电子取证考试资源 都是干货
1.1什么是电子数据
《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》
- 电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据
特点:非直观、易变动、多样性
电子数据包括但不限于下列信息、电子文件: (一)网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息; (二)手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息; (三)用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息; (四)文档、图片、音视频、数字证书、计算机程序等电子文件。 以数字化形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等证据,不属于电子数据。确有必要的,对相关证据的收集、提取、移送、审查,可以参照适用本规定
1.2什么是电子数据取证
电子数据取证 通常理解为采用技术手段,获取、分析、固定电子数据作为认定事实的科学过程。
2013年1月1日新的刑诉法明确规定:“可以用于证明案件事实的材料,都是证据。”将电子数据列入第八类新的证据类型,从此电子数据无疑是新的证据之王。
1.3电子数据取证基本流程
1.4散列值(哈希值)
由散列算法生成的信息摘要就叫散列值,也称为哈希值
常见散列算法:MD4、MD5、SHA-1、SHA-256
散列值只和数据内容有关,和文件属性无关。
哪些情况会影响散列值的计算:扇区范围; 坏扇区; 数据线损坏; 数据内容不同。
电子数据取证基本原则
- 不损害原则:任何执法人员不能采取任何改变嫌疑人计算机或存储介质中数据的行为.
找到Windows系统中的虚拟内存文件?
问题1:虚拟内存的页面文件的文件命是什么?Pagefile.sys
问题2:虚拟内存的页面文件默认在什么位置?C盘的隐藏文件
问题3:虚拟内存是不是越大越好?否,虚拟内存是一种系统内存管理技术,在硬盘中划出一部分特殊空间,当物理内存不够用的时候,电脑就会自动调用硬盘中的特殊空间来充当内存使用。 虚拟内存太大,系统就会花费更多的工夫进行切换和数据交换,非但不会增加系统的效率,反而有可能会降低系统的效率,
问题4:虚拟内存文件可以放在其他分区?可以,但只能放在一个盘中
- 避免使用原始证据原则:利用专门的复制设备将原始存储介质(主要是硬盘)中的电子数据完全复制下来,后续取证分析过程都是基于复制产生的副本进行。
- 记录所作的操作:调查过程中,应记录电子证据的相关操作,第三方应能根据之前记录的操作,取得相同的结果。
- 遵循相关的法律法规:各个国家及地区都有相应的法律法规,应根据当地法律法规来进行电子数据取证。
公安部: 《计算机犯罪现场勘验与电子证据检查规则》05[161]
《公安机关电子数据鉴定规则》08.6
《公安机关办理刑事案件电子数据取证规则》(2019年2月1日执行)
最高人民检察院:
《人民检察院电子证据鉴定程序规则(试行)》09.4
中华全国律师协会: 《律师办理电子数据证据业务操作指引》12.12
两高一部: 《收集提取和审查判断电子数据规定》(2016.10.1)
电子数据取证常见基本概念
1.未分配空间: 如果我们在Windows系统下,打开资源管理器,查看其中一个分区的属性,那么就可以看到这样的一张饼图。蓝色部分是“已用空间”,粉红色部分是“可用空间”。 “已用空间” 指的就是该分区已经存储的文件占用的空间,“可用空间”指的就是尚未被占用的磁盘空间,这些可用空间是不是就是没有数据呢? 可用空间不一定就是没有数据。如果文件被删除,那么该文件占用的空间就会被释放,它原来占用的那些磁盘空间就变成可用空间。
在电子数据取证领域,一般用“未分配”和“已分配”来描述磁盘空间的占用情况,其实“未分配空间”就是对应“可用空间”, “已分配空间”就对应“已用空间”。
2.簇:文件存储的最小单位,簇由多个扇区组成。
3.文件残留区:文件系统在存储一个文件时,一般会给它分配一个存储空间大小,Windows的文件系统一般是以“簇”为单位来进行文件的存储分配管理。
如果我们编辑一个只有3个字节内容的文件,然后保存为文本文件,我们去查看文件的属性,会发现文件的大小是3字节,占用空间可能是4KB或者更大。Windows中看到的文件属性中的大小就是文件的逻辑大小,4KB就是其物理大小,即文件系统分配给该文件的全部空间,即使该文件用不完这些空间,但是它也占用这整个空间,其它文件不能再用。
物理大小与逻辑大小之间的差异部分就是文件残留区。当一个文件原来是4KB,后来用户删除了该文件,那么它占用的空间就释放出来,这个簇就变成未分配簇,当又有一个新文件(例如1024字节) 要存储到这个空间时,那么就覆盖了该空间的前1024字节,后面的3096字节的数据还在原处,这部分实际上就是文件残留区。因此文件残留区往往是之前其它已删除文件遗留下来的数据。
- 隐藏文件
硬盘加密:硬件方式: 笔记本支持从BIOS中直接设置硬盘密码;软件方式: SafeBoot等
虚拟磁盘:True Crypt、Best Crypt、Private Disk、PGP Desktop
信息隐写:Image Galaxy、Image Hide、Steganmography
Office文件:office、PDf
- 反取证
硬盘加密软件方式: SafeBoot
虚拟磁盘:True Crypt、Best Crypt、Private Disk、PGP Desktop
信息隐写:Image Galaxy、Image Hide、Steganmography
突网工具:无界、自由门
数据擦除:无影无踪
- 历史记录
电子数据取证过程中,经常需要分析各种类型的历史记录文件,从而发现用户的行为痕迹或用户访问系统的历史记录。 这些历史记录文件对于调查或多或少都有参考价值。
比较典型的有
上网历史记录:不管用户用什么浏览器来浏览网页,通常都会留下相应的网站访问记录,通过对上网历史记录的分析,可以掌握嫌疑人访问互联网的情况。
IIS访问日志(互联网信息服务):在一些涉黑的案件中,黑客可能入侵了Web服务器,那么可以通过分析Web服务器软件(如微软的IIS)的访问日志文件,了解所有用户的访问记录,访问时间,提交的URL参数等信息,访问IP地址,从而掌握攻击者的来源及攻击时间。
除了上述两种历史记录文件,还有操作系统日志(事件日志)应用程序、安全日志。
防火墙日志,路由器日志等,这些都是电子数据取证过程经常需要分析的数据。
- 临时文件
Office 文档编辑时产生的临时文件
C:\Windows\Temp\*.tmp
C:\Documents and Settings\Username\Local Settings\Temporary Internet Files
