电子证据可能因各种原因随时灭失或者发生变化,需要把这些证据及时固定。
电子数据取证原则上不允许在原始存储介质上直接进行分析。
数据获取分为三种
1.物理获取
2.逻辑获取
3.易失数据 -- RAM(内存)
数据获取必须加只读锁或使用只读设备
数据获取如何存放 -- 镜像
镜像是指将原始数据逐比特位进行复制从而产生与原始数据一致的数据
镜像与复制的区别:
如图是一个数据块,里面存储了很多数据包括已删的数据区,文件残留区还有没有使用过的数据区
镜像就是将所有进行逐比特位复制与原始数据一致。
复制是将有效数据文件进行复制下来,如图为例会将1、2、3数据区复制,此外数据区2为文件残留区,只会将黄色波浪线的数据复制,而不会复制红色斜线的数据。
制作镜像常用的格式:
DD格式
优点:1.兼容性好
2.支持续传:可以断点续传
3.效率高:没有压缩、镜像速度较快
缺点:1.占用空间大:需要与原始证据磁盘一样的磁盘容量
2.元数据需要单独保存
E01、EX01格式
优点:1.支持数据压缩,节省存储空间
2.支持文件分卷或分配
3.内部保存相关的元数据信息
缺点:1.不同取证工具可能无法打开
2.一旦中断,已获取分段数据无法使用
3.效率低