第五周取证

第五周

1、文件系统的目的和结构

文件系统为操作系统提供到磁盘上数据的路径图。操作系统使用的文件系统类型决定了数据如何存储在磁盘上。当需要访问嫌疑人的计算机以获取或检查与调查有关的数据时，熟悉计算机的操作系统和文件系统，以便在必要时访问和修改系统设置。

• 引导顺序

桌面电脑和笔记本电脑的引导顺序：当系统断电时，计算机在CMOS中存储系统配置和日期和时间信息。系统BlOS或EFI包含在硬件层执行输入和输出的程序。BIOS是为 x86计算机设计的，通常用于带有主引导记录(MBR)的磁盘驱动器。FI是为x64计算机设计的，使用GUID分区表(GPT)格式的磁盘。BIOS和 EFI是为特定的固件设计的。为了减少与固件的关系，英特尔开发了UEFl，它定义了计算机固件和操作系统之间的接口。

计算机在引导过程中识别正确的键或键来使用。引导过程，包含在 ROM中，告诉计算机如何继续。当电脑启动时，屏幕通常会显示一个或多个键，如删除键，按下就可以打才CMOS 设置画面。还可以尝试解开键盘，迫使系统提供使用哪些键。按下的键访问CMOS取决于计算机的BIOS。很多BlOS厂家使用Delete键来访问 CMOS;其他厂商则使用CtrI1Alt1Insert、Ctrl1A、Ctrl1S或Ctrl1FI、F2或F10。验证BIOS的一种安全方法是从计算机中删除所有硬盘驱动器，这样可以启动计算机来验证其BIOS日期和时间，而不需要访问磁盘驱动器。

• 磁盘驱动器

磁盘驱动器以及如何在磁盘上组织数据能够有效地查找数据。磁盘驱动器由一个或多个涂有磁性材料的盘片组成，数据以特定的方式存储在盘片上。

几何——几何指的是磁盘的逻辑结构的盘片，轨道，和扇区。
磁头——磁头是对驱动器读写数据的设备。每个盘子有两个头，可以读写顶部和底部的边。
轨道——轨道是数据所在的磁盘盘片上的同心圆。
圆柱一圆柱是两个或多个磁盘盘片上的轨道列。通常，每个盘子有两个表面:顶部和底部。
扇区一扇区是磁道上的一个部分，通常由512字节组成。

• 固态存储设备

当在硬盘上删除数据时，只删除对它的引用，将原始数据保留在未分配的磁盘空间中。使用取证恢复工具，通过复制未分配的空间，从磁性媒体中恢复数据相当容易。USB 驱动器则不同，存储单元在物理层面上将数据转移到其他连续读写较少的单元。将数据从一个存储单元移动(或旋转)到另一个存储单元的目的是确保闪存驱动器上所有存储单元的磨损均匀。

此外，当数据被旋转到另一个内存单元时，旧内存单元的地址会在一个称为“垃圾收集器”的固件文件中列出。在某种程度上，闪存驱动器的固件通过覆盖垃圾收集器文件中列出的所有单元中的值1来擦除未分配单元中的数据。

在处理固态设备时，如果要从未分配的磁盘空间恢复数据，那么需要尽快制作完整的取证副本。通过将数据复制到USB驱动器，删除它，然后在数据删除后立即使用任何采集工具(如ProDiscover 或X-Ways Forensics)进行取证。如果USB驱动器闲置，不向其写入额外的数据，损耗平衡将自动覆盖未分配的空间。所有固态驱动器都为内存单元(包括已分配的和未分配的)提供内部电源，以便保存数据。

2、Microsoft文件结构

了解集群、文件分配表(FAT)和NT文件系统(NTFS)。操作系统用来存储文件的方法决定了数据可以隐藏的位置。

• 磁盘分区

许多硬盘被划分为两个或多个部分。分区是一个逻辑驱动器。Windows操作系统可以有三个主分区，后面跟着一个扩展分区，扩展分区可以包含一个或多个逻辑驱动器。想要在硬盘上隐藏数据的人可以创建隐藏分区或空隙――磁盘驱动器上分区之间未使用的大空隙。例如，可以在主分区或逻辑分区之间创建包含未使用空间的分区。分区之间的这种未使用的空间称为分区间隙。可以创建一个分区，向其中添加数据，然后删除对该分区的引用，这样就可以在 Windows中隐藏该分区。如果数据隐藏在这个分区间隙中，可以使用磁盘编辑器工具来访问它。另一种技术是通过声明比实际驱动器大小更小的字节数来隐藏磁盘尾部的数字证据。但是，通过磁盘编辑工具可以访问磁盘的这些隐藏或空白区域。

检查分区物理级别的一种方法是使用磁盘编辑器，如WinHex或 Hex Workshop，他们能够查看文件头和文件的其他关键部分。这两个任务都涉及到分析操作系统用于识别和维护文件系统的密钥十六进制代码。分区表中的16进制编码如表5-1所示，识别了几种常见的文件系统结构

• 检查FAT磁盘

文件分配表(FAT)是微软为软盘设计的文件结构数据库。它被用来组织磁盘上的文件，这样操作系统就可以找到它需要的文件。因为它的开发，其他的操作系统，如Linux和 Macintosh,可以格式化，读取和写入到脂肪存储设备，如USB驱动器和 SD 卡。FAT数据库通常写到磁盘最外层的磁道中，它包含文件名、目录名、日期和时间戳、开始群集编号和文件属性(归档、隐藏、系统和只读)。

目前FAT有三个版本——FAT16、FAT32和 exFAT(Xbox游戏系统使用)，还有三种较早的FAT格式，分别是FATX、Virtual FAT (VFAT)和FAT12。微软 DOS 6.22中的胖版本限制文件名为8个字符，扩展名为3个字符。下面的列表总结了FAT版本的演变：

fat12-这个版本是专门用于软盘，所以它有有限的存储空间。它最初是为第一个微软操作
系统MS-Dos 1.0设计的，用于软盘驱动器和驱动器高达 16mb。

FAT16为了处理更大的磁盘，微软开发了FAT16，它仍然在旧的微软操作系统上使
用，如MS-DOS 3.0到6.22,Windows 95(第一个版本)，Windows NT 3.5和4.0。FAT16支持最大存储容量为4gb 的磁盘分区。

FAT32当磁盘技术得到改进，超过2gb的磁盘被开发出来时，微软发布了FAT32，它可以访问更大的驱动器。

exfat -为移动个人存储设备开发，如闪存设备、安全数字扩展容量(SDCX)和记忆棒。

exFAT文件系统可以存储非常大的文件，如数字图像、视频和音频文件。

-vfat -开发用于处理超过八个字符的文件名和三个字符扩展名的文件;在 Windows 95中引入。

VFAT是其他FAT文件系统的扩展。

集群大小根据硬盘大小和文件系统的不同而不同。FAT16 硬盘按硬盘大小分配给集群的扇区数和字节数。对于FAT32文件系统，集群大小由操作系统决定。集群可以是1个扇区(512字节)，也可以是128个扇区(64 KB)。

• 检查NTFS磁盘

NTFS与FAT文件系统相比提供了实质性的改进。它提供了关于文件的更多信息，包括安全特性、文件所有权和其他文件属性。与FAT文件系统相比，使用NTFS还可以对文件和文件夹(目录)有更多的控制。

在 NTFS中，写入磁盘的所有内容都被认为是一个文件。在 NTFS磁盘上，第一个数据集是分区引导扇区，它从磁盘的扇区[0]开始，可以扩展到16个扇区。紧随分区引导扇区之后的是主文件表(MFT)。MFT，类似于早期微软操作系统中的 FAT，是磁盘上的第一个文件。MFT文件是在磁盘分区格式化为NTFS卷的同时创建的，创建时通常会占用磁盘的12.5%。随着数据的增加，MFT可以扩展到占用磁盘的50%。

因为NTFS磁盘上的所有文件都是一个文件，所以第一个文件 MFT包含磁盘上所有文件的信息，包括操作系统使用的系统文件。在 MFT中，前15条记录是为系统文件保留的。MFT中的记录被称为元数据。

• MFT和文件属性

当微软引入NTFS时，操作系统在磁盘上存储数据的方式发生了很大的变化。在 NTFSMFT中，所有文件和文件夹都存储在各自1024字节的单独记录中。每个记录包含文件或文件夹信息。这些信息被划分为记录字段，其中包含关于文件或文件夹的元数据以及文件数据或到文件数据的链接。记录字段被称为属性ID。