公安部2005年颁布的《计算机犯罪现场勘查与电子证据检查规则》对现场勘验检查给予明确定义。
现场勘验检查:是指在犯罪现场实施勘验,以提取、固定现场存留的与犯罪有关电子证据和其它相关证据。
电子数据现场勘查的任务是,发现、固定、提取与犯罪相关的电子证据及其他证据,进行现场调查访问,制作和存储现场信息资料,判断案件性质,确定侦查方向和范围,为侦查破案提供线索和证据。
电子数据现场勘验整体流程
勘查准备:了解案情、人员准备(安全保障组、现场勘查组)、见证人、设备准备
针对高楼,嫌疑人跳窗逃跑可能性较小,但嫌疑人抛弃计算机存储介质的情况比较多,例如:移动硬盘、U盘、笔记本计算机等等。
《公安机关办理刑事案件电子数据取证规则》(后面简称规则)第十二条规定:对扣押的原始存储介质,应当会同在场见证人和原始存储介质持有人(提供人)查点清楚,当场开列《扣押清单》;第二十一条:由于客观原因无法由符合条件的人员担任见证人的,应当在《电子数据现场提取笔录》中注明情况,并全程录像,对录像文件应当计算完整性校验值并记入笔录。而在两高一部联合出台的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(后文简称规定)的第二十七条规定:电子数据的收集、提取程序有下列瑕疵,经补正或者作出合理解释的,可以采用;不能补正或者作出合理解释的,不得作为定案的根据:
- 笔录或者清单上没有侦查人员、电子数据持有人(提供人)、见证人签名或者盖章的。
现场安保:
目的:保障人身安全、保障设备安全
策略:1.确定重点搜索区域,并首先进行保护好现场相关的证物
何谓重点区域?有计算机的办公区域、服务器机房、重点人员办公室、财务室、阻止正在破坏的行为
- 查看现场是否有正在破坏的行为:如硬盘正在格式化、碎纸机正在工作。如果发现此类情况应立刻停止或切断该设备的电源;如果打印机正在打印,应该让其继续打印完
- 隔离对象:禁止对象接触设备及任何电源,搜查对象身上可能存在的存储设备,如优盘、MP3、PDA、数码相机、手机等;防止第一批进入的现场抓捕人员无意中切断电源。
现场拍照
在对现场展开调查前,应通过拍照、录像等方式记录下当时的状态,如设备的位置、连接状态、显示器屏幕信息等等。
现场概貌照 1.进门前由案发现场门口向现场内部拍照
2.进入现场后,采用十字定位法对现场内部计算机所在位置进行拍照
现场中心照 1.对现场计算机的整体摆放情况拍照
- 对现场计算机屏幕显示情况进行拍照(屏保状态、激活后计算机桌面原始情况等)
3.对现场计算机机箱、机箱各接口情况拍照
明细照 1.介质原始状态照
2.介质正反照
3.封存后介质状态照
收集相关物证
注意识别哪些设备是与案件相关:
•纸质文件/材料,如便笺、已打印资料等;
•移动存储介质,如U盘、移动硬盘、光盘;
•计算机及其外部设备,如电池、充电器、磁盘阵列卡、扩展卡等;
•手持设备(如手机、GPS导航仪等);
•各种连接线;
现场中的手机勘察
手机的数据来源:
1. 机身存储
手机的内存(RAM)与闪存(Flash):
计算机内存相当于手机的内存;
计算机硬盘相当于手机的闪存。
2.外置存储
苹果伴侣:专为苹果产品所设计的外置存储
SD卡:大量用于Android移动终端
其他:其它类型的扩展卡;计算机中存储的手机数据
3. SIM卡\UIM卡
SIM卡:主要由中国移动和中国联通两家运营商提供
UIM卡:目前仅由中国电信提供
4. 云存储
常见移动终端云存储应用:iCloud、百度云、360云、华为云等
自动备份音乐,照片,视频,应用程序,书籍等到远端服务器
同步至其它移动终端设备(如:iPad,Mac等)
- 移动运营商/执法部门数据
手机现场勘查整体流程
手机的开启飞行模式和关闭无线链接的重要性:对现场中手机必须第一时间断开所有的网络链接,否则有数据被远程锁定或擦除的风险。
采取必要的手机信号屏蔽措施:信号屏蔽袋/盒
手机外围设备的收集:
ü 充电器、电池
ü 相关数据传输线缆
ü 移动终端相关可移动存储媒介(如内存卡)
ü 购买终端或SIM卡得到的文档手册,这些资料会提供终端的
详细信息还往往包含开机密码、PIN码和PUK码
手机上各类APP账号信息获取
对于智能终端,有时需要询问或获取如下信息:
ü聊天工具账号密码
ü各类网站账号密码
ü支付工具账号密码
ü邮箱账号和密码
需要现场对手机数据提取的情形
根据《规则》第十六条第五款规定需通过现场提取电子数据排查可疑存储介质的,可以现场提取电子数据。
现场中的计算机勘查
计算机处理原则:
l先判断计算机开关机状态
l总原则:开机状态,不立即关机;关机状态,不随意开启其系统
计算机黑屏但未关机的三种状态:
电脑待机:将系统切换到该模式后,除了内存,电脑其他设备的供电都将中断。
电脑休眠:将系统切换到该模式后,系统会自动将内存中的数据全部转存到硬盘上一个休眠文件中,然后切断对所有设备的供电。
电脑睡眠:这种模式结合了待机和休眠的所有优点。将系统切换到睡眠状态后,系统会将内存中的数据全部转存到硬盘上的休眠文件中(这一点类似休眠),然后关闭除了内存外所有设备的供电,让内存中的数据依然维持着(这一点类似待机)。这样,当我们想要恢复的时候,如果在睡眠过程中供电没有发生过异常,就可以直接从内存中的数据恢复(类似待机),速度很快;但如果睡眠过程中供电异常,内存中的数据已经丢失了,还可以从硬盘上恢复(类似休眠)。
01防止计算机系统进入锁屏状态
02不得使用目标系统上的程序实施数据提取
03不得使用消耗大量资源的软件实施数据提取
04不得将提取的信息存储在目标系统原有的存储介质中
05记录操作过程,保护易丢失数据的完整性和真实性
个人电脑开机状态处理流程
时间核准固定
使用计算机访问“国家授时中心网站”核查计算机时间:
http://www.time.ac.cn/stime.asp
国家授时中心简介-国家标准时间的产生、保持和发播公司
内存固定 (重要文件虚拟内存hiberfil.sys )
计算机内存获取工具:
1Dumplt/Win32dd
2取证大师
3FTK Imager
4现勘精灵 (接入现勘精灵前要先关闭杀毒程序)
注意:软件和内存文件要存储在外置存储介质
剪切板数据固定
剪切板数据导出方式: 使用工具clipbrd.exe
计算机桌面信息固定:
通过拍照、摄像、截图等方式记录计算机桌面窗口信息
检查用户运行的应用程序、相关文档文件等
应用程序固定
对正在运行的应用程序及时导出相关信息,比如即时通讯工具QQ、微信、阿里旺旺聊天记录及联系人等信息,同时对应的QQ空间、邮箱等内容也可对应固定。
BitLocker加密
虚拟容器加密
ESF加密(用户个人证书解密)
镜像文件制作
介质镜像文件制作: 可以有效并且无误的保持原始检材的副本,取证分析过程可以在副本文件上进行。其获取数据包括:所有有效数据、删除数据、未分配空间中的数据。
常见格式:E01(含md5值)、dd、L01
关闭机器
现场计算机取证完成后,应按合理的方式关闭计算机:
个人计算机→直接断电
