X-Ways Caputer 1.2版於3月10日剛剛發佈,看看最新功能。
第一步:程序啟動,檢測操作系統。
a) X-Ways Caputure首先檢測當前系統的運行的Windows操作系統的準確版本,Linux 模塊會檢測 Linux 的準確版本。
b) 執行命令行(可以定義輸出路徑)。
c) X-Ways Capture 詢問用戶鏡像文件、日誌和其他獲取數據的保存路徑。路徑需要絕對地址。
d) 獲取當前系統的日期和時間。選項可以設定詢問用戶當前日期和時間,用於對比系統時間。
第二步、獲取內存信息
a) 將物理內存信息以DD鏡像方式獲取下來。
由於Windows會禁止對某些內存區域進行訪問,因此會出現一些提示信息,這屬於正常現象。
b) Windows環境下,每一個進程的虛擬內存都將被保存至一個文件中,文件名將以進程名或進程編號命名。
c) 運行程序的清單將會輸出至日誌中。
d) 驅動名稱清單將會輸出至日誌中。
第三步、ATA 硬盤檢測
a) 檢測ATA 硬盤及安全設置。
b) 檢測活動的HPA。
c) 檢測驅動器和分區狀況
此步驟對硬盤及分區狀況進行分析,並創建日誌。將檢測硬盤型號、序列號、大小、總線類型、是否為動態磁盤。
4、檢測當前系統中正在運行的加密軟件
Windows系統下,將採取下列方法檢測正在運行的加密程序。
a) 檢測進程中的名稱
根據已知加密程序進程名稱庫,判斷系統中是否存在已知的加密程序。例如,PGP Desktop 9.02 的程序名為PGPserv.exe。
b) 搜索驅動列表,判斷加密程序是否存在。
c) 檢測內存中的程序:此步驟,X-Ways Capture 可能判斷出正在運行的程序中是否包含特定的加密軟件。即便加密程序的exe文件被改名了,也能夠被判斷出來。某些.exe程序的內部程序名和版權信息中包 含有相關加密軟件無法改變的信息,如PGPsdkService,就是PGPserv.exe的內部名稱。
d) 讀取特定扇區信息:將通過兩種方法讀取每個磁盤的特定扇區。通過對比結果,可以判定硬盤是否被系統種的某些加密軟件進行了加密。例如SecureDoc或CompuSec加密工具。
e) 檢測EFS加密 。在NTFS分區中的所有文件中檢測EFS加密數據。根據NTFS分區中的文件數量多少判斷檢測速度。通常來說,此步驟較為耗時。 此步驟通常在邏輯備份方式跳過的情況下進行,因為邏輯備份總是複製並報告EFS加密文件。
f) 在所有加載的分區中判斷是否包含BitLocker加密程序的簽名特徵。
第五步、創建物理磁盤鏡像
根據前期分析結果,或根據軟件設定參數,決定是否利用創建物理磁盤的鏡像。此階段採用扇區方式獲取鏡像,而不是進行採用文件複製方式。
a) 如果硬盤加密被檢測到,或當前硬盤口令處於解鎖狀態,則進行鏡像。
b) 如果 ATA 硬盤口令保護被檢測到,但X-ways Capture 無法準確判斷是否啟用了保護,則進行鏡像。
c) 如果在配置文件中設定了進行物理鏡像步驟,則進行鏡像。
在有些時候,硬盤被採取了軟件加密,但當前狀態下仍處於解密狀態,此時後獲取的數據是被解密的,且可以被正常讀取。鏡像文件可以是DD或e01文件。獲取 中,哈希值將寫入e01證據文件中,dd方式則以單獨文件存儲哈希值。由於獲取過程中或之後可能會有數據寫入
轉自計算機取證技術