磁盘取证分析,是指对磁盘上的原始数据进行取证分析。磁盘数据存在多种分区方案,例如FAT32,NTFS,EXT系列,ZFS,exFAT等等,不同的分区方案需要用不同的方式进行读取,才能正确读取到数据。同时,由于不同的分区方案有着不同的数据结构和分区表形式,如果涉及到磁盘数据损坏,还要考虑到分区表损坏的情形,那就要更进一步,涉及到数据恢复的领域。
单单对于磁盘数据的处理和分析的话,可以考虑使用相关的磁盘管理和维护工具,例如Diskgenius,对于原始磁盘镜像的读取和挂载,可以使用FTK Imager,而对磁盘的原始扇区数据进行读取,以及查看分区表数据等操作,可以使用DIskgenius等磁盘管理工具。
而Windows中的Powershell位置是
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt/etc/mysql/debian.cnf
[[FAT分区格式家族]]
[[NTFS分区格式]]
[[EXT分区格式家族]]
对磁盘上的数据进行取证分析,常用的开源两件套是Autopsy和FTK imager,Autopsy可以对磁盘数据进行静态分析,而FTK imager可以直接浏览磁盘的原始数据,并支持将磁盘镜像文件进行挂载,二者相结合可以满足磁盘取证分析的基本要求
Autopsy Forensic Browser 是数字取证工具-The Sleuth Kit(TSK)的图形界面,一个用来分析磁盘映像和恢复文件的开源取证工具。提供在磁盘映像中进行字符串提取,恢复文件,时间轴分析,chrome,firefox 等浏览历史分析,关键字搜索和邮件分析等功能。
- dftt代表Digital Forensics Tool Testing Images。 该网站包含用于测试数字(计算机)取证分析和采集工具的文件系统和磁盘镜像。
mkdir /path/to/forensics
md5sum xxx.dd