内容
2操作系统分析
2.2数据采集
根据最佳实践,静态数据分析不是在实时系统上进行的。关闭目标计算机的电源,创建存储介质的精确按位副本,将原始副本存储在证据储物柜中,并在副本上执行所有取证工作。如果关闭目标系统不切实际,因此在系统处于活动状态时获取媒体映像,则此工作流存在例外情况。显然,这种方法不能提供相同级别的一致性保证,但它仍然可以产生有价值的见解。一致性问题(也称为数据拖尾)在虚拟化环境中不存在,在虚拟化环境中,通过使用内置快照机制可以轻而易举地获得虚拟磁盘的一致映像。
如前所述,从可用的最低级系统接口获取数据并独立重建更高级别的工件被认为是最可靠的取证分析方法。这导致强烈倾向于在较低抽象级别获取数据以及物理和逻辑采集的概念。.
这种方法的一个越来越常见的例子是手机数据采集,它依赖于移除物理存储芯片并直接从中读取数据。更一般地说,对于硬件能力有限的低端嵌入式系统,使用证据源进行物理处理通常是最实用和最必要的方法。物理采集还提供了对存储设备预留的额外过度配置的原始存储的访问,以补偿预期的硬件故障。作为一般规则,设备不提供外部方法来询问此影子存储区域。
芯片技术存在自身的挑战,因为该过程对器件具有固有的破坏性,数据提取和重建需要额外的工作,并且总体成本可能很高。
对于通用系统,工具使用HBA协议(如SATA或SCSI)来查询存储设备并获取数据副本。生成的图像是目标的块级副本,通常被大多数研究人员称为物理采集;Casey使用更准确的术语伪物理来解释这样一个事实,即并非获取物理介质的每个区域,并且所获取块的顺序不一定反映设备的物理布局。
在某些情况下,在获取数据的可用副本之前,必须执行其他恢复操作。一个常见的例子是RAID存储设备,它包含多个物理设备,这些设备作为一个单元一起工作,提供针对某些类别故障的内置保护。在RAID5和RAID6等常见配置中,如果没有后续的RAID数据重建步骤,单个驱动器的内容采集在很大程度上是无用的。
现代存储控制器正在迅速演变为自主存储设备,实现复杂的(专有)磨损均衡和负载平衡算法。这有两个主要影响:a)数据块的编号与实际物理位置完全分开;b)存储控制器本身可能会受到损害[27],从而使获取过程变得不可信。尽管有这些警告,我们将把区块级获取称为物理的,符合公认的术语。
换句话说,该工具使用应用程序编程接口(API)或消息协议来执行任务。此方法的完整性取决于API或协议实现的正确性和完整性。然而,除了风险之外,还有一个回报-更高级别的接口提供了一个在抽象上更接近用户操作的数据视图,应用程序数据结构。有经验的调查人员,如果具备适当的工具,可以利用物理和逻辑观点来获取和核实与案件有关的证据。
块级采集可以在软件、硬件或两者的组合中完成。取证成像的主力是ddUnix/Linux通用命令行实用程序,它可以生成任何文件,设备分区或整个存储设备的二进制副本。通常在目标设备上安装硬件写入阻止程序,以消除操作员错误的可能性,这可能导致目标的意外修改。
为整个图像计算加密哈希,(最好)为每个块计算;如果原始设备遭受部分故障,后者可用于证明剩余证据的完整性,这使得无法读取其全部内容。美国国家标准与技术研究院(NIST)维护计算机取证工具测试(CFTT)项目,该项目独立测试各种基本工具,如写入拦截器和图像采集工具,并定期发布有关其发现的报告。
加密问题
除了具有安全查询和获取存储设备内容的技术能力外,数据采集过程中最大的问题之一可能是加密数据的存在。现代加密无处不在,默认情况下越来越多地应用于存储的数据和通过网络传输的数据。根据定义,正确实施和管理的数据安全系统(不可避免地采用加密)将挫败获取受保护数据的努力,并进而执行取证分析。
获取加密数据有两种可能的途径-技术和法律。该技术方法依赖于算法,实现或管理错误,这使得数据保护被颠覆。虽然几乎不可能创建一个没有错误的复杂IT系统,但发现和利用这种缺陷变得越来越困难,资源也越来越密集。
法律方法依赖于迫使了解相关加密密钥的人放弃它们。这是一个相对较新的法律领域,其处理方式因司法管辖区而异。在英国,《年调查权力管理法》规定了法律要求个人披露钥匙的规章立场。披露可能与反对自证其罪的合法权利背道而驰,在某些司法管辖区,例如在美国,它尚未得到最终解决。
本讨论的其余部分假设通过技术或法律手段确保对原始数据的访问,这些手段超出了本知识领域的范围。