCase对硬盘驱动镜像后重新组织文件结构 ，采用Windows GUI显示文件的内容，允许调查员 使用多个工具完成多个任务。
证据获取技术包括： 对计算机系统和文件的安全获取技术； 避免对原始介质进行任何破坏和干扰； 对数据和软件的安全搜集技术；