文件或文件夹信息通常以两种方式之一存储在MFT记录中:常驻和非常驻。对于非常小的文件(大约512字节或更小)，所有文件元数据和数据都存储在MFT记录中。这些类型的记录被称为常驻文件，因为它们的所有信息都存储在MFT记录中。

大于512字节的文件存储在MFT之外。文件或文件夹的MFT记录提供了文件存储在驱动器分区上的集群地址。这些集群地址称为数据运行。这种类型的MFT记录被称为“非常驻”，因为文件的数据存储在MFT之外的独立文件中。

每个MFT记录都以一个标头开始，该标头将其标识为常驻属性或非常驻属性。所有MFT记录的前4个字节(字符)是 FILE。头信息包含指定第一个属性 ID从何处开始的附加数据，通常位于记录开始处的偏移量0x14处。每个属性ID都有一个十六进制的长度值，定义它在哪里结束，以及下一个属性在哪里开始。长度值位于距离属性ID4个字节的位置。

3、检查NTFS磁盘

• NTFS替代数据流

检查NTFS磁盘时，应该注意到替代数据流，这是数据可以追加到现有文件的方法。在检查磁盘时，请注意替代数据流可能有意或无意地掩盖有价值的证据数据。

在NTFS 中，一个替代数据流成为一个附加的文件属性，并允许文件与不同的应用程序相关联。因此，它仍然是一个数据单元。还可以在备用数据流中存储有关文件的信息。

• NTFS加密文件系统

当Microsoft引入Windows 2000时，它向NTFS添加了可选的内置加密，称为加密文件系统(EFS)。EFS使用公钥和私钥方法加密文件、文件夹或磁盘卷(分区)。只有加密数据的所有者或用户才能访问加密文件。所有者持有私钥，公钥由认证机构持有，如全局注册中心、网络服务器或公司(如veriSign)。

在 Windows 2000 及以后版本中使用EFS时，生成恢复证书并发送到本地Windows 管理员帐户。恢复证书的目的是在用户的原始私钥出现问题时提供一种机制，用于恢复用EFS加密的文件。恢复键存储在两个位置之一。当网络用户发起EFS时，恢复密钥将发送到本地域服务器的管理员帐户。在独立工作站上，恢复密钥被发送到本地管理员帐户。

用户可以将EFS应用于存储在本地工作站或远程服务器上的文件。当用户或应用程序访问EFS文件、文件夹或磁盘卷时，Windows 2000及以后版本会自动解密数据。在 WindowsServer 2003及以后的版本中，用户可以授予其他用户访问EFS数据的权限。如果用户将用EFS加密的文件复制到未加密的文件夹中，则复制的数据将以未加密的格式保存。

• EFS恢复密钥代理

恢复密钥代理实现恢复证书，该证书在 Windows 管理员帐户中。Windows管理员可以通过两种方式恢复密钥:通过Windows 或通过MS-DOS命令提示符。这三个命令可以从MS-DOS命令提示符中得到：

密码
复制
efsrecvr(用于解密EFS文件)

• 删除NTFS文件

通常Windows或文件资源管理器从磁盘删除文件。当文件在 Windows NT 及以后被删除时，操作系统会重新命名文件并将其移至回收站。另一种方法是使用de(删除)MS-DOS命令。这个方法不会重命名文件并将其移动到回收站，但是它会以与FAT相同的方式从MFT清单中删除该文件。

在 Windows或文件资源管理器中删除文件时可以从回收站恢复它。在 Windows或文件资源管理器中删除文件或文件夹时，操作系统会执行如下操作：

1.Windows更改文件名并将文件移动到回收站中具有唯一标识的子目录中。
2.windows将有关原始路径和文件名的信息存储在Info2文件中，回收站的控制文件。它包含ASCII数据，Unicode数据，以及删除每个文件或文件夹的日期和时间。
3.NTFS文件在MS-D0S命令提示符下删除，类似于FAT文件。(以下步骤也适用于清空回收站的用户。)
4.操作系统主要执行以下任务:
①关联的集群被指定为自由集群，也就是说，标记为可用于新数据。
②MFT中的$Bitmap文件属性被更新，以反映文件的删除，表明该空间是可用的。
③MFT中的文件记录被标记为可用。
④链接到已删除的非常驻文件的 VCN/LCN集群位置将从原始MFT记录中删除。5.在磁盘上所有集群位置的MFT中为非常驻文件维护一个运行列表。当链接列表被删除时，任何对链接的引用都会丢失。

