电子数据取证读书笔记
第二章
2.1计算机基础知识
冯·诺依曼计算机理论
(1)计算机系统由运算器、储存器、控制器、输入设备和输出设备五大部分组成
(2)采用二进制形式表示数据和指令
(3)程序储存执行
1.个人计算机
-台式机
-一体机
-笔记本电脑
2.服务器
3.移动终端
2.2计算机硬件知识
计算机硬件系统主要有:运算器、控制器、存储器和I/O控制系统等功能部件
存储器
电子数据存储介质
按存储原理分为:磁存储:磁表面存储器,如机械硬盘、磁带
电存储:半导体存储器,如U盘、存储卡、固态硬盘
光存储:光盘存储,如CD、DVD
从功能分:内存
外存
1.内存
特点:存取速度快
作用:是CPU、显卡或者其它内置板卡可以直接寻址的储存空间,用于暂时保存程序和数据,并与外部存储器交换数据
2.外存 (外部存储设备)
(1) 磁存储器(机械硬盘)
特点:实现了电信号和磁信号间的相互转化,具有存储容量大,价格低等优点,但其存取速度较慢,机械结构复杂
分类:按载磁基体形状和材质不同,可分为机械硬盘(磁盘)、磁带和磁鼓
(2)电存储器(固态硬盘、U盘、存储卡)
特点:存储密度高、速度快
(3)光存储器(光盘)
2.3存储介质基础知识
1.机械硬盘
(1)物理结构
(2)逻辑结构
参考一篇博客理解
2.闪存
(Flash存储器),技术上属于电可擦除只读存储器的一种,但与普通EEPROM (*~~带电可擦可编程只读存储器)是用户可更改的只读存储器(ROM),其可通过高于普通电压的作用来擦除和重编程)*在字节单位上进行删除和重写操作的存储原理不同,闪存的存储以数据块单位进行。因此闪存的优势在于写入大量数据时的高速度。
闪存存储介质主要有U盘,SD卡,XD卡,记忆棒等
3.存储器指标
电子取证涉及的存储器指标有:存储容量、数据传输率和接口
(1)存储容量
存储容量=存储单元数x存储字长
存储容量越大存储的信息就越多
一字节=八位
(2)数据传输率
单位时间内存储器所存取的信息量
速率越高,意味着单位时间镜像或分析的数据越多
(3)数据接口
按物理接口种类区分常见的有九类:
SATA,IDE, ZIF , LIF ,SCSI , SAS , 光纤通道, IEEE ,1394和USB
按控制指令区分可分为两大类:
ATA , SCSI
ATA: SATA,IDE, ZIF , LIF使用ATA指令除了SATA使用串行方式传输数据,其它的都以并行方式传输数据,又称PATA类
SCSI: SCSI , SAS , 光纤通道使用SCSI指令
2.4网络基础知识
网络由节点和连接节点的链路组合而成,实现网络资源共享和信息交换,节点可以是计算机、交换器、集线器或路由器等
1.网络的分类
(1)覆盖范围大小不同
广域网、城域网、局域网
(2)拓扑结构不同
总线结构、星形结构、环状结构网络
2.网络体系结构
(1)OSI参考模型
该体系结构标准定义了网络互连的七层框架(物理层、数据链路层、网络层、传输层、会话层、表示层和应用层)
(2)TCP/IP协议族
采用四层结构,分别为网络访问层,互连层,传输层和应用层
3.网络协议
网络协议就是定制的信息转换规则、发送规则、接收规则和安全规则
(详略)
2.5操作系统
操作系统功能包括管理系统的硬件、软件及数据资源、控制程序运行、为其他应用软件提供支持等
标准的操作系统应该具备以下功能:进程管理、内存管理、文件系统、网络通信、安全机制、用户界面、驱动程序
按领域划分操作系统为三种:
桌面操作系统
服务器操作系统
嵌入式操作系统又称为移动操作系统
1.主要操作系统简介(略)
2.6数据组织(还不怎么明白,明白再补)
2.7数制(略)
2.8数据的存储单位
字节、字、字长、存储单元
2.9数据获取
1.分类:
镜像数据获取、逻辑数据获取、易失性数据获取
其中镜像和逻辑都属于静态的数据获取,易失性数据获取属于动态数据获取
生成镜像是最佳方案
镜像的数据格式主要有:原始数据格式(常称为DD格式)、EnCase证据文件(E01或Ex01)及AFF证据文件等
E01文件三部分组成:文件头校验值以及数据块
E01校验包括CRC校验以及在文件尾部的MD 5校验
2.数字校验
MD5 SHA CRC是目前应用最广泛的哈希算法
应用:
(1)数据的固定
(2)哈希对比
2.10文件过滤
文件过滤基于文件的属性
文件属性具体包括:
-文件名、扩展名、缩略名、摘要;
-访问时间、修改时间、创建时间
-逻辑大小、物理大小
-路径、原始路径
-哈希
-文件签名
(1)基于文件扩展名的过滤
(2)基于关键词和通配符的文件过滤
(3)基于哈希的文件过滤
2.11数据搜索
数据搜索的成功率,取决于字节顺序、编码方式和搜索方法
1.字节顺序
-大端字节排序:一个Word中的高位的Byte放在内存中这个Word区域的低地址处
-小端字节排序:一个Word中的低位的Byte放在内存中这个Word区域的低地址处
2.编码与解码
3.关键词搜索
(1)字符串匹配
(2)正则表达式
2.12数据恢复原理
数据恢复技术通常分为两大类:逻辑恢复技术和物理修复技术
(1)逻辑数据恢复原理
一般来说,高级格式化仅仅更新了文件分配表,数据区并没有被擦除,只有数据擦除或
低级格式化,才会破坏系统区域和数据区域的数据。数据区域的数据通常通过两种方式恢
复;一种是按照文件系统的存储原理,重建MBR、DBR、FAT、FDT,根据存储介质内的数据
信息来确定记录文件或目录存储位置的FAT或MFT中的值,从而找回丢失的数据。
另一种是根据文件签名特征中文件头和文件尾特征值进行检索,通过文件签名特征恢复技术直
接从数据区域的数据中找回丢失的特定格式的文件
(2)物理修复原理
物理修复主要包括固件修复、物理故障修复、芯片级修复三方面
2.13数据分析
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
