《电子数据取证技术》第三章 电子取证基础知识

第三章 电子取证基础知识

01 存储介质类型

办公环境现场

家庭环境现场

机房/IDC/数据中心

识别电子物证

现场如何识别与案件相关的电子物证是现场证据保全重要的一步
 可能存储电子数据的电子物证
 周边电子设备

个人电脑(PC)

一体机

专用设备(收银机)

服务器

存储服务器(SAN/NAS)

笔记本电脑(Notebook)

苹果计算机

平板电脑

移动终端/影音数码

移动存储介质

移动存储介质-移动硬盘
(Removable Drive)

移动存储介质-Zip/Jaz磁盘

可拆卸硬盘仓

软盘，(Floppy Disk)

数码存储卡
(Removable media)

数码影音播放器
(Media Player)

数码相机
(Digital Camera)

U盘 (Flash drive/Thumb drive)

优盘(特殊外形)

光盘(CD/DVD/BlueRay)

光盘(特殊外形)

02 存储介质接口

存储介质接口

电子数据是以存储介质为载体进行保存，存储介质的封装形式、接口各种各样。

存储接口是存储介质数据访问的通道，就好象桥梁一样，没有桥就无法到达河对岸。接口只是一种封装形式，其核心是数据传输协议/规范。

硬盘接口

硬盘是计算机取证中最常遇到的存储介质，随着计算机硬件的发展，硬盘的外形、接口、容量不断快速更新。

常见硬盘接口
常见的硬盘接口：IDE(PATA)、SATA、SCSI、SAS
移动存储接口：USB、Firewire(火线)、ThunderBolt(雷电)

 非标准的硬盘接口
 PATA： 1.8“/2.5“ (PIN针脚定义不同)
SATA：MicroSATA, mSATA, NGFF(PCI-E/SATA)

IDE(PATA)
Integrated Device Electronics，也称为Parallel ATA，此类硬盘接口常称为IDE或PATA，广泛用于硬盘、光驱等设备采用排线，接口具有40或80针脚。

 硬盘规格分为标准80针IDE(3.5英寸硬盘)、44针mini IDE(2.5英寸硬盘)以及1.8英寸硬盘接口
传输性能：ATA1/ATA2/ATA3/Ultra ATA/Ultra ATA33/Ultra ATA66/Ultra ATA100等），传输速度可达到16~133MB/s
 主板的一个IDE接口可并行接入两个IDE设备
 不支持热插拔

IDE接口 (3.5”)
IDE接口——3.5英寸标准IDE接口

IDE接口 (2.5”)
IDE接口——2.5英寸硬盘的IDE接口

IDE接口 (1.8”)
IDE接口——1.8英寸硬盘接口
• 大部分为东芝品牌
• 主要用于UMPC、小型笔记本电脑等
• 接口50针，并包含两个定位孔
• 需要使用转接器连接

SATA接口

SATA(Serial ATA)
 俗称“串口”，目前主流的硬盘接口
 串行传输，针脚减少
 根据产品规格不同，3.5英寸设备与2.5英寸设备使用的SATA接口略有不同
 主板每个SATA接口仅可以接入一个SATA设备
 支持热插拔

标准SATA硬盘常见的有3.5”和2.5”，其接口相同，此类硬盘可以用标准SATA数据线进行访问。

SATA规格
 SATA 1.0(1代): 传输速率1.5Gb/s
 SATA 2.0(2代): 传输速率3.0Gb/s
 SATA 3.0(3代): 传输速率6.0Gb/s
 SATA 3.1：增加mSATA规格定义, 迷你SATA接口，常用于固态硬盘。
SATA 3.2(也称为SATA Express)： 传输速率16Gb/s

SCSI接口
SCSI(Small Computer System Interface)
 广泛应用于小型机和服务器的多种设备
 并行传输模式，可同时接入多个设备
 根据不同标准，接口有50针、68针、80针三种
 理论传输带宽最高5120Mb/s (Ultra-640 SCSI)
 支持热插拔


SAS (Serial Attached SCSI)
串行SCSI接口
 根据规格不同分为2.5英寸和3.5英寸接口，另外还包括Mini-SAS等多种分支接口
 与SATA接口部分兼容
− SATA硬盘可接入SAS接口（控制器）
− SAS不能直接使用SATA接口（控制器）
 根据标准的不同，可达到1.5/3.0/6.0Gbps的理论传输带宽
 支持热插拔