4、磁盘全盘加密

整个磁盘加密工具提供以下特点，取证检查人员应注意：

预启动认证，如单点登录密码、指纹扫描或令牌(USB设备)
完整或部分磁盘加密与安全休眠，如激活密码保护屏幕保护程序
高级加密算法，如 Advanced encryption Standard (AES)和国际数据加密算法(IDEA)
密钥管理功能，使用挑战-响应方法重置密码或密码短语

WDE工具分别加密驱动器的每个扇区。这些工具中的许多对驱动器的引导扇区进行加密，以防止任何绕过受保护驱动器分区的努力。要检查已加密的驱动器，必须先解密它。加密工具的密钥管理功能通常使用挑战-响应方法进行解密，必须运行特定于供应商的程序来解密驱动器。许多供应商使用可引导的CD或 USB驱动器，提示输入由密钥管理功能生成的一次性密码短语。解密驱动器的最大缺点是读取、解密和写入每个扇区需要几个小时。硬盘越大，解密时间就越长。

• 检查微软磁盘加密

BitLocker，是微软用于保护驱动器数据的工具。它有 Windows Vista企业版和最终版，Windows 7和8专业版和企业版，以及 Windows Server 2008和2012。引导软件Encase可以解密BitLocker驱动器，尽管这个过程会花费很多时间。

BitLocker目前的硬件和软件需求如下：

能运行Windows Vista或更高版本的电脑(非家用版本)
可信平台模块(TPM)芯片，版本1.2或更新
符合可信计算组(TCG)的计算机BIOS
两个NTFS分区用于操作系统和一个有可用空问的主系统卷
BIOS设置，在检查CD/DVD驱动器或其他可引导外设之前，先引导硬盘

• 检查第三方磁盘加密工具

第三方WDE工具通常比 BitLocker拥有更多的特性。BitLocker只能加密NTFS驱动器。如果想加密FAT驱动器，则需要第三方解决方案。使用第三方工具解密通常遵循与BitLocker中相同的过程，但有一些例外。在使用这些实用程序之前，请确保彻底研究它的特性。以下列表描述了一些可用的第三方WDE实用程序：

PGP全磁盘加密(www.symantec.com/drive-encryption)可用于pc、笔记本电脑和可移动媒体，以保护整个磁盘卷。该工具适用于 Windows 2000,XP Professional (SP1和 SP2)和 Mac OS x 10.4，也可以加密FAT卷。
电压 SecureFile (www.voltage.com/products/voltage-securefile/)是为企业计算环境设计的。Jetico BestCrypt Volume Encryption(www.jet ico .com/products/personal-privacyl 
BestCrypt - 'Volume - Encryption)为旧的MS-DOS和 W indows NTFS系统提供WDE。
TrueCrypt (www.truecrypt.org)创建一个加密的虚拟卷——一个挂载的文件，就像它是—个磁盘驱动器。数据是自动加密和实时。

5、Windows注册表工作

注册表是一个存储硬件和软件配置信息、网络连接、用户首选项(包括用户名和密码)和安装信息的数据库。注册表已经更新，仍然在 Windows Vista和更高版本中使用。查看注册表可以使用用于Windows 9x的 Reged it(注册表编辑器)程序和用于Windows 2000、XP 和Vista的Regedt32程序。对于Windows 7和 Windows 8, Regedit和 Regedit32都是可用的。

• 研究Windows注册表

Windows注册表注册中心术语表：

-registry 一个包含系统和用户信息的层次数据库。
-Registry editor 一个 Windows 实用程序，用于查看和修改注册表中的数据。有两个注册表编辑器:Regedit和 Regedt32。
-HKEY Windows用前缀HKEY_将注册表分成不同的类别。Windows 9x系统有六个HKEY类别。
-key 每个HKEY包含称为key的文件夹。键可以包含其他键文件夹或值。
-subkey 一个键显示在另一个键下是一个子键，类似于在Windows或文件资源管理器的子文件夹。
-branch 一个键及其内容(包括子键)构成注册表中的一个分支。
-value 一个键中的名称和值;它类似于文件及其数据内容。所有键都有一个默认值，可以包含数据，也可以不包含数据。
-hive是HKEY_USER和 HKEY_LOCAL_MACHINE中的特定分支。“HKEY_LOCAL_MACHINEnSoftware”中的 Hive分支分别为SAM、Security、Components和 System。对于HKEY_USER，每个用户帐户都有自己到 Ntuser.dat的hive链接。