计算机关机状态处理流程:
①拆卸硬盘
②进入BIOS查看系统时间,并固定
《规则》中收集、提取电子数据措施:
扣押、封存原始存储介质;
现场提取电子数据;
网络在线提取电子数据;
冻结电子数据;
调取电子数据;
打印、拍照或者录像。
ü无法扣押原始存储介质并且无法提取电子数据的;
ü存在电子数据自毁功能或装置,需要及时固定相关证据的;
ü需现场展示、查看相关电子数据的。
现场勘验的电子数据收集、提取流程
扣押、封存原始存储介质
前提: 在侦查活动中发现的可以证明犯罪嫌疑人有罪或者无罪、罪轻或者罪重的电子数据,能够扣押原始存储介质的,应当扣押、封存原始存储介质,并制作笔录,记录原始存储介质的封存状态。
要求:保证在不解除封存状态的情况下,无法使用或者启动被封存的原始存储介质,必要时,具备数据信息存储功能的电子设备和硬盘、存储卡等内部存储介质可以分别封存;
封存前后应当拍摄被封存原始存储介质的照片。照片应当反映原始存储介质封存前后的状况,清晰反映封口或者张贴封条处的状况;必要时,照片还要清晰反映电子设备的内部存储介质细节;
封存手机等具有无线通信功能的原始存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施。
文书要求:
u《扣押清单》:一式三份,写明原始存储介质名称、编号、数量、特征及其来源等,由侦查人员、持有人(提供人)和见证人签名或者盖章,一份交给持有人(提供人),一份交给公安机关保管人员,一份附卷备查。无法确定原始介质持有人的,由见证人签名或者盖章,并在有关笔录中注明。由于客观原因无法由符合条件的人员担任见证人的,应当在有关笔录中注明情况,并对扣押原始存储介质的过程全程录像。
应当在笔录中注明的情形:
u原始存储介质及应用系统管理情况,网络拓扑与系统架构情况,是否由多人使用及管理,管理及使用人员的身份情况;
u原始存储介质及应用系统管理的用户名、密码情况;
u原始存储介质的数据备份情况,有无加密磁盘、容器,有无自毁功能,有无其它移动存储介质,是否进行过备份,备份数据的存储位置等情况;
u其他相关的内容。
现场提取电子数据
ü对于无法扣押电子数据的情形,可以做电子数据现场提取:
u原始存储介质不便封存的;
u提取计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据的;
u案件情况紧急,不立即提取电子数据可能会造成电子数据灭失或者其他严重后果的;
u关闭电子设备会导致重要信息系统停止服务的;
u需通过现场提取电子数据排查可疑存储介质的;
u正在运行的计算机信息系统功能或者应用程序关闭后,没有密码无法提取的;
u其他无法扣押原始存储介质的情形。
无法扣押原始存储介质的情形消失后,应当及时扣押、封存原始存储介质。
现场提取电子数据规定:
u不得将提取的数据存储在原始存储介质中;
u不得在目标系统中安装新的应用程序。如果因为特殊原因,需要在目标系统中安装新的应用程序的,应当在笔录中记录所安装的程序及目的;
u应当在有关笔录中详细、准确记录实施的操作。
文书要求:
n《电子数据现场提取笔录》:注明电子数据的来源、事由和目的、对象、提取电子数据的时间、地点、方法、过程、不能扣押原始存储介质的原因、原始存储介质的存放地点,并附《电子数据提取固定清单》;
n《电子数据提取固定清单》:注明类别、文件格式、完整性校验值等,由侦查人员、电子数据持有人(提供人)签名或者盖章;电子数据持有人(提供人)无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。
n《登记保存清单》:对无法扣押的原始存储介质且无法一次性完成电子数据提取的,经登记、拍照或者录像后,可以封存后交其持有人(提供人)保管,并且开具《登记保存清单》一式两份。
网络在线提取电子数据
ü提取的前提:对公开发布的电子数据、境内远程计算机信息系统上的电子数据,可以通过网络在线提取。
ü提取要求:网络在线提取应当计算电子数据的完整性校验值;必要时,可以提取有关电子签名认证证书、数字签名、注册信息等关联性信息。
ü提取内容:
n远程计算机信息系统的访问方式;
n提取的日期和时间;
n提取使用的工具和方法;
n电子数据的网络地址、存储路径或者数据提取时的进入步骤等;
n计算完整性校验值的过程和结果。
文书要求:
n《网络在线提取笔录》:注明电子数据的来源、事由和目的、对象,提取电子数据的时间、地点、方法、过程,丌能扣押原始存储介质的原因,并附《电子数据提取固定清单》
n《电子数据提取固定清单》:注明类别、文件格式、完整性校验值等,由侦查人员签名或者盖章。
网络远程勘验
ü网络在线提取时需要进一步查明下列情形之一的,应当对远程计算机信息系统进行网络远程勘验:
n需要分析、判断提取的电子数据范围的;
n需要展示或者描述电子数据内容或者状态的;
n需要在远程计算机信息系统中安装新的应用程序的;
n需要通过勘验行为让远程计算机信息系统生成新的除正常运行数据外电子数据的;
n需要收集远程计算机信息系统状态信息、系统架构、内部系统关系、文件目录结构、系统工作方式等电子数据相关信息的;
n其他网络在线提取时需要进一步查明有关情况的情形。
组织要求:
n由办理案件的县级公安机关负责。上级公安机关对下级公安机关刑事案件网络远程勘验提供技术支援。对于案情重大、现场复杂的案件,上级公安机关认为有必要时,可以直接组织指挥网络远程勘验。
n网络远程勘验应当由符合条件的人员作为见证人,无见证人情况应全程录像。
文书要求:
n《远程勘验笔录》:详细记录远程勘验有关情况以及勘验照片、截获的屏幕截图等内容。由侦查人员和见证人签名或者盖章。
n《电子数据提取固定清单》:远程勘验并且提取电子数据的,在《远程勘验笔录》注明有关情况,并附《电子数据提取固定清单》。
n对计算机信息系统进行多次远程勘验的,在制作首次《远程勘验笔录》后,逐次制作补充《远程勘验笔录》。
n网络在线提取、远程勘验使用代理服务器、点对点传输软件、下载加速软件等网络工具的,应当在《网络在线提取笔录》或者《远程勘验笔录》中注明采用的相关软件名称和版本号。
需要全程同步录像的情形:
n严重危害国家安全、公共安全的案件;
n电子数据是罪与非罪、是否判处无期徒刑、死刑等定罪量刑关键证据的案件;
n社会影响较大的案件;
n犯罪嫌疑人可能被判处五年有期徒刑以上刑罚的案件;
n其他需要全程同步录像的重大案件。
冻结电子数据
ü需要冻结电子数据的情形:
n数据量大,无法或者不便提取的;
n提取时间长,可能造成电子数据被篡改或者灭失的;
n通过网络应用可以更为直观地展示电子数据的;
n其他需要冻结的情形。
冻结电子数据的措施:
n计算电子数据的完整性校验值;
n锁定网络应用账号;
n采取写保护措施;
n其他防止增加、删除、修改电子数据的措施。
文书要求:
n《协助冻结电子数据通知书》:经县级以上公安机关负责人批准,制作《协助冻结电子数据通知书》,注明冻结电子数据的网络应用账号等信息,送交电子数据持有人、网络服务提供者或者有关部门协助办理。