SAS接口硬盘
 右图是使用SAS接口的3.5英寸和2.5英寸硬盘
 2.5英寸的SAS硬盘可广泛用于服务器领域，一般2U空间可安装6-8块2.5英寸SAS硬盘

SATA与SAS差异
SATA与SAS硬盘的异同
 两者数据线是兼容的，但SATA数据线最大长度为1米，而SAS可达6-8米
 SAS硬盘可以同时响应多个SAS控制器，并且支持128个设备同时连接（使用扩展器最 多可达16000个）
 SAS为全双工，SATA为半双工
 SATA转速较低（一般为7200rpm），SAS转速较高（10000-15000rpm）

MicroSATA接口
Micro-SATA
 与1.8英寸的IDE盘类似，主要用于微型设备
 针脚定义与SATA一致
 可使用转接器(线)转换为标准SATA
 目前除用于传统硬盘，部分固态硬盘(SSD)也采用
1.8英寸的Micro-SATA接口

mSATA接口
Mini-SATA(mSATA)
 新标准，相对于标准SATA和Micro-ATA接口更小
 与SATA针脚定义基本一致
 将广泛用于SSD领域

mSATA接口
mSATA (也称为Mini SATA)
特点
 接口外观与Mini PCI-E相同，但接口定义与Mini PCI-E不同，电子信号不同，无法兼容无法通用
比1.8英寸的MicroSATA更小

常见硬盘品牌
英特尔Intel (Intel 310 SSD, 40GB/80GB)
 三星(16GB/32GB/64GB)
东芝Toshiba
OWC (Mercury Aura Pro SSD)
RunCore (Rocket Air SSD)

除了三星(Samsung)和东芝（Toshiba）为苹果的MacBook Air定做提供 SSD外，第三方厂商也有开发适合MacBook Air 的SSD硬盘，性能有的甚至超过标配。

第三方厂商
OWC (Mercury Aura Pro SSD)
RunCore (Rocket Air SSD)

MacBook Air (2010,2011)笔记本采用了刀片固态硬盘(BladeType SSD)， 形状像内存条，其接口为mSATA。

mSATA转换适配器

苹果MacBook笔记本硬盘



苹果硬盘接口统一趋势

ZIF接口
ZIF(Zero Insertion Force)
 ZIF和LIF是两种常用的超薄硬盘接口，一般用于便携电子设备，如苹果早期的MacBook Air 以及某些品牌的UMPC
 数据线插入0.25mm左右后被夹住
 主要使用厂商：TOSHIBA、三星

ZIF接口1.8英寸硬盘
可通过适配器将ZIF转为IDE/SATA接口

LIF接口
LIF(Low Insertion Force)
 外形与ZIF接口差异不大
 区分于ZIF，LIF接口数据线需要插入约0.5mm，且需要用一定力量推入，而ZIF几乎不需要用力插接
 LIF出现在Hitachi某些型号的1.8英寸硬盘当中
 需要注意的是，LIF和ZIF接口并不互相兼容，不可混用

IEEE 1394接口
IEEE 1394，别名火线（FireWire）接口，是由苹果公司领导的开发联盟开发的一种高速传送接口，IEEE1394是由苹果电脑所创，其他制造商也已获得授权生产。
IEEE 1394理论上可将64台设备串接在同一网络上。传输速度有100Mb/s、 200Mb/s、400Mb/s和800Mb/s，目前已经制定出1.6Gb/s和3.2Gb/s的 规格。
Sony的产品称这种接口为i.Link，德州仪器则称之为Lynx。

IEEE 1394规范
 IEEE 1394a：称为Firewire400，传输速率400Mb/s
 IEEE 1394b：称为Firewire800，传输速率800Mb/s
IEEE 1394c：称为FireWire S800T
 S1600：理论传输速率1.6Gb/s
 S3200：理论传输速率1.6Gb/s

USB接口
通用串行总线（Universal Serial Bus，缩写：USB）是连接计算机系统与 外部设备的一种串口总线标准，也是一种输入输出接口的技术规范，被广泛 地应用于个人电脑和移动存储设备、数码相机、数字电视、游戏机等信息通 讯及多媒体产品。

USB版本及传输速率



USB Type-C接口
USB Type-C俗称USB-C，随着USB3.1及Type-C接口技术的成熟与发展， 未来可能成为移动存储接口新标准。
 传输速率可达10Gbps，Type-C接口可随意正反面插入，类似苹果的Lighting及ThunderBolt接口。
 目前Nokia N1平板及MacBook 2015率先采用USB-C接口。

ThunderBolt接口
雷电(ThunderBolt) 是Intel研发的一种新的外设接口，能把数据、视频、音频和电力的传输集合到一个单独的接口上进行统一传输。
苹果公司最早将该接口集成到自己的产品中，雷电从而受到大众的关注。

10Gbps双向双通道高速数据传输


U.2 (SFF-8639)
U.2针对标准桌面、工作站和服务器 领域，尤其是企业级市场。

U.2接口的最大特色就是支持NVMe
标准协议，高速低延迟低功耗。

Supermicro、华硕、技嘉、微星、 华擎等都宣布支持U.2，并提供新的 U.2数据线、U.2-M.2转换器。


硬盘接口发展趋势

03 网络基础知识

计算机网络应用
一、 计算机网络定义与分类
二、 Internet基础知识
三、网络安全

一、 计算机网络

1. 什么是计算机网络
   把分布在不同地点的具有独立操作系统的计算机，利用通信线路连接起来，按照网络协议互相通信，以共享软件、硬件和数据资源为目标的系统。

产生计算机网络的基本条件:
通信技术与计算机技术的结合

计算机网络的功能

计算机网络发展

计算机网络的分类
从网络的地理范围进行分类

覆盖范围为几百米到几公里，局域网内传输速率较高，误码率低，结构简单容易实现。
具体标准是美国电气工程师协会制订的IEEE802系列标准。

一般是在不同城市之间的LAN或者MAN网络互联，地理范围通常为几十公里到几千公里，它的通信传输装置和媒体一般由电信部门提供。广域网的通信子网主要使用分组交换技术，它可以使用公用分组交换网、卫星通信网和无线分组交换网。

在一个学校范围内的计算机网络通常我们称为校园网。实质上它是由若干个局域网连接构成的一个规模较大的局域网，也可视校园网为一种介于普通局域网和城域网之间规模较大的、结构较复杂的局域网络。

计算机网络的分类

网络的拓扑结构


计算机网络的体系结构



TCP/IP协议
TCP（Transmission Control Protocol）传输控制协议用于保证被传送信息的完整性。
IP（Internet Protocol）网际互连协议负责将消息从一个地方传送到另一个地方。

TCP/IP资料：链接: link
http://www.internic.net

网络地址

IP地址类型

域名系统DNS

顶级域名

认识电子邮件地址

电子邮件系统的构成

统一资源定位器URL

三、 网络安全
1. 防火墙

2.服务器安全：

3. 防范措施 ：

04 操作系统

操作系统
操作系统是管理计算机软硬件资源，控制程序运行，改善人机界面和为应用程序软件提供支持的一种系统软件。
操作系统是最重要且最基本的系统软件之一，是计算机系统的控制和管理中心。

DOS操作系统
从1981年问世至今，DOS经历了8次大的版本升级，从1.0版到现在的8.0 版 。DOS有三种不同的品牌，它们是Microsoft公司的MS-DOS、IBM公司的PC-DOS以及Novell公司的DR-DOS。


MAC OS X系统
Mac OS操作系统是美国苹果计算机公司为它的Macintosh计算机设计的操作系统，该机型于1984年推出，在当时的PC还只是DOS枯燥的字符界面的时候，Mac率先采用了一些我们至今仍为人称道的技术。

Windows操作系统

Unix操作系统
Unix系统是1969年在贝尔实验室诞生，最初是在中小型计算机上运用。Unix被设计成为能够同时运行多进程，支持用户之间共享数据。
具有多用户、多任务的特点，支持多种处理器架构，是一种网络操作系统。
Linux 操作系统
Linux 操作系统是Unix操作系统的一种克隆系统。它诞生于1991 年的10 月5 日。
特点：
1.完全免费：Linux是一款免费的操作系统，用户可以通过网络或其他途径免费获得。
2.多用户、多任务 ：Linux支持多用户，各个用户对于自己的文件设备有自己特殊的权利，保证了各用户之间互不影响。
3.丰富的网络功能 ：又称为网络操作系统。

操作系统的功能
1.处理器功能
在Windows操作系统内，一般都有多个任务同时存在，这些任务都是在CPU上执行，而同一时刻CPU只能执行一个任务，需要将CPU的时间合理、动态的分配各个任务。

2.存储管理
存储管理的主要任务是计算机内存，根据用户的需要合理的分配内存和内存保护。

3.设备管理
设备管理的主要任务是管理各类外部设备。
控制设备和CPU或内存之间的数据交换。

4.文件管理
(1)统一管理文件的存储空间（外存），实施存储空间的分配与回收。
(2)文件管理是操作系统对计算机系统中软件资源的管理（文件的创建、撤销、读写、打开、关闭、检索、删除等）。

5.作业管理
作业，就是一次提交计算机处理的程序和数据的集合。作业管理的主要内容是作业的组织、控制和调度等。

操作系统