信息犯罪与计算机取证

信息犯罪与计算机取证第九章计算机取证工具本章重点内容：计算机取证软件EnCase、FTK的基本使用。计算机取证过程中电子证据只读锁、硬盘复制机、取证计算机系统。本章学习要求：通过本章学习，初步掌握EnCase、FTK的使用方法。9.1软件工具9.1.1EnCaseEnCase是用C++编写的容量大约为1M的程序，它能调查Windows、Macintosh、Unix或Dos计算机的硬盘。EnCase釆用与计算机CRC校验码和MD5哈希值进行比较。确定镜像数据与原先数据完全相同。1.基本操作——添加设备EnCase法证版在一个关联的案例中组织电子证据。电子证据可以被预览和获取．一旦电子证据被获取或被添加到案例中，就可以进行分析。通过入口（Entry）添加到案例中的证据文件或者包含电子证据的的文件。①启动EnCase程序，进入电子数据取证平台，如图9-1所示。②选择【新建】选项，填入案件名称、调查人员、导出文件夹、临时文件夹和索引文件夹，建案例并添加设备。③选择【文件】|【添加设备】|【本地驱动器】（或【Palm掌上设备】或【网络交叉线】）|【N逻辑硬盘】选项，添加证据文件到案件中。图9-1主窗囗2.基本操作——获取将设备添加到案例中后，就可以获取它的内容。①右单击鼠标选中左窗囗【N逻辑硬盘】选项，在弹出的对话框中选择【获取之后】的多个磁盘的连续获取，使得查找、哈希值计算、数字签名分析在获取操作完成时也同时完成。单击【下一步】按钮。②在【搜索】选项框中分别选择【关键字搜索选项】和【电子邮件搜索选项】的相应项如图9-2所示，单击【下一步】按钮。③在【选项】选项框中分别设置硬盘的起始和结束扇区(注意，不要把整个硬盘的内容都加进来，这样会导致证据文件过大)、证据文件（.E01）的输出路径等,单击【完成】按钮。④对证据文件验证完毕后保存。图9-2搜索3．基本操作——逻辑证据文件逻辑证据文件（LEF）的内容包含了通常在预览嫌疑计算机时，从该计算机中复制出来的一系列文件。①右单击鼠标选中右窗囗，选择与逻辑证据文件相关的文件和文件夹，在弹出的对话框中选择【创建逻辑证据】选项，选择创建逻辑证据文件的来源页面。单击【下一步】按钮。②在创建逻辑证据文件的输出页面中，输入或浏览逻辑证据文件的存储路径，并输入文件名。单击【下一步】按钮。再单击【完成】按钮，如图9-3所示。图9-3逻辑证据文件4．数据恢复——恢复文件夹在删除FAT卷、NTFS卷、UFS和EXT2/3分区文件夹可以分别进行恢复。①右单击鼠标选中右窗囗【入囗】选项，选择【文件】|【打开】|【case1.case】|【本地驱动器】选项，单击【下一步】按钮。②选择【选择设备】选项中的【N】逻辑驱动器，单击【完成】按钮。③右单击鼠标选中【N】选项，在弹出的对话框中选择【恢复文件夹】选项，如图9-4所示。图9-4恢复文件夹5．数据恢复——格式化恢复对FAT卷、NTFS卷、UFS和EXT2/3分区的逻辑盘格式化以后可以分别进行恢复。①右单击鼠标选中右窗囗【入囗】，选择【文件】|【新建】|【case2.case】|【本地驱动器】选项，单击【下一步】按钮。②选择【选择设备】选项中的【N】逻辑驱动器，单击【完成】按钮。③右单击鼠标选中【N】选项，在弹出的对话框中选择【恢复文件夹】按钮如图9-5所示。图9-5格式化中恢复文件夹6.证据还原EnCase允许调查者将证据还原到预先准备的存储介质中。还原证据文件到存储介质理论上允许调查人员启动还原后的介质，并查看嫌疑人计算机的工作环境，且不会改变原始数据。但是要注意取证分析时不要在接有嫌疑人硬盘是情况下，启动要取证的硬盘。7.查看文件对设备进行预览或获取时，可以以各种格式来查看从设备中解析出来的文件。①选择【视图】|【文件查看器】选项。②右单击鼠标选中【文件查看器】|【新建】选项，在弹出的对话框中选择【应用程序路径】中的程序文件，如图9-6所示。图9-6文件类型的查看器设置文件类型与查看器的关联。①选择【视图】|【文件类型】选项。②在左窗口中单击树形面板中某一文件夹(例如【Picture】)，在右窗口中单击需要关联的某一文件扩展名，右单击鼠标选中【编辑】选项，如图9-7所示。图9-7文件类型与查看器的关联査看文件结构EnCase提供了对证据文件中的复合文件的各个独立组成部分的信息直接查看功能。具体操作步骤如下：①选择要查看或加载的相应文件。②在右窗口中单击某一类型文件，右单击鼠标选中【査看文件结构】选项，如图9-8所示。图9-8査看文件结构8．文件分析——签名分析当文件类型被标准化之后，程序可以通过签名或头部信息来识别数据。文件头部是与特定的文件扩展名相关联的。增加新签名①选择【视图】|【文件签名】选项。②右单击鼠标选中【文件签名】|【新建】选项，表中【搜索表达式】填入文件的头部或签名；【名称】填入任意说明性的标题。执行签名分析①在右窗口中单击某一类型文件(例如【mdb】)。②单击工具栏中【捜索】选项，然后单击【开始】按钮。9．哈希分析——对案例哈希分析取证人员使用EnCase的哈希特性为每个文件生成一个唯一的“数字指纹”—哈希值。通过MD5哈希算法（128位）生成哈希值并将其存储在证据文件中。EnCase还是能够通过计算出文件的哈希值并与哈希库中的哈希值进行比对来识别出目标文件。①在列表面板中，选择要计算哈希值的文件，单击工具栏中【捜索】按钮（或者【工具】|【捜索】）。②然后单击【开始】按钮，如图9-9所示。图9-9对案例哈希分析10．哈希分析——创建哈希集哈希集是属于同一个组中的哈希值(代表唯一文件)的集合。当对证据文件进行哈希分析时，EnCase可以识别出与该哈希值相匹配的文件。那些逻辑文件可以在随后的搜索和调查中进行排除，从而提高关键字搜索及其它分析功能的执行效率。哈希库的特性使得取证人员可以导入或定制一个包含哈希集的哈希库以便因地制宜地识别证据文件中哪些文件与导入的哈希集匹配。①打开案例，单击工具栏中【捜索】按钮。②选择【散列选项】中的计算散列值。为整个案例中的文件创建哈希值。③当搜索结束后选中要添加到哈希集中的文件。右单击列表面板，选择菜单中的创建散列集。④对话框中输入哈希集的名称以及类型，然后单击【确定】按钮。随之生成一个哈希集。如图9-10所示。图9-10创建哈希集名和类型11．关键字——创建全局关键字和增加关键字EnCase的强大搜索引擎使得它能够定位当前打开的案例中的任何物理介质或是逻辑介质中的证据信息。全局关键字可以在任何案例中运用，当然它们也可以被设置为指定案例的关键字并仅运用于已存在的案例之中。创建全局关键字操作步骤如下：①选择【视图】|【关键字】选项。②右单击鼠标选中【关键字】|【新建文件夹】选项，如图9-11所示。③右单击鼠标选中【文件夹2】|【新建】选项，【捜索表达式】框內输入要搜寻的文本；【名称】框內输入搜索表达式在文件夹中显示的名称；【GREP】采用GREP语法进行搜索；【ANSILatin-1】搜索文档过程中将采用ANSILatin-1代码页；【Unicode】在Unicode操作系统中进行调查取证时需要选择这个选项；【UnicodeBig-Endian】在UnicodeBig-Endian操作系统（如基于Motorola的苹果机操作系统）中进行调查时需要选择这个选项。UnicodeBig-Endian使用于非Intel的架构的系统中。图9-11新建关键字12．关键字——导入和导出关键字关键字及关键字列表可以从其它用户导入或导出。①右单击鼠标选中需要导入或导出的【文件夹】选项。②在【输入文件】框內输入要导入或导出的文本文件。③按【确定】按钮，以TXT文本文件的格式导入或导出关键字和关键字列表，如图9-12所示。图9-12导出关键字13．搜索电子邮件和互联网搜索①单击工具栏中【捜索】按钮。②选择相关选项，Web邮件（包括Netscape、Hotmail以及yahooWebmail）都可以被选中进行搜索。然后单击【开始】按钮，如图9-13所示。图9-13搜索电子邮件③选择【工具】|【Web邮件分析器】选项，选择要搜索的Web邮件类型。可以只对选定的文件进行搜索，如图9-14所示。图9-14Web邮件分析器14．书签EnCase可以为文件、文件夹或是文件中的部分内容进行标记以便日后参考。这些标记称为书签，所有的书签都被存储在与它们相关联的案例文件中。创建加亮数据书签操作步骤如下：①在视图面板之中，选中要进行处理的内容。②右单击高亮选中的内容，选择【书签数据】选项，如图9-15所示。图9-15书签数据创建文件夹结构书签：①右单击要进行书签标记的设备或文件夹，选择【书签数据】选项，。②如要改变默认设置，则输入相应的合适的值，然后单击【开始】按钮，如图9-16所示。图9-16书签文件夹结构编辑书签：①在列表面板的书签视图中右单击目标书签，选中【书签】|【编辑】选项。②编辑显示在编辑对话框中的内容，然后单击【开始】按钮，如图9-17所示。图9-17编辑书签15．报告取证调查的最后阶段是提交发现的结果报告，该报告应用一种易理解，易阅读的形式来组织。输出报告操作步骤如下：①鼠标置于报告中，单击右键，出现选择对话框。②选择【导出】选项，要求设置输出的信息(例如【HTML】)。③输入或者通过浏览选择报告要输出的路径。单击【开始】按钮，如图9-18所示。新创建的报告文件即可使用。图9-18报告9.1.2UTKUTK软件是ACCESSDATA公司开发的一套司法取证软件。其包括FTKImager，ForensicToolkit（简称FTK），RegistryViewer（简称RV），PasswordRecoveryToolkit（简称PRTK），DistributedNetworkAttack（简称DNA），WipeDrive等几款工具软件。1.FTKImagerFTKImager是一个数据预览和映像工具，它可使调查人员快速访问电子证据以确定是否有必要使用FTK或其他分析工具作进一步分析。使用FTKImager可以完成以下几个功能：①预览功能。FTKImager可以预览本地硬盘驱动器、软盘、Zip磁盘、CD和DVD中的文件和文件夹；可以预览在本地计算机或网络驱动器上存储的镜像文件内容。并且可以从镜像文件中导出文件和文件夹。②精确复制功能。FTKImager为本地硬盘驱动器、软盘、Zip磁盘、CD和DVD创建精确副本。③报告生成功能。FTKImager能生成常规文件和磁盘映像（包括磁盘映像中的文件）的散列报告。(1)使用准备①连接介质②打开软件。如图9-19所示：图9-19FTKImager界面(2)添加（或删除）证据项添加（或删除）证据项。从菜单中选择文件添加证据项或单击工具栏中的相应按钮，如图9-20所示，添加后如图9-21所示。图9-20添加证据项1图9-21添加证据项2(3)创建文件镜像创建镜像文件时，FTKImager允许将单个映像文件写入单个目标位置，或将多个映像文件同时写入多个目标位置，可以将现有镜像文件转换为其他的格式的镜像文件，可以从证据项中导出或复制文件，以便按需打印、采用电子邮件发送或组织文件，而无需更改原始证据，如图9-22所示。图9-22创建文件镜像(3)导出散列报告FTKImager可以导出散列报告。选定要导出散列值的文件，右键选择导出散列值，如图9-23所示。导出后打开效果如图9-24所示。图9-23导出散列报告图9-24散列报告导出效果2.FTKFTK软件使用方便，可以通过多种方式分析证据，创建案例报告。它支持的磁盘分区格式包括NTFS，NTFScompressed,，FAT12/16/32,，Linuxext2&ext3等。支持镜像文件格式包括Encase，SMART，Snapback，Safeback(3.0版本以上)