数据采集
列出数字证据的存储格式
电子数据有动态跟静态的。内存中就是属于动态的,并且不同系统的电子取证方式不同,而且数据文件可有多种格式,一些工具都是具有其专门的证据格式,例如会在原始数据基础上加上循环冗余检查或者哈希校验值。
①取证分析获取数据的四种方法是磁盘对图像文件,磁盘对磁盘拷贝,逻辑磁盘对磁盘或磁盘对数据文件,以及文件夹或文件的稀疏数据拷贝。
②对取证的无损压缩不会改变数据恢复,不像有损压缩。 对于大多数数据,无损压缩可以压缩高达50。 如果数据已经被压缩在驱动器上,无损压缩可能不会节省更多的空间。
③当使用Linuxdd或dcfldd命令时,请记住,
反转可疑驱动器和目标驱动器的输出字段
(=)和输入字段(如果=)可能会将数据写入
错误驱动器,从而破坏您的证据。 如果可
用,则应始终使用物理写阻装置进行获取。
④要获取RAID磁盘,需要确定RAID的类型和使用哪种获取工具。 使用固件硬件RAID,可能需要直接从RAID服务器获取数据。
⑤远程网络采集工具需要在可疑计算机上安
装远程代理。 如果嫌疑人安装了自己的安
全程序,如防火墙,则可以检测到远程代
理。
⑥取证数据获取以三种不同的格式存储:原始、专有和AFF。 大多数专有格式和AFF存储图像文件中获取的数据的元数据。
描述数据获取的应急计划
软硬件在无法工作的时候遇到故障的时候要有应急计划,防止数据丢失。
创建副本,多备份一份。(墨菲定律也适应与电子取证:如果事情有变坏的可能,不管这种可能性有多小,它总会发生。)
在BIOS级别访问驱动器的硬件工具(X-Ways、ProDiscover、Replica)读取磁盘的HPA
微软自带的BitLocker一般情况没办法暴力破解,需要密钥。