使用foremost对磁盘镜像文件做数字取证

Posted 2022-12-02 ybdesire

1. 引入

数字取证的一个场景，手机损坏后，通过USB拷贝出来一个usbimage.dd文件，这是一个二进制image文件，该如何查看内部有哪些文件呢？

要解决这个问题，就需要用到 数字取证（digital forensic）的工具。

首先，在windows上安装AutoPsy，但并不能扫描出什么东西。做了一些尝试后，发现在linux下用foremost效果不错。所以简单记录下过程。

2. 步骤

1. 做好备份，正如参考2中提到的

usbimage.dd.dd image is a bit to bit copy of the original USB drive. It’s good practise to make an image/copy of the device for further analysis and keep the original USB drive for evidence

2. 用file命令查看文件

xxxxxxx $ file usbimage.dd
usbimage.dd: x86 boot sector, code offset 0x58, OEM-ID "MSDOS5.0", reserved sectors 6140, Media descriptor 0xf8, heads 255, hidden sectors 64, sectors 3866816 (volumes > 32 MB) , FAT (32 bit), sectors/FAT 29698, reserved3 0x800000, serial number 0xac4f0498, unlabeled

可以看到这是一个磁盘的内容文件。

3. 安装 foremost

网上查的很多安装方式，比如用apt（yum）等都失败了。所以从源码自己编译安装比较好：

从参考1处，获取 foremost 源码，然后make安装：

git clone https://github.com/raddyfiy/foremost.git
cd foremost
make
make install

4. 使用 foremost 对 usbimage.dd 进行恢复

foremost usbimage.dd

命令使用很简单，等待几分钟后，恢复的结果会输出到output文件夹，我们看一下文件夹中都有哪些内容：

xxxxxxx $ ll output/
total 324
-rw-rw-r-- 1 example-user example-user 177057 May 23 16:43 audit.txt
drwxrwxr-- 2 example-user example-user     26 May 23 16:42 avi
drwxrwxr-- 2 example-user example-user   4096 May 23 16:42 bmp
drwxrwxr-- 2 example-user example-user    166 May 23 16:42 dll
drwxrwxr-- 2 example-user example-user     26 May 23 16:42 exe
drwxrwxr-- 2 example-user example-user  32768 May 23 16:42 gif
drwxrwxr-- 2 example-user example-user   8192 May 23 16:42 htm
drwxrwxr-- 2 example-user example-user  20480 May 23 16:42 jpg
drwxrwxr-- 2 example-user example-user     26 May 23 16:42 mpg
drwxrwxr-- 2 example-user example-user   4096 May 23 16:42 ole
drwxrwxr-- 2 example-user example-user     66 May 23 16:42 pdf
drwxrwxr-- 2 example-user example-user  20480 May 23 16:42 png
drwxrwxr-- 2 example-user example-user     26 May 23 16:42 ppt
drwxrwxr-- 2 example-user example-user     86 May 23 16:42 wav
drwxrwxr-- 2 example-user example-user     86 May 23 16:42 zip

看文件夹的名字（avi, bmp, jpg, pdf），就知道恢复出来哪些数据了。

其中 audit.txt 中详细记录了各个文件名及其大小。

3. 总结

foremost是linux下用于恢复文件的工具，能对dd,Safeback,Encase等工具提取出来的image文件进行恢复。

如果用图形化的Autopsy来做取证，还能看到更多比如email之类的信息，当然这又是另一个话题了。

4. 参考

1. foremost及其安装：https://github.com/raddyfiy/foremost
2. USB Drive Forensic Analysis with Kali Linux. https://medium.com/@sebnemK/usb-drive-forensic-analysis-with-kali-linux-57d0ef475c9b