n《解除冻结电子数据通知书》:不需要继续冻结电子数据时,应当经县级以上公安机关负责人批准,在三日以内制作《解除冻结电子数据通知书》,通知电子数据持有人、网络服务提供者或者有关部门执行。
n冻结电子数据的期限为六个月。有特殊原因需要延长期限的,公安机关应当在冻结期限届满前办理继续冻结手续。每次续冻期限最长不得超过六个月。
调取电子数据
ü文书要求:
n《调取证据通知书》:公安机关向有关单位和个人调取电子数据,应当经办案部门负责人批准,开具《调取证据通知书》,注明需要调取电子数据的相关信息,通知电子数据持有人、网络服务提供者或者有关部门执行。被调取单位、个人应当在通知书回执上签名或者盖章,并附完整性校验值等保护电子数据完整性方法的说明锁定网络应用账号;
n《办案协作函》:公安机关跨地域调查取证的,可以将《办案协作函》和相关法律文书及凭证传真或者通过公安机关信息化系统传输至协作地公安机关。协作地办案部门经审查确认后,在传来的法律文书上加盖本地办案部门印章后,代为调查取证。
电子数据检查
ü电子数据检查概念:对扣押的原始存储介质或者提取的电子数据,需要通过数据恢复、破解、搜索、仿真、关联、统计、比对等方式,以进一步发现和提取不案件相关的线索和证据时,可以进行电子数据检查。
ü人员要求:应当由二名以上具有与业技术的侦查人员进行。必要时,可以指派或者聘请有与门知识的人参加。
ü电子数据移交:应当办理移交手续,并按照以下方式核对电子数据:
n 核对其完整性校验值是否正确;
n 核对封存的照片不当前封存的状态是否一致。
电子数据检查遵循原则:
n通过写保护设备接入到检查设备进行检查,或者制作电子数据备份、对备份进行检查;
n无法使用写保护设备丏无法制作备份的,应当注明原因,并全程录像;
n检查前解除封存、检查后重新封存前后应当拍摄被封存原始存储介质的照片,清晰反映封口或者张贴封条处的状况;
n检查具有无线通信功能的原始存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施保护电子数据的完整性。
文书要求
n《电子数据检查笔录》
1.基本情况。包括检查的起止时间,指挥人员、检查人员的姓名、职务,检查的对象,检查的目的等;
2.检查过程。包括检查过程使用的工具,检查的方法不步骤等;
3.检查结果。包括通过检查发现的案件线索、电子数据、等相关信息。
4.其他需要记录的内容。
对于移交时电子数据完整性校验值丌正确、原始存储介质封存状态丌一致或者未封存可能影响证据真实性、完整性的,检查人员应当在笔录中注明。
n《电子数据提取固定清单》,记录该电子数据的来源、提取方法和完整性校验值。
电子数据侦查实验
ü电子数据侦查实验组织:为了查明案情,必要时,经县级以上公安机关负责人批准可以进行电子数据侦查实验。
ü
电子数据侦查实验任务:
n验证一定条件下电子设备发生的某种异常或者电子数据发生的某种变化;
n验证在一定时间内能否完成对电子数据的某种操作行为;
n验证在某种条件下使用特定软件、硬件能否完成某种特定行为、造成特定后果;
n确定一定条件下某种计算机信息系统应用或者网络行为能否修改、删除特定的电子数据;
n其他需要验证的情况。
电子数据侦查实验记录方式:应当使用拍照、录像、录音、通信数据采集等一种或多种方式客观记录实验过程。
ü
电子数据侦查实验要求:
n应当采取技术措施保护原始存储介质数据的完整性;
n有条件的,电子数据侦查实验应当进行二次以上;
n侦查实验使用的电子设备、网络环境等应当不发案现场一致或者基本一致;必要时,可以采用相关技术方法对相关环境进行模拟或者进行对照实验;
n禁止可能泄露公民信息或者影响非实验环境计算机信息系统正常运行的行为。
文书要求:
n《电子数据侦查实验笔录》:记录侦查实验的条件、过程和结果,并由参加侦查实验的人员签名或者盖章。
电子数据委托检验
ü委托检验与鉴定的情形:为了查明案情,解决案件中某些专门性问题,应当指派、聘请有专门知识的人进行鉴定,或者委托公安部指定的机构出具报告。应当经县级以上公安机关负责人批准。
ü侦查人员送检要求:
n应当封存原始存储介质、
n采取相应措施保护电子数据完整性,
n并提供必要的案件相关信息。
《鉴定委托书》
电子数据司法鉴定概念:公安机关的电子数据司法鉴定,应在省级以上公安机关公共信息网络安全监察部门和有条件的地市级公安机关公共信息网络安全监察部门组织设立的电子数据鉴定机构进行,公安部对全国公安机关电子数据鉴定机构实施鉴定
资质许可管理制度。具体规范如下:
n《公安机关电子数据鉴定规则》2009年
n《公安机关鉴定规则》(公通字〔2017] 6号)(2017年最新修订)
电子数据司法鉴定实验室布局
电子数据司法鉴定实验室流程:预检、受理、检材收领、角色分配、检
材备份、鉴定、编写报告、审核、报告发放、归档。
鉴定事项确认:委托单位送检时应向电子数据鉴定机构提交下列材料:
1.《电子数据鉴定委托书》
2.证明送检人身份的有效证件
3.委托鉴定的检材
4.鉴定人要求提供的与鉴定相关的其他材料
《鉴定事项确认书》
预检:预检的意义:通过对检材的状态的检查,预先判断检材的可使用情况。
预检的原则:不能影响后续鉴定;不必得出与鉴定要求相关的结果。
预检步骤:
1.连接检材
2.通电测试
3.读取检材
4.计算哈希值
鉴定受理:公安机关电子数据鉴定可以受理公安机关、人民法院、人民检察院、司法行政机关、国家安全机关、其他行政执法机关、军队保卫部门、纪检监察部门,以及仲裁机构委托的电子数据鉴定。
与社会鉴定机构不同的服务对象不同,公安机关电子数据鉴定机构对
电子数据的委托方进行了限制,不受理民事鉴定机构的委托。
相关文书:
n《电子物证检验记录》
n《鉴定文书送审稿》
n《鉴定文书审批表》
n《鉴定文书》
n《检材样本流转登记表》
电子数据移送方式
n收集、提取的电子数据:以封存状态随案移送,并制作电子数据的备份一并移送。
n网页、文档、图片等可以直接展示的电子数据:可以不随案移送打印件;无法直接展示电子数据的,侦查机关应当随案移送打印件,或者附展示工具和展示方法说明。
n冻结的电子数据,应当移送被冻结电子数据的清单,注明类别、文件格式、冻结主体、证据要点、相关网络应用账号,并附查看工具和方法的说明;
n对侵入、非法控制计算机信息系统的程序、工具以及计算机病毒等无法直接展示的电子数据,应当附电子数据属性、功能等情况的说明。
电子数据展示要求:控辩双方向法庭提交的电子数据需要展示的,可以根据电子数据的具体类型,借助多媒体设备出示、播放或者演示。必要时,可以聘请具有专门知识的人进行操作,并就相关技术问题作出说明。
电子数据审查的概念
根据《人民检察院刑事诉讼规则》第三百六十八条规定“人民检察院对鉴定意见有疑问
的,可以询问鉴定人并制作笔录附卷,也可以指派检察技术人员或者聘请有鉴定资格的人对案
件中的某些专门性问题进行补充鉴定或者重新鉴定。
公诉部门对审查起诉案件中涉及专门技术问题的证据材料需要进行审查的,可以送交检察技
术人员或者其他有专门知识的人审查,审查后应当出具审查意见。”
开展电子数据审查的意义
ü开展和加强电子数据证据审查是维护司法公正的必然要求
在很多案件中,电子数据对案件的定罪量刑起到决定性作用,对这些电子数据证据的采信和准确把握直接影响到案件的定性和处理,通过审查以确保其真实性、合法性和关联性,以科学的论断来排难解疑、去伪存真,不仅提高诉讼证据的可采性,而且对案件的正确处理也起到关键维护司法公正和提高检察
机关的公信力具有积极意义。
ü开展和加强电子数据证据审查是提高诉讼水平的有效途径
涉及计算机犯罪的增多决定了对电子数据证据审查在检察机关乃至审判机关诉讼活动中具有无可替代的作用。一是具有防漏纠错功能。及时发现破绽、纠正错误,杜绝冤假错案的发生。二是具有指导取证的功能。对于证据审查中发现的问题,通过指导可以进一步规范取证工作,逐步完善电子数据取证体系。
电子数据证据审查方式
ü电子数据证据合法性审查
n主体合法。程序审查是实体审查的前提基础,而主体资格的审查又是程序审查的首
要步骤。
n形式合法。在审查电子数据证据形式是否合法时应当考虑其创制生成、储存、传递
过程的特殊性。
n程序合法。电子数据证据的收集是否符合法定程序,直接影响证据的可采性和真实性。
电子数据证据客观性审查
第一阶段为书面审查,包括审查文书材料所依据的电子数据证据是否真实、完整、充分,来源是否合法,能够证明证据来源的《提取电子证据清单》、《固定电子证据清单》以及《现场勘验笔录》等材料是否齐全,有无瑕疵。取证的方法是否科学,是否采用了相关技术标准(如国家标准、行业标准或实验室标准等),文书内容是否存在矛盾和丌一致,运用的方法能否得出相应的结论或意见等。
第二阶段为实质性审查,对有条件的电子证据,必要时应当进行实质性审查,即对电子证据进行检查验证,通过结果比对、分析印证等方法,判断电子证据是否真实、有无剪裁、拼凑、伪造、篡改等,以确保证据的真实性和可靠性。
电子数据证据关联性审查
关联性是证据的自然属性,是证据和案件亊实乊间客观存在的联系。刑亊证据只有确定不案件亊实间存在客观的,具有实质性证明意义的关联性,才可以作为诉讼证据加以采纳,反之,则应予以排除。审查电子证据能否被采纳为证据,必须从以下几个方面入手:
ü一是所提出的电子证据欲证明什么犯罪亊实和情况;
ü二是该亊实是否为认定构成犯罪的实质性问题;
ü三是所提出的电子证据对解决案件中的争议问题有无实质性的意义;
ü四是电子证据所反映的亊实,同书证、物证、证人证言是否互相吻合,是否有矛盾。
只有当对上述四个问题的回答都是肯定时,该电子证据才具备了关联性。
电子数据证据审查中存在的问题
ü 取证不规范
证据未封存
记录不齐全
电子数据真实性审查内容
ü是否移送原始存储介质;在原始存储介质无法封存、不便移动时,有无说明原因,并注明收集、提取过程及原始存储介质的存放地点或者电子数据的来源等情况;
ü电子数据是否具有数字签名、数字证书等特殊标识;
ü电子数据的收集、提取过程是否可以重现;
ü电子数据如有增加、删除、修改等情形的,是否附有说明;
ü电子数据的完整性是否可以保证。
电子数据完整性审查内容
ü审查原始存储介质的扣押、封存状态;
ü审查电子数据的收集、提取过程,查看录像;
ü比对电子数据完整性校验值;
ü与备份的电子数据进行比较;
ü审查冻结后的访问操作日志;
对收集、提取电子数据合法性审查内容
ü收集、提取电子数据是否由二名以上侦查人员进行,取证方法是否符合相关技术标准;
ü收集、提取电子数据,是否附有笔录、清单,并经侦查人员、电子数据持有人(提供人)、见证人签名或者盖章;没有持有人(提供人)签名或者盖章的,是否注明原因;对电子数据的类别、文件格式等是否注明清楚;ü是否依照有关规定由符合条件的人员担任见证人,是否对相关活动进行录像;
ü电子数据检查是否将电子数据存储介质通过写保护设备接入到检查设备;有条件的,是否制作电子数据备份,并对备份进行检查;无法制作备份且无法使用写保护设备的,是否附有录像。
身份同一性和存储介质关联性审查
ü身份同一性:认定犯罪嫌疑人、被告人的网络身份与现实身份的同一性,可以通过核查相关IP地址、网络活动记录、上网终端归属、相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。
ü存储介质关联性:认定犯罪嫌疑人、被告人与存储介质的关联性,可以通过核查相关证人证言以及犯罪嫌疑人、被告人供述和辩解等进行综合判断。
鉴定人出庭要求
ü公诉人、当事人或者辩护人、诉讼代理人对电子数据鉴定意见有异议,可以申请人民法院通知鉴定人出庭作证。人民法院认为鉴定人有必要出庭的,鉴定人应当出庭作证。
ü经人民法院通知,鉴定人拒不出庭作证的,鉴定意见不得作为定案的根据。对没有正当理由拒不出庭作证的鉴定人,人民法院应当通报司法行政机关或者有关部门。
ü公诉人、当事人或者辩护人、诉讼代理人可以申请法庭通知有专门知识的人出庭,就鉴定意见提出意见。
电子数据的收集、提取程序有瑕疵,需要进一步解释的情形
电子数据的收集、提取程序有下列瑕疵,经补正或者作出合理解释的,可以采用;不能补正或者作出合理解释的,不得作为定案的根据:
n未以封存状态移送的;
n笔录或者清单上没有侦查人员、电子数据持有人(提供人)、见证人签名或者盖章的;
n对电子数据的名称、类别、格式等注明不清的;
n有其他瑕疵的。
电子数据不得作为定案依据的情形
n电子数据系篡改、伪造或者无法确定真伪的;
n电子数据有增加、删除、修改等情形,影响电子数据真实性的;
n其他无法保证电子数据真实性的情形。
浏览检验
操作系统调查:
系统信息收集:在DOS命令提示符下输入systeminfo>c:\1.txt
系统登录帐户信息 :在DOS命令提示符下输入net user 、net user Username
文件的时间信息的伪造:NewFileTime软件可查看
系统进程查看:任务管理器 、自启动项(MSConfig)命令行输入msconfig
用户行为调查:
最近访问记录
WindowsXP操作系统中,Recent文件夹所在的位置为
C:\Documents andSettings\[UserName]\Recent;
在Win7操作系统中的位置为
C:\Users\ [UserName]\ Recent
C:\Users\ [UserName]\ AppData \Roaming\Microsoft\Windows\Recent中
IE临时文件
在WindowsXP操作系统中,Internet临时文件在磁盘中的存放路径为C:\Documents and Settings\[UserName]\Local Settings\Temporary Internet Files;
在Win7操作系统中,Internet临时文件在磁盘中的存放路径为C:\Users \[UserName]\AppData\Local\Microsoft\Windows\Temporary Internet Files。
Cookie浏览
在Windows XP操作系统中Cookie文件的存放目录为C:\Documents and Settings\[UserName]\Cookies;
Win7操作系统中,Cookie文件的存放目录为:
C:\Users\[UserName] \AppData\Roaming\Microsoft\Windows \Cookies。
使用免费软件:IECookieView
USB接口使用: USBDView
IE浏览记录
WindowsXP操作系统,浏览器历史记录
C:\Documents and Settings\ [UserName]\Local Settings\History目录下;
Win7操作系统,浏览器历史记录的存放在
C:\Users\[UserName]\AppData \Local\Microsoft\Windows\History目录中。
使用免费软件:IEHistoryView, IE History Manager
邮件调查
nWeb邮件调查
n互联网邮件调查
证据文件获取
介质取证过程中一个重要的步骤就是证据固定,根据电子数据存储介质的特殊性以及证据学的相关要求:
保证原始证据不发生改变
取证分析过程在介质副本上进行
原介质与副本一致
获取的目的: n
有效并且无误地保存案件原始数据的镜像,用于案件的数据分析
证据获取常用方式
取证软件(如取证大师、EnCase,FTK image)以只读的方式挂载对象存储介质,在Windows下直接进行获取(推荐使用的方式)
采用硬盘复制机,将数据复制到新的空硬盘或生成DD Image镜像文件
n
证据文件类型
在取证领域,证据文件通常是指介质中所有数据生成的镜像文件
常用的证据文件类型有:
n
E01证据文件 n
原始数据镜像 (Raw Image)
ØDD
ØWinHex
ØFTK Imager
L01逻辑证据文件
证据文件格式
E01是一种介质镜像文件格式,它把以物理硬盘或分区为单位生成的镜像称为“E01证据文件”
源介质存储容量特别大时,证据文件可被分割成多个片段存储,生成的证据文件扩展名依次为E01、E02、E03……
取证软件一般都支持硬盘的原始数据镜像格式,如用DD、WinHex、FTK Imager等工具生成的原始数据镜像文件
通常硬盘复制机生成的DD镜像,如果采用分卷,那么扩展名通常为.001,.002,.003,依次类推;在取证大师中,只要选择第一个.001文件即可
WinHex/FTK Imager如果采用整个硬盘做成一个镜像,扩展名通常可以自定义,如HardDriveC.dd
原始数据镜像文件包含一系列文件的数据采集,但是缺乏像E01证据文件所提供的元文件信息,压缩功能及哈希值功能
原始数据镜像生成的方式:
生成一个镜像文件
生成多个镜像分卷文件 (如每个分卷1024MB)
注:取证软件在读取多个镜像分卷文件时,会将各个分卷文件按正确次序组合为一个虚拟硬盘,且和原来的硬盘数据完全一致
磨损均衡(wear leveling):是一种基于固态硬盘主控芯片的内置机制。
具体来说就是,在主控制器的固件中添入新的控制命令,让主控制器在固态硬盘的读写过程中,尽可能的均衡的使用各个block,防止部分闪存区块因过度频繁的擦除和写入命令,而导致整块闪存颗粒提前报废。
文件签名
将文件改名并更改文件扩展名是隐藏文件真实类型的一种方法
文件的扩展名揭示了文件所代表的数据类型。文件头部包含了称为签名的识别信息,同一类型文件的文件头部信息是相同的。
Windows操作系统是根据文件的扩展名来区分文件类型
文件签名校验结果状态有以下几种:
n
可疑签名:
Ø该文件头在签名表中,而该文件的扩展名不正确
n
坏签名:
Ø文件头不在文件签名库中,扩展名在文件签名库中
n
匹配:
Ø该文件头匹配其扩展名
n
未知:
Ø该文件头和扩展名都不在文件签名库中
文件签名恢复
使用“工具”菜单栏中的“数据恢复”功能,选中“深度恢复”中的“签名恢复”功能,可以根据文件签名库中的信息恢复被删除或部分覆盖的文件
使用“工具”菜单栏中的“数据恢复”选项,选中“格式化恢复”,可以重构分区表。
文件过滤
该功能可以按文件名、文件属性、时间、文件大小等条件对文件进行过滤。用户可以设置过滤条件对自己感兴趣的文件进行查找和定位,方便取证人员的分析。
关键词搜索与文件过滤的区别
过滤器是按文件的属性来定位目标文件的,如果文件被删除了,则无所谓文件属性了,这时候我们需要另一种信息定位方式——内容匹配即关键词搜索
过滤器的约束性:只能根据属性值搜索
不能搜索文件内容
不能搜索未分配空间
不能搜索文件残留区
关键词搜索:支持多种字符编码, 复杂的内容匹配
能搜索文件内容
能搜索未分配空间
能搜索文件残留区
关键字实时搜索:对取证结果、文件名、文件内容索引进行搜索,类似搜索引擎;
原始数据搜索:对原始数据实施搜索,需要创建关键字。
步骤:创建关键词 (关键词搜索功能支持的语言包括:简体中文、繁体中文、日文、韩文、GREP语法和自定义二进制流 )
确定搜索范围
设置搜索选项
执行搜索
查看搜索结果
文本格式
查看搜索命中结果时可能看到的是乱码,此时需要调整文本格式来正确显示
文本格式解决哪些问题?
显示文本时采用那种编码方式解码 ;每行显示多少字符 ;遇到无法显示的字符时如何处理
查看文本格式
n
选择“设置”菜单中的“文本风格”选项可查看已有的文本格式。
在浏览器面板的“十六进制视图”中,单击鼠标右键,选择“显示格式”即可切换文本格式
一、现场中的电子存储介质
硬盘与内存
内存是计算机的工作场所,硬盘用来存放暂时
不用的信息。
内存是半导体材料制作,硬盘是磁性材料制作。
内存中的信息会随掉电而,可以长久保存。
计算机的启动过程就是一个从硬盘处理上把最常用信息装入内存的过程。
二、硬盘发展简史
1956年IBM RAMAC容量:5M
1973 IBM温彻斯特技术硬盘现代硬盘技术60M
20世纪80年代,IBM发明MR磁阻磁头:
1991年,IBM发明2.5寸MR磁头,容量1G
1999年,迈拓Maxtor研发ATA硬盘,容量10G
2000年,希捷捷豹15000转硬盘;
2000年,IBM推出“玻璃硬盘”,更高的读写速度和稳定性;目前硬盘的主流配置
低端:
联想IdeaCentre
C560,1T,7200转
高端:联想扬天A8800f
2T,7200转。
硬盘发展趋势
大容量
小型化
快速访问
缓存技术
新科技应用
固态硬盘
RERAM
ReRAM为何物
虽然RRAM的名字中带RAM,但其实是像NAND闪存那样用作数据存情的ROM,只不过它的性能更
强,据说,其密意比DRAM内存高4O倍,取速度快100倍,写入速度快1000倍。RRAM单芯片
(200m2左右)即可实现TB级存储,还具备结构简单、易于制适等优点。
RRAM甚于忆阻器原理,将DRAM的读写速度与SSD的非易失性结合于一身。换句话说,关闭电源后
存储器仍能记住数招。如果RRAM有足够大的空间,一台配备RRAM的PC将不需要载入时间.
传统硬盘一一机械硬盘,港台称之为硬碟,英文名:Ha
rd Disc Drive简称HDD全名温彻斯特式硬盘)是电脑
主要的存储媒介之一,由一个或者多个铅制或者玻璃制的碟片组成。这些碟片外覆盖有铁磁性材料。绝大多数硬盘都是固定硬盘,被永久性地密封固定在硬盘驱动器中。
固态硬盘SSD:Solid State DiskSolid State
Drive )作电子硬盘或者固态电子盘,是由控制单元和
固态存储单元(DRAM或FLASH芯片)组成的硬盘
5、固态硬盘的优劣势
劣势
1、成本高、容量小,相比机械硬盘,
一般的固态硬盘容量小得多目前容量较大的固态硬盘也只有256GB。价钱方面,目前一个固态盘基于闪存)的价钱是机械硬盘的5-10倍。
2、寿命短,一般闪存的固态硬盘写入寿命为1万到10万次,特制的可达100万到500万次,这对U盘或其他数码产品来说不算什么,但固态硬盘在系统上的写入速度会很容易超过这个数量。
3、写入速度相对慢,固态硬盘在数据读取上优势明显,但在数据写入上比传统硬盘要来慢,而且容易产生碎片。
4、数据恢复难,如果固态硬盘数据损坏后是难以修复的,目前的数据修复技术基本不可能在损坏的芯片中恢复数据。而机械硬盘还能挽回一些数据。
硬盘规格从尺寸上,可分为:
■3.5寸:台式机
■2.5寸:笔记本
■1.8寸:超薄笔记本
硬盘从接口上区分,可分为
■IDE接口
■SATA接口
SCSI接口
w.cce9
SAS接口
■M2接口
4、SAS接▣
SATA与SAS硬盘的异同
两者数据线是兼容的,但SATA数据线最大长度为1米,而SAS
可达6-8米
SAS硬盘可以同时响应多个SAS控制器,并且支持128个设备同
时连接(使用扩展器最多可达16000个)》
■SAS为全双工,SATA为半双工
■
SATA转速较低(一般为7200rpm),
SAS转速较高(10000-150
00rpm
5、USB接口
USB接口
■USB串行数据总线,目前主流USB3.0,2.0逐
。
渐被淘汰
■
不需供电;
■
支持热插拔;
传输速率USB2.0:480Mb/s,USB3.0:5GMb/S,U
SB3.1传输速率达到10G/S,USB3.2将达到20G
S
5、M.2接口
M.2接口
■
M.2是一种固态硬盘新接口,是Inte1推出的一种替代MSATA新的接口规范
也就是我们以前经常提到的NGFF,英文全称为:Next Generation Form Fact
or。主要优势在于体积相比传统的SATA3.0、MSATA更小,并且读取速度更
快,对于一些移动设备兼容性更好。
2、硬盘的逻辑结构
Sector一扇区
一个扇区是在一个磁道内的一组字节,并且是在驱动器
上可寻址的最小的一组字节。磁盘划分的最小单位,大
小通常为512字节
2、硬盘的逻辑结构
Cy1 inder一柱面
柱面象磁道一样,是一个逻辑术语,并
不是具体的物理硬件。一个柱面是由磁
盘中不同盘片的相同磁道组成的,好象
一个空心的圆柱体的横截面
3、U盘结构
主要由存储芯片、主控芯片和PCB板组成。
固态硬盘结构
核心器件:闪存颗粒单元
闪存(F1 ash Memory)本
质上是一种长寿命的非易失性(在
断电情况下仍能保持所存储的数据
信息)的存储器,数据删除不是以
单个的字节为单位而是以固定的区
块为单位。固态硬盘中闪存颗粒占
据大部分比重。
八H义I
固态硬盘结构
锦上添花:缓存芯片
缓存芯片,是固态硬盘三大
件中,最容易被人忽视的一块,也是
厂商最不愿意投入的一块。和主控芯
片、闪存颗粒相比,缓存芯片的作用
确实没有那么明显,在用户群体的认
知度也没有那么深入,相应的就无法
以此为噱头进行鼓吹。
六、数据恢复的层次
数据恢复的层次
■删除数据的恢复;
固件数据修复
硬盘开盘恢复
1八
删除数据
软件恢复,主要使用各种
数据恢复软件,对操作系
统层面无法访问的数据进
行恢复,主要的数据恢复
软件有:
FinalData,Easy
recovery,R-studio,Reco
verMyfiles等
2、固件数据恢复
硬盘固件是固化在硬盘盘片0磁道以外的负磁道及线路板
上主控芯片及ROM上的程序,用以对磁盘进行内部管理
当固件任何一部分内容出现异常时,将使硬盘不能被计算
机正确识别,尽管通常存放在盘片上的数据没有破坏,但
却无法正常访问。目前常用的修复工具有PC3000,效率源
Datacompass
笔
5、固态硬盘的优劣势
固态硬盘相比机械硬盘,有以下优点:
1、读写速度快,这也是固态硬盘最大的优点,固态硬盘没有磁头
采用快速随机读取,读延迟极小,无论是启动系统还是运行大型软件,固
态硬盘的速度相比主流的机械硬盘有了质的飞跃。
2、防震抗摔,固态硬盘内部不存在任何机械活动部件,不会发生机械
故障,也不怕碰撞、冲击、振动。这样即使在高速移动甚至伴随翻转倾斜
的情况下也不会影响到正常使用,而且在笔记本电脑发生意外掉落或与硬
物碰撞时能够将数据丢失的可能性降到最小。
3、低功耗、零噪音,由于没有机械马达,闪存芯片发热量小,工作时
噪音值为0分贝,闪存芯片发热量小。
4、轻便,相比传统的机械硬盘,固态硬盘体积更小,重量更轻,方便
携带。
5、固态硬盘的优劣势
劣势
1、成本高、容量小,相比机械硬盘,一般的固态硬盘容量小得多
目前容量较大的固态硬盘也只有256GB。价钱方面,目前一个固态盘
基于闪存)的价钱是机械硬盘的5-10倍。
2、寿命短,一般闪存的固态硬盘写入寿命为1万到10万次,特制
的可达100万到500万次,这对U盘或其他数码产品来说不算什么,但
固态硬盘在系统上的写入速度会很容易超过这个数量·
3、写入速度相对慢,固态硬盘在数据读取上优势明显,但在数据写
入上比传统硬盘要来慢,而且容易产生碎片
4、数据恢复难,如果固态硬盘数据损坏后是难以修复的,目前的数
据修复技术基本不可能在损坏的芯片中恢复数据。而机械硬盘还能挽
回一些数据
第二章:数据存储
第二节:文件系统
硬盘的数据组织
磁盘引导原理
文件系统
磁盘冗余阵列
电子数据取证产品体系
1、低级格式化:磁盘在存储数据前必须经过低级格
式化、分区、高级格式化三个步骤才可以使用。
低级格式化主要完成的功能:
Disk 1 TRANSLATED
■测试硬盘介质;
Cylinders...:519
Heads,,,,.:128
Sectors.....:63
■为硬盘划分磁道;
Select Utility Option
S12e,...:2.142GB
Zero Fill Drive
Low Level
■划分扇区;
Set Drive
