【镜像取证篇】听说你还分不清镜像的源盘哈希和镜像文件的哈希?
听说你还分不清镜像的源盘哈希和镜像文件的哈希?镜像的两层防护,镜像的源盘哈希、镜像文件的哈希傻傻分不清—【蘇小沐】
1、实验环境
|
|
|
|
|
|
|
|
(一)DD镜像和E01镜像对比
| 对比 | DD镜像 | E01镜像 |
|---|---|---|
| 优点 | 镜像速度快 | 镜像速度慢 |
| 缺点 | 体积大,源盘多大它多大 | 体积小,有效压缩源盘未使用空间,可理解为压缩文件 |
| 哈希 | DD镜像哈希=源盘哈希 | E01镜像哈希≠源盘哈希 |
1、FTK Imager制作DD镜像和E01镜像的哈希对比
使用FTK Imager制作同一U盘的DD镜像和E01镜像,制作完成后比对。
镜像结果:制作DD镜像文件的哈希和FTK Imager校验的源盘哈希值一致!
镜像结果:制作E01镜像文件的哈希和FTK Imager校验的源盘哈希值不一致!
那么问题来了,为什么E01镜像文件的哈希值和FTK Imager校验的源盘哈希值不一致!
(二)DD和E01镜像不同点
1、DD和E01镜像内容
在镜像校验结果中,我们可以看到DD镜像里面只显示有MD5和SHA1的哈希校验,而E01镜像中多了"已存储的验证散列"值。这就是为什么E01镜像和DD镜像不同的原因之一。
E01镜像特殊之处就在于其镜像的内部可以存储有选填的证据项信息(案件编号、证据编号、唯一描述、检查员、备注,全部都是非必填项),以及源盘序列号、调查员姓名、哈希值等元数据元素,而且还可以根据需要设置不同的镜像压缩级别(默认压缩级别数为6)。
如果发现镜像文件的哈希不一样,不要急着否定源数据被污染了,应该第一时间检验"镜像的源盘"显示的哈希是否一样,如果一样就是原始的!!!
如果发现镜像文件的哈希不一样,不要急着否定源数据被污染了,应该第一时间检验"镜像的源盘"显示的哈希是否一样,如果一样就是原始的!!!
如果发现镜像文件的哈希不一样,不要急着否定源数据被污染了,应该第一时间检验"镜像的源盘"显示的哈希是否一样,如果一样就是原始的!!!
镜像其实就是源盘数据的两重防护措施,对外防护自身,对内守护内心!!!所以一开始文章标题我有写另外一个名字的,就是"镜像的两种防护"!!!哈哈,题外话。
2、X-Ways Forensics测试E01镜像
【备注:FTK Imager目前只支持MD5和SHA1的哈希校验,如果使用的是其他软件制作的E01镜像并校验了SHA256等之外的哈希值,则FTK Imager校验是不会显示其它哈希校验值的】
比如同样使用实验U盘作为源盘,通过X-Ways制作一个E01镜像,校验值选择MD5和SHA256,结果如下。
使用FTK Imager计算X-Ways的源盘哈希,发现SHA1散列处无"已存储的验证散列"。说明了源盘未校验有SHA1校验值,但可能有其他校验值,只是FTK Imager无法显示或者无法校验而已。
(三)案件镜像建议
如果是监控视频硬盘,尤其是长时间运行的监控,比较建议采用DD镜像。如果只是短时间运行的视频监控,其周期远小于覆盖周期,则可采用E01镜像,便于节约存储空间。(具体请根据自身案件情况来!!!)
原因一:因为监控一般采用循环覆盖的方式,对于长时间运行的视频监控制作E01镜像并不会造成多大的空间压缩,反而容易拖慢制作镜像的速度。
原因二:视频编码格式本身也是一种压缩格式,E01再压缩的空间也不大。直接DD镜像速度和分析速度也更有利一些。
1、【题外话】
虽然这MD5、SHA1两种算法已经被破解,现在都推荐使用SHA256及以上算法,但实际操作中,想伪造碰撞哈希也不是一件容易的事情。感兴趣的可以看历史文章密码学部分记录。
当然,不会出现哈希连号这种事情就是了!!!
总结
书写片面,纯粹做个记录,有错漏之处欢迎指正。
公众号回复关键词【FTK】自动获取资源合集。
【声明:欢迎转发收藏,个人创作不易,喜欢记得点点赞!!!转载引用请注明出处,著作所有权归 [蘇小沐] 所有】
【注:共享资源收集于官网或互联网公开材料,仅供学习研究,如有侵权请联系删除,谢谢!】
记录 |
开始编辑:2024年 12月 24日 |
|
|
【往期精彩回顾】
关注我,了解更多取证知识,别忘了点赞+在看哦!****
本文转自 https://mp.weixin.qq.com/s/KuSKIVUcEFpij7GjRjxqWw,如有侵权,请联系删除。
扫一扫
8643
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
