資源描述:
《借助win hex進行取證調(diào)查》由會員上傳分享��,免費在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫�����。
1��、用WinHex進行取證調(diào)查本文介紹如何使用WinHex這個數(shù)據(jù)恢復(fù)和檢測工具來提取和保護數(shù)字證據(jù)����。由于人們都經(jīng)常需要恢復(fù)丟失的數(shù)據(jù)���;或者也許會懷疑員工有違法行為發(fā)生��,因此硬盤的檢測非常重要��。不論是你希望將恢復(fù)或檢測過的數(shù)據(jù)作為法庭證據(jù)來懲罰違法職員還是僅供自己使用���,應(yīng)該選擇一個優(yōu)秀的取證工具和技術(shù)來恢復(fù)數(shù)據(jù)并保證其能成為證據(jù)使用����。我推薦用戶使用WinHex���,這是由德國的X-WaysSoftwareTechnologyAG公司推出的產(chǎn)品���。WinHex是什么?WinHex是一款高級的十六進制編輯工具,它包含了強大的數(shù)據(jù)恢復(fù)和分析能力
2��、�。價格為139美,與專業(yè)的數(shù)據(jù)取證軟件的價格(美元)相比�,確實非常便宜,但是WinHex的功能卻一點也不輸給后者����。比如具有簡單的用戶界面,可以檢測Raid磁盤陣列��,并且是在法律中指定的可以被法庭用于數(shù)字證據(jù)檢測的工具。當然��,對于我們大家來說���,基本不需要這么昂貴的解決方案�����。數(shù)字證據(jù)不論是為了有效地恢復(fù)數(shù)據(jù)還是為了保證調(diào)查的有效性��,你都應(yīng)該遵循以下由計算機取證顧問給出的幾點原則:注意以下原則所針對的證據(jù)都是不會因電腦斷電而丟失的��。盡可能快的獲取包含可疑數(shù)據(jù)的設(shè)備�。凍結(jié)證據(jù)越快�,你越有可能從中檢索到有用的證據(jù)。不要超越你的法律權(quán)限取證
3��、�����。你也許有權(quán)利封鎖員工工作用的電腦����,但是當你有任何懷疑時,最好先向律師咨詢����。當你獲取了可疑的硬盤后,要防止任何操作系統(tǒng)對其上的數(shù)據(jù)進行任何修改或覆蓋�����。尤其是存儲在自由空間�����、交換文件空間或者空余空間的數(shù)據(jù)���。不要用可疑硬盤啟動�����,也不要運行其上的任何軟件或?qū)⑷魏螖?shù)據(jù)保存在可疑硬盤上����。你應(yīng)該在其它硬盤上啟動程序�����,將可疑磁盤的數(shù)據(jù)進行備份,并將分析數(shù)據(jù)保存在其它磁盤或媒介上���。生成原始磁盤的hash碼�����,如果有可能����,還可以使用專業(yè)的時間戳服務(wù)�。對于包含可疑數(shù)據(jù)的磁盤進行精確的,逐扇區(qū)的拷貝(克?���。J褂胔ash碼校驗克隆后的數(shù)據(jù)�,確保克隆的準
4�����、確性��。分析和收集數(shù)據(jù)�。記錄所作的分析工作�����。當然,這一切都是針對克隆的磁盤所作的�����。在分析數(shù)據(jù)時����,你應(yīng)該使用某些程序(比如WinHex)來分析磁盤并在不改變文件創(chuàng)建日期和其他文件信息的前提下進行拷貝工作。你也可以針對文件生成hash碼���,校驗這個hash碼可以保證源文件與拷貝出的文件是相同的�����。按需求打印相應(yīng)的數(shù)據(jù)�?���?梢苿哟疟P:庭審的一大挑戰(zhàn)目前電腦都可以快速連接外部硬盤驅(qū)動器,各種接口的連接設(shè)備都有�����,從便宜的USB2.0到比較昂貴的IEEE1394(火線)外置硬盤盒,都是很容易買到的產(chǎn)品�����。從取證的角度來說��,最大的問題是基于Window
5�����、s的操作系統(tǒng)在接入外部存儲設(shè)備后�����,會自動在其上寫入數(shù)據(jù)����,而不是完全以只讀形式加載外部設(shè)備。舉個例子���,當一個外置硬盤加載到系統(tǒng)中�,Windows會首先對其進行檢測,如果外置硬盤上沒有回收站文件夾�,系統(tǒng)就會自動建立一個。然后根據(jù)操作系統(tǒng)的不同��,不論是FAT或NTFS文件系統(tǒng)都會寫入不同的信息�����。如果沒有特殊的磁盤拷貝硬件(比如GuidanceSoftware公司的USBWrite-PROtect等產(chǎn)品)來支持只讀形式的加載方式,那么外置硬盤中的可疑數(shù)據(jù)就沒有足夠的可靠性了���。假設(shè)你對數(shù)據(jù)的分析不需要那么專業(yè),那么也許你可以接受上面提到的
6���、數(shù)據(jù)寫入的問題����。下面幾個建議可以幫助你最小化由于加載硬盤帶來的數(shù)據(jù)改變:在加載外置硬盤前����,先關(guān)掉所有向硬盤寫入數(shù)據(jù)的程序,比如NortonProtectedRecycleBin���。通過Windows2000的計算機管理工具刪除驅(qū)動器盤符來卸載硬盤(之后也許你需要重新啟動一次)��。這樣做之后����,外置硬盤將不會顯示在WindowsExplorer中,但是WinHex還可以訪問這個磁盤(因為WinHex是通過BIOS訪問硬件的)��。創(chuàng)建HashHash碼可以說是數(shù)據(jù)文件的指紋�����。它可以用來表明兩份或者多份數(shù)據(jù)是否是完全一致的�。這種判斷是完全有根
7、據(jù)的��,因為兩個不同的數(shù)據(jù)文件具有相同的Hash碼的概率相當相當?shù)?����,這就好像是兩個完全不同的人擁有相同的DNA一樣���,幾乎不可能出現(xiàn)�����。法庭上所認可的Hash碼一般是采用MD5(128位),以及SHA(160位)演算出來的��。WinHex可以計算這兩種形式的hash碼����,并可以采用其它文件驗證形式,比如校驗和(8,16,32,64位),循環(huán)冗余校驗(16和32位)�,256位的SHA,以及PSCHF(256位)等校驗形式�����。Hash碼要比校驗和更具有安全性�,這是因為理論上講����,犯罪份子可以修改可執(zhí)行文件,并通過修改其中的無用數(shù)據(jù)生成與原可執(zhí)行文
8����、件完全相同的校驗和。不過據(jù)研究計算機安全的人士�����,如編寫ComputerForensics一書的WarrenG.KruseII以及JayG.Heiser表示要想仿冒MD5或SHA這樣強壯的hash碼�����,以目前的計算機性能來說,是不可能實現(xiàn)的�。文件的hash碼作為計算