Return to
Plcase wait
Performing Low Level Fornat...(ESC to Cancel)
扇区设置;
eturn to pr
0公)
磁盘表面测试;
山nsHe
低级格式化是一个物理过程,格式化完成后数据不能恢
复,低格完成后操作系统仍然不能访问该磁盘,必须
经过高级格式化才可以
硬盘的数据组织
2、分区:将硬盘划分为一系列的逻辑区域,可以在
操作系统中或者特定的分区软件中实现。
硬盘的数据组织
分区完成后,生成了主引导记录(Master Boot Record,
MBR)扇区,位于O柱面0磁道1扇区,由以下几部分内容组
成:
最前面的“80”是一个分区的激活标志,表示系统可引导;
“010100"表示分区开始的磁头号为01,开始的扇区号为01,
开始的柱面号为00:
“0B"表示分区的系统类型是FAT32,其他比较常用的有04
(FAT16)、07(NTFS)
“FE BF FC"表示分区结束的磁头号为254,分区结束的扇区号为
63、分区结束的柱面号为764;
“3F000000"表示首扇区的相对扇区号为63;
“7E86BB00"表示总扇区数为12289622。
GPT分区:GPT(GUID
Partition Table)中文名称
叫做全局唯一标识分区表
它和MBR分区的区别就是
引导方式和分区结构的不
同;支持硬盘分区的容量
不同,MBR分区结构最高
支持到2T硬盘,2T及以上
分区就需要GPT分区结构;
硬盘分区可分为:
主分区:共4个。
扩展分区:1个,
逻辑分区:在扩展分区
的基础上分配,可以有
任意多个
3、高级格式化:分区完成后,还需要在分区上
建立文件系统,此过程即为高级格式化。高级
格式化的作用有
为安装操作系统做准备,
是硬盘兼有系统启动盘
的作用;
■
对指定的硬盘分区进行初始化,建立文件分配表
以便系统按指定的格式存储文件
高级格式化工具有:DOS下的format命令,系
统自带图形界面,DM、PQ、FDISK、
DISKGEN
1、什么是文件系统?
文件系统是操作系统用于明确磁盘或分区上的文件的保存
方法和数据结构,即在磁盘上组织文件的方法
一个分区或磁盘能作为文件系统使用前,需要初始化,并
将记录数据结构写到磁盘上。这个过程就叫建立文件系统
、2、扇区与簇:文件系统要处理上千万
个扇区对操作系统要求较高,因此汇
集为区块(簇)可以减少寻址数
扇区:硬盘所能访问的最小存储单位
簇:文件系统所能访问的最小存储单位
每个簇1个扇区(512字节)至64个扇☒
(32,768字节)甚至更多,由高级格式化
的方式所决定
Fat文件系统各存储区功能
DBR(Dos boot Record):第0柱面,1磁头,1扇区,是操
作系统可以直接访问的第一个扇区,共512字节,记录着
本分区的起始扇区、结束扇区、文件存储格式、根目录
大小、Fat个数、簇大小等重要参数;
FAT(File allocation table):给每个文件分配磁盘物理
空间的表格,列出本分区中的簇的使用状态,Fat有两个,
并且完全一样
■FDT(File Directory Table):存储目录名称及操作系统使
用文件的有关信息,通过FDT可以查找到文件所在磁盘的
全部内容。
1)Fat文件系统中的文件创建过程
在FDT中生成一个与文件管理的目录项;
更新文件分配表FAT,记录文件数据所占的簇;
在Data数据区域写入文件的数据
2)Fat文件系统中的文件删除过程
系统在该文件的文件目录上(FDT)做一个删除
标记(E5);
■
将它们在FAT表中所占的簇标记为“未分配簇”
(00)
■〉
对DATA中的数据未作任何改动。
RAID
Redundant Array of Independent (Inexpensive)
DSk的首字母缩写;中文名称是独立(廉价)磁
盘冗余阵列
RAID早期主要应用:提供高端的存储功能和数据
冗余安全
异或运算(XOR)
XOR(异或运算)是数理逻辑的基本运算之一。XOR用来进行RAID
奇偶校验,可以通过预先计算的校验值来重建数据的方法
XOR应用在RAID3、RAID4、
RAID5、RAID6中
2.证据文件获取
介质取证过程中一个重要的步骤就是证据固定,根
据电子数据存储介质的特殊性以及证据学的相关要
求:
·保证原始证据不发生改变
·取证分析过程在介质副本上进行
·原介质与副本一致
获取的目的:
■有效并且无误地保存案件原始数据的镜像,用于案件的
3.证据获取常用方式
取证软件(如取证大师、EnCase,FTK image).以只
读的方式挂载对象存储介质,在Windows下直接进
行获取(推荐使用的方式)
采用硬盘复制机,将数据复制到新的空硬盘或生成
DD Image镜像文件
4.证据文件类型
在取证领域,证据文件通常是指介质中所有
数据生成的镜像文件
常用的证据文件类型有:
■E01证据文件
原始数据镜像(Raw Image)
E01证据文件
原始数据镜像(Raw Image)
DD
WinHex
FTK Imager
■L01逻辑证据文件
5.证据文件格式
取证软件一般都支持硬盘的原始数据镜像格式,如用DD、
NinHex、FTK Imager等工具生成的原始数据镜像文件
通常硬盘复制机生成的DD镜像,如果采用分卷,那么扩展
名通常为.001,.002,.003,依次类推;在取证大师中,只
要选择第一个.001文件即可
NinHex/FTK Imager如果采用整个硬盘做成一个镜像,扩
展名通常可以自定义,如HardDriveC.dd
证据文件格式
原始数据镜像文件包含一系列文件的数据采集,
但是缺乏像E01证据文件所提供的元文件信息,
压缩功能及哈希值功能
原始数据镜像生成的方式:
生成一个镜像文件
■生成多个镜像分卷文件(如每个分卷1024MB)
6.固态硬盘的磨损均衡
磨损均衡(wear leveling):是一种基于固态硬盘主控芯片的
内置机制。
具体来说就是,在主控制器的固件中添入新的控制命令,让
主控制器在固态硬盘的读写过程中,尽可能的均衡的使用各个
bock,防止部分闪存区块因过度频繁的擦除和写入命令,而导
致整块闪存颗粒提前报废
二、
散列算法及散列值概述
什么是散列值?
■由散列算法生成的信息摘要就叫散列值,也称为哈希值
常见的散列算法有:
■MD4
■MD5
SHA-1
SHA-256
使用
“工具”菜单栏
中的
数据恢复”功
能,选中深度恢复”
中的签名恢复"功能
可以根据文件签名
库中的信息恢复被删
除或部分覆盖的文件