證據檔案格式

節錄於網友Sprite編寫的培訓教材。

案件管理和數據獲取
本章對證據文件進行闡述,並對如何利用X-Ways Forensics創建案件,獲取證據、進行數據驗證校驗進行講解。

證據文件
計算機法證中,經常遇到的一個名詞就是證據文件。很多的案例中,調查人員往往會對一塊或者幾塊磁盤進行操作。例如,有些案件中,離婚夫婦往往要求把對方的筆記本計算機進行鏡像並訴訟;警察部門會到毒販的家 中對嫌疑人使用的計算機進行取證;外資企業會對違反公司規定的員工進行內部調查和審計,需要將員工公司使用的計算機數據進行調查。這種情況下,最常見的做 法就是由專業人員對目標計算機硬盤進行一個位對位的複製,可以採用複製到一個文件的方法,也可以將硬盤數據複製到另外一塊硬盤中。

 證據文件將以單獨文件或連續分段文件的形式,就存儲介質的所有扇區進行精確複製並保存的一種文件格式。由於採用了位對位的複製方法,因此證據文件與嫌疑硬盤數據完全一致。證據文件有壓縮和非壓縮兩種形式。國內也經常稱證據文件為證據鏡像文件,或簡稱鏡像文件。

證據固定即將嫌疑計算機或存儲介質的數據進行獲取的過程。證據固定必須符合嚴格的操作規範,並且需要由具有專業資質的人員使用專業的數據獲取工具進行,同時證據文件格式還要符合法庭接受的標準。

常用的證據文件格式主要有DD鏡像格式、EnCase軟件E01鏡像格式(也稱做Expert Witness證據文件格式)和KFF鏡像格式。目前,國際法庭普遍接受上述前兩種證據文件格式。如果需要考慮固定的證據有效,建議採用這兩種格式。

同時,為了保證證據文件真實有效,獲取證據同時需要利用特定哈希算法(例如MD5算法)計算並驗證證據文件的哈希值。雖然MD5算法被我國科研人員證實為存 在漏洞,但至今各國法庭仍然普遍接受MD5驗證值,因此調查人員仍然可以採用MD5算法對證據文件的進行計算並驗證。實踐中,需要妥善記錄、保存原始的哈 希值、校驗值,以備法庭指派的第三方機構重新驗證,確保證據文件的有效性。

DD鏡像格式
DD鏡像是目前被最廣泛使用的一種鏡像格式,也稱成原始格式(RAW Image)。DD鏡像的優點是兼容性強,目前所有磁盤鏡像和分析工具都支持DD格式。此外,由於沒有壓縮,鏡像速度較快。

DD 鏡像最主要的問題就是非壓縮格式,鏡像文件與原始證據磁盤容量完全一致。即便原始證據磁盤僅有很少的數據,也一樣需要同樣的磁盤容量。很顯然,解決DD鏡 像容量大問題最好的方法就是採用數據壓縮,例如gzip或bzip2。但是這種壓縮方式帶來的問題是無法正常訪問壓縮文件中的數據,因為法證工具需要像訪 問真實硬盤的文件系統一樣訪問鏡像文件,而普通壓縮軟件壓縮後的DD鏡像必須首先解壓縮才能夠使用。

DD 鏡像的另一個問題就是對元數據的記錄問題。DD鏡像是對嫌疑硬盤進行位對位的複製方法,因此生成的鏡像文件中沒有保存額外信息的空間。因此,例如硬盤序列 號、調查員姓名、鏡像地點等信息必須保存在鏡像文件之外的單獨文件.TXT文件中。由於這些信息沒有被保存在鏡像文件內部,就有可能出現丟失或與其他硬盤 信息混淆的情況。

EnCase鏡像格式
E01是法證分析工具 EnCase的一個證據文件格式,較好地解決了DD鏡像的一些不足EnCase 以一系列特有的壓縮片段格式保存證據文件。每一個片段都可以在需要時被單獨地調用並解壓縮,因此可以實現隨機地訪問鏡像中的數據。
 
Encase 證據文件中包含有三個組成部分:文件頭、校驗值和數據塊。這三部分組成了對於一個原始證據的描述,並可用於將證據文件重新恢復至硬盤。DD鏡像文件不包含文件頭和校驗值。相關數據信息可以配合以txt文本形式文件進行描述。

Encase 在生成E01格式證據文件時,會要求用戶輸入與調查案件相關的信息,如調查人員、地點、機構、備註等元數據。這些元數據將隨證據數據信息一同存入E01文 件中。文件的每個字節都經過32位的CRC校驗,這就使得證據被篡改的可能性幾乎為0。默認情況下,分析軟件自動以每64扇區的數據塊進行校驗,這種方式 兼顧速度和完整性兩個方面的考慮。

E01 格式最大的問題就是兼容性問題。由於EnCase格式是非公開的、具有知識產權的商業軟件鏡像格式,因此沒有人明確地知道這種格式的全部細節。 儘管一些開發人員反編譯了E01格式並提供了具有一定的兼容性的支持,而且很多軟件也能夠打開E01文件或者可以創建E01文件。但同時很多公司都聲稱, 不對因E01兼容性問題造成的數據問題負責。因此用戶需要注意的是:除Guidance公司之外,外界其他公司所掌握的E01格式不全面。利用 EnCase之外軟件,最好創建公開、標準格式的鏡像文件。

AFF鏡像
針對E01和DD鏡像文件的不足, AFFLIB公司於2006年推出了開源的證據文件格式AFF格式(Advanced Forensics Format )。這種格式是公開而且可擴展的。

和EnCase證據文件格式相似,AFF也以壓縮片段的方式保存磁盤鏡像,鏡像文件經過壓縮容量明顯減小。
和EnCase不同的是, AFF 既可以將元數據保存在鏡像文件內部,也同時允許元數據被單獨保存在一個文件中。儘管AFF格式 是為瞭解決成百上千個磁盤鏡像任務而設計的,但是同樣也適用於只有一至兩個硬盤的小型案件。
一旦發生磁盤鏡像文件破損的情況, AFF的內部連續性算法也能夠保證儘可能多地將破損的恢復鏡像修復。

AFF 分段鏡像可以被開源工具zlib進行壓縮,也可以保持未壓縮狀態。對AFF 壓縮格式可以節省空間,但是創建時間較長,而且分析處理的速度較慢。具體採用壓縮還是不採用壓縮,可以根據實際情況來決定。但是未壓縮的AFF文件可以很容易地再次壓縮。

AFF 格式不涉及版權問題,該格式是開源的,可以被任何開源工具、或商業軟件使用。現在這種格式已經被越來越多的廠商改採納,並將逐漸成為一種標準的鏡像格式。


0 意見: