為何需掛載映像檔?


看到Harlan的一篇文章,不錯,翻譯一下。在他的書中,介紹了一些進行計算機法證分析的其他方法。其中涉及到了如何利用 Mount Image Pro 將dd鏡像加載為只讀的分區,這樣會將一些分析工作簡單化,並從中得到一些的重要的發現。

為什麼要加載鏡像?

比如說,在某些案件中,你可能會需要利用一些病毒檢測軟件對鏡像中的數據進行檢測,這比用手工方法去查找那些黑客工具要節省不少的時間。


另外我們在Windows系統下做數據分析,總是有一些東西是需要每次分析過程中重複進行的,也有些東西是在個別案例中需要特殊進行的。通常來說,我們做這些工作都是利用套裝的法證分析工具,比如 ProDiscover 或者 EnCase。 儘管這些軟件都帶有一些腳本功能,並帶有一些可用的腳本可以為用戶提供進行一些定義好的數據收集和解析,但有時候,這些腳本並不像我們所期望的一樣能夠完 成其所應完成的工作。我們不得不去下載一些編好的腳本,或等待這些腳本修改更新,但寫腳本的人總都在忙著,怕是沒有時間吧。 有時候,你能夠非常著急,或工作壓力很大,這時候你就很容易忘記一些本來平時經常進行的步驟和操作,遺漏數據。因此,如果我們能有一個腳本可以自動對鏡像 中的數據進行分析,找出我們每次需要尋找的信息......都是全自動的進行的,那麼我們就不會忘掉每次所需要尋找的不同位置的數據。但是話說回來,這就 包含所有的了嗎?比如,你能找到一個工具先去看看回收站 Recycle Bin 是否被禁用了,然後再去查找INFO2 來解析一個用戶,或所有的用戶刪除的數據嗎?或者,你能找到一個工具將系統中的所有審計策略都收集起來,然後檢查註冊表和 事件察看器,然後從事件日誌中將數據收集出來,或再自動將事件日誌輸出到CSV格式的文件中?有這樣的工具是不是很有用呢?可是有這樣的工具嗎?因此有時需要加載鏡像,利用其他工具來進行不同的操作。


加載鏡像還可以用於計算機法證的培訓。將鏡像加載起來,並通過一些不同的法證分析工具分析,可以學生理解起來更加容易

好了,說了這麼多,我們怎麼才能將一個dd鏡像加載為只讀的盤,就像 F:\, G:\,並利用其他的查病毒軟件或其他的工具進行分析呢?

對於DD鏡像,可以使用 ProDiscover, Helix, straight dd, 甚至可以用 FTK Imager Lite。如果使用 ProDiscover, 可以通過Tools -> Image Conversion Tools -> VMWare Support for DD Images... 這個選項創建.vmdk 虛擬機文件。

你也可以使用LiveView.來創建虛擬機文件。選擇一個DD鏡像,使用 "Generate Config Only",這樣可以得到一些文件,包括2個.vmdk 文件和一個快照。 LiveView 使用 VMWare DiskMountVMPlayer。由於他不能將DD文件以只讀方式加載,因此預防起見,你可以手工給DD鏡像添加只讀屬性。可以使用 vmware-mount.exe 加載快照文件,如imagefile-000001.vmdk,所有的些操作都將保存在快照文件當中。

此外,還可以使用 FileDisk.。From the screenshot, FileDisk 帶有一個只讀選項,還可以加載 ISO文件,但需要添加一個 "/cd" 選項。

轉自計算機取證技術

0 意見: