您现在的位置是:首页 > IT基础架构 > 网络与安全 >

映象技术实现计算机取证

2008-12-15 16:34:00作者:落英缤纷来源:

摘要取证就是收集并分析证据,并为司法行动中的展示构建事实的一个过程。取证人员在计算机的取证调查的整个过程中证明证据媒体没有在任何方面被篡改是至关重要的。...

总体而言,取证就是收集并分析证据,并为司法行动中的展示构建事实的一个过程。但在计算机技术中,或在计算机取证技术中,取证就是通过专门的技术来发现证据的过程,这些证据可被用于确认计算机、计算机网络、相关设备、数据存储媒体是否被用于实施犯罪或未授权的活动。

在计算机的取证领域中,取证人员在取证调查的整个过程中证明证据媒体没有在任何方面被篡改是至关重要的。

其中一种方法是对原始的证据媒体作一个映象复制,并对映象复制品展开调查,以防止对原始证据的任何更改。实现这种功能的一个例子即FTK Imager。此软件可进行位到位的映象复制,这与原始证据是等同的,它包括了闲置文件、未分配的空间、自由空间等。

使用FTK Imager,用户可以创建原始证据媒体的取证映象,如本地硬盘、闪盘、软盘、Zip驱动器、CD、DVD等都不在话下。

在安装好此软件后,会看到其界面如图:

下面说一下使用此软件创建映象的方法和步骤。

首先,单击“File”/“Create Disk Image”;

下一步,选择要做映象复制的源,并单击“Next”。如果用户要做的是位流(即bit-stream)复制,需要选择“Physical Drive”。如果用户要做的是逻辑复制,则选择“Logical Drive”。如果用户要做一个映象文件的复制,则选择“Image File”。如果用户要复制一个文件夹,则选择“Contents of a Folder”;

 

第三步,选择要进行映象的驱动器,然后单击Next按钮;

下一步,在“Create Image Dialog”对话框中,通过选择“Verify Images after they are created”,用户就可以比较映象的存储哈希。如果选择“Create directories listings…”,用户就可以列示映象的全部内容,包括路径、创建日期,而不管文件是否被删除,列示内容也包括其它的元数据。

单击Add,选择映象类型。有两种类型供选择,一是Raw(dd):这是一种未压缩的类型,用户需要保障自己拥有足够的空间,二是SMART和E01,此二者分别用于智能取证和EFS取证。

在选择了理想的取证类型后,用户可以单击Next来填写“Evidence Item Information From”,再次单击Next。

第六步,在映象选择对话框中,为映象的目标文件夹(Image Destination Folder)选择一个位置。在映象片断的大小中,用户可以可以选择将映象分割为多个文件以便于在DVD或FAT文件系统中中备份。默认的大小是1500MB。

单击“Finish”返回到创建映象的对话框。

创建映象是取证人员的重要工作,也是日后调查活动展开的重要根据。因此,重视取证时映象创建的科学性是很重要的。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们