使用 Linux 工具进行计算机取证
Posted 煜铭2011
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了使用 Linux 工具进行计算机取证相关的知识,希望对你有一定的参考价值。
使用 Linux 工具进行计算机取证
本文通过介绍 Linux 系统工具(Ftkimage、xmount、Volatility、dd、netcat)来介绍使用计算机取证的方法和步骤。 硬盘数据的取证是指为了证据保全,确保取证工作造成数据丢失,在获取到证据介质后,首先要做的就是对介质数据进行全盘镜像备份。内存取证主要通过对内存数据及其缓存硬盘数据进行分析,提取那些对案件侦破可能有重要意义的易失性数据,这些易失性数据的特点是存在于正在运行的计算机或网络设备的内存中,关机或重启后这些数据将不再存在。
0x00前言
计算机取证过程中要用到很多工具 , 根据取证工具的用途, 主要可以将取证工具分为三大类:第一类是磁盘文件取证复制工具, 第二类是内存文件取证工具,第三类是取证分析工具。尽管很多商业工具都是在 Windows 环境中开发的,但是 Linux 平台还是获得了自己的一席之地,因为 Linux 包含了非常强大的工具,这些工具对取证调查是非常有帮助的,L本文主要介绍 Linux 环境下的磁盘和内存取证工具包括 Ftkimage、xmount、Volatility、dd、netcat 等。
0x01磁盘取证简介
一般来说取证就是收集并分析证据,并为司法行动中的展示构建事实的一个过程。但在计算机技术中,或在计算机取证技术中,取证就是通过专门的技术来发现证据的过程,这些证据可被用于确认计算机、计算机网络、相关设备、数据存储媒体是否被用于实施犯罪或未授权的活动。在计算机的取证领域中,取证人员在取证调查的整个过程中证明证据媒体没有在任何方面被篡改是至关重要的。其中一种方法是对原始的证据媒体作一个映象复制,并对映象复制品展开调查,以防止对原始证据的任何更改。本文介绍磁盘取证工具的平台是 Fedora 21 x64 系统。
1镜像工具 dd
计算机取证时需要为计算机生成一个位镜像, 这个操作要在系统还在运行的时候或在系统关闭之前进行。最常使用的就是两个工具: dd 和 netcat(两者都是开源软件安装非常简单这里从略)。dd 为我们生成磁盘的位镜像文件,而 netcat 将拷贝通过网络传送出去。你需要一台联网的电脑来接收该镜像文件,而且该电脑需要有足够的空间来存放镜像文件。
复制/dev/sdc 到文件 cyqdrive.dd 中。将文件分割成多个 1GB 大小的文件。读取错误时,忽略该错误而不停止拷贝行为。这个例子命令如下:
#dd if=/dev/sdc split=1G of=cyqdrive.dd
刚才已经展示如何创建一个磁盘镜像,但只是创建镜像到系统的本地文件。但是当当前的物理空间不足时就要使用 netcat 来将 dd 命令的的输出通过网络连接进行重定向。首先在目标服务器上,启动 netcat 作为一个监听,并将输出重定向到一个远程服务器上的文件。我会用 netcat 监听 TCP 的 3452 端口,并将镜像写入一个远程的文件 cyqimage.dd。
#nc -l -p 3452 > myimage.dd
然后你可以对服务器(192.168.1.1)进行镜像拷贝,并通过标准输出(没有指定输出的文件)来将镜像文件输出到 netcat,然后由 netcat 将镜像文件发送到目标服务器,使用如下命令:
# dd if=/dev/sdc split=1G of=cyqdrive.dd | nc 192.168.1.1 3452
2 使用 FTK Imager for Linux
使用 FTK Imager 工具用户可以创建原始证据媒体的取证映象,如本地硬盘、闪盘、软盘、Zip 驱动器、CD、DVD 等。对于 FTK Imager 来说 Command Line Version(命令行版本)是免费的,用户可以访问 http://www.accessdata.com/support/product-downloads 下载对应的操作系统版本,这里笔者使用的是 Fedora and Red Hat Version x64 – 3.1.1 版本的文件,下载后解压缩后即可使用,文件名称是 ftkimager。
用户可以使用这个命令查看帮助信息
./ftkimager –help
首先查看当前加载的驱动器列表,输出界面见图 1
图 1. 查看驱动器列表
以上是关于使用 Linux 工具进行计算机取证的主要内容,如果未能解决你的问题,请参考以下文章