注册表使用的文件数量取决于Windows版本。在 Windows 9xMe 中，它只使用两个文件:User.dat和Systemdat。在wWindows NT及以后的版本中，有6个文件:Ntuser.dat，System.dat，Sam.dat，Software.dat，Security.dat，Default.dat。在获取并使用取证工具检查可疑驱动器中的注册表数据时，需要知道这些文件的位置。

• 检查windows注册表

取证工具，如ProDiscove，,X-Ways取证，OSForensics和FTK，有内置或附加的注册表查看器。

6、了解微软启动任务

• 在Windows 7和Windows 8中启动

Windows8 是一个可在台式机、笔记本电脑、平板电脑和智能手机上运行的多平台操作系统。这个讨论涵盖了运行Windows 8的台式机和笔记本电脑，Windows Vista和7非常相似。

所有Windows 8的启动过程都被设计成可以在多种设备上运行，从台式机或笔记本电脑系统，到平板电脑和智能手机。在 Windows Vista和更高版本中，引导过程使用引导配置数据(BCD)存储。对于台式机和笔记本电脑(bios设计的系统)，在 nBootnBcd文件夹中维护一个BCD注册表文件来控制引导过程。要访问该文件，需要使用BCD编辑器；Regedit和 Regedt32与这个文件没有关联。

在 Windows 8中，BCD包含在 Windows启动时启动系统引导进程的引导加载程序。系统启动过程中，按“F8”或“F12”进入“Advanced Boot Options”菜单。该菜单使您可以选择安全模式(或启用安全模式，在Windows 8中)，启动日志记录，或禁用驱动程序签名强制。

• 在Windows NT和更高版本中启动

虽然 Windows NT 与 Windows 95和 Windows 98有很大的不同，但NTOSs-NT、2000和 xp-的启动方法大致相同。在某些系统启动文件的功能上有一些小的不同，但它们完成相同的有序启动。任何使用NTFS的计算机在开机时执行以下步骤：

上电自检(POST)
初始启动
引导加载程序
硬件检测和配置
内核加载
用户登录

7、虚拟机的用途

调查人员需要一个虚拟服务器来查看遗留系统，还需要对嫌疑人的虚拟机进行详细检查。

虚拟机允许通过模拟计算机的硬件环境在现有的物理计算机(称为主机)上运行另一个操作系统。以 Windows 8.1操作系统的Oracle VM VirtuaIBo×虚拟机为例，一个虚拟机由几个文件组成。两个主要文件是配置文件，其中包含硬件设置，如 RAM、网络配置、端口设置等;虚拟硬盘文件，其中包含引导加载程序、操作系统文件和用户数据文件。

在调查中使用虚拟机的另一个原因是为了模仿嫌疑人甚至恶意软件所采取的行动。一些取证分析工具可以将取证图像转换为ISO镜像或虚拟硬盘(VHD)文件，从而能够在虚拟环境中运行嫌疑人的计算机。这个功能是有用的分析恶意软件，看看它如何行为，而不破坏或污染工作站。

虚拟机的行为与其他计算机类似，但有一点不同：它在一定程度上执行操作系统在物理计算机上所能执行的所有任务。虚拟机识别它所加载的主机的硬件组件，如鼠标、键盘和CDDVD 驱动器。但是，客户操作系统(运行在虚拟机上的操作系统)受到主机操作系统的限制，可能会阻止某些操作。例如，大多数虚拟机识别CD/DVD驱动器，因为主机默认为自动检测。一些虚拟机不识别USB驱动器;该功能随虚拟化软件的不同而不同。尽管网络功能超出了本书的范围，但请注意，虚拟机可以使用桥接、网络地址转换(NAT)或其他网络配置来确定它们如何访问Internet并与本地网络上的系统通信。