WinHex计机取证文档

进行取证调查作者：techrepublic.com.com本文介绍如何使用WinHex这个数据恢复和检测工具来提取和保护数字证据。由于人们都经常需要恢复丢失的数据；或者也许会怀疑员工有违法行为发生，因此硬盘的检测非常重要。不论是你希望将恢复或检测过的数据作为法庭证据来惩罚违法职员还是仅供自己使用，应该选择一个优秀的取证工具和技术来恢复数据并保证其能成为证据使用。我推荐用户使用WinHex，这是由德国的X-WaysSoftwareTechnologyAG公司推出的产品。WinHex是什么?WinHex是一款高级的十六进制编辑工具，它包含了强大的数据恢复和分析能力。WinHex的高级使用许可证价格为139美元（开启高级功能所必需的），与专业的数据取证软件EnCase的价格（2495美元）相比，确实非常便宜，但是WinHex的功能却一点也不输给后者。比如具有简单的用户界面，可以检测RAID磁盘阵列，并且是在法律中指定的可以被法庭用于数字证据检测的工具。当然，对于我们大家来说，基本不需要这么昂贵的解决方案。数字证据不论是为了有效地恢复数据还是为了保证调查的有效性，你都应该遵循以下由计算机取证顾问给出的几点原则：•注意以下原则所针对的证据都是不会因电脑断电而丢失的。•尽可能快的获取包含可疑数据的设备。冻结证据越快，你越有可能从中检索到有用的证据。•不要超越你的法律权限取证。你也许有权利封锁员工工作用的电脑，但是当你有任何怀疑时，最好先向律师咨询。•当你获取了可疑的硬盘后，要防止任何操作系统对其上的数据进行任何修改或覆盖。尤其是存储在自由空间、交换文件空间或者空余空间的数据。•不要用可疑硬盘启动，也不要运行其上的任何软件或将任何数据保存在可疑硬盘上。你应该在其它硬盘上启动程序，将可疑磁盘的数据进行备份，并将分析数据保存在其它磁盘或媒介上。•生成原始磁盘的hash码，如果有可能，还可以使用专业的时间戳服务。•对于包含可疑数据的磁盘进行精确的，逐扇区的拷贝（克隆）。•使用hash码校验克隆后的数据，确保克隆的准确性。•分析和收集数据。记录所作的分析工作。当然，这一切都是针对克隆的磁盘所作的。在分析数据时，你应该使用某些程序（比如WinHex）来分析磁盘并在不改变文件创建日期和其他文件信息的前提下进行拷贝工作。•你也可以针对文件生成hash码，校验这个hash码可以保证源文件与拷贝出的文件是相同的。•按需求打印相应的数据。可移动磁盘：庭审的一大挑战目前电脑都可以快速连接外部硬盘驱动器，各种接口的连接设备都有，从便宜的USB2.0到比较昂贵的IEEE1394（火线）外置硬盘盒，都是很容易买到的产品。从取证的角度来说，最大的问题是基于Windows的操作系统在接入外部存储设备后，会自动在其上写入数据，而不是完全以只读形式加载外部设备。举个例子，当一个外置硬盘加载到系统中，Windows会首先对其进行检测，如果外置硬盘上没有回收站文件夹，系统就会自动建立一个。然后根据操作系统的不同，不论是FAT或NTFS文件系统，Windows都会写入不同的信息。如果没有特殊的磁盘拷贝硬件（比如GuidanceSoftwareInc公司的FastBlocLE或Logicub的USBWrite-PROtect等产品）来支持只读形式的加载方式，那么外置硬盘中的可疑数据就没有足够的可靠性了。假设你对数据的分析不需要那么专业，那么也许你可以接受上面提到的数据写入的问题。下面几个建议可以帮助你最小化由于加载硬盘带来的数据改变：•在加载外置硬盘前，先关掉所有向硬盘写入数据的程序，比如NortonProtectedRecycleBin。•通过Windows2000的计算机管理工具删除驱动器盘符来卸载硬盘（之后也许你需要重新启动一次）。这样做之后，外置硬盘将不会显示在WindowsExplorer中，但是WinHex还可以访问这个磁盘（因为WinHex是通过BIOS访问硬件的）。创建HashHash码可以说是数据文件的指纹。它可以用来表明两份或者多份数据是否是完全一致的。这种判断是完全有根据的，因为两个不同的数据文件具有相同的Hash码的概率相当相当低，这就好像是两个完全不同的人拥有相同的DNA一样，几乎不可能出现。法庭上所认可的Hash码一般是采用MD5(128位),以及SHA(160位)演算出来的。WinHex可以计算这两种形式的hash码，并可以采用其它文件验证形式，比如校验和(8,16,32,64位),循环冗余校验(16和32位)，256位的SHA，以及PSCHF(256位)等校验形式。Hash码要比校验和更具有安全性，这是因为理论上讲，犯罪份子可以修改可执行文件，并通过修改其中的无用数据生成与原可执行文件完全相同的校验和。不过据研究计算机安全的人士，如编写ComputerForensics一书的WarrenG.KruseII以及JayG.Heiser表示，“要想仿冒MD5或SHA这样强壮的hash码，以目前的计算机性能来说，是不可能实现的。”文件的hash码作为计算机检查人员，你肯定会经常对单个文件进行hash码生成工作，以及生成整个硬盘的hash码。要了解生成hash码的方法，最简单的途径就是拿一个简单的文本文档来实践一下。你可以打开WinHex然后通过文件|打开（File|Open）菜单打开一个Word文档。点击工具|计算Hash（Tools|CalculateHash）菜单，然后在弹出窗口中选择MD5并点击OK按钮。注意生成的字符串就是该文档的hash码了。比如我这个文档的hash码是：62661D6194B818DD67B1A48A7803A2AB下面在WindowsExplorer中将这个文档复制一份，然后按照上面的方法在WinHex中生成文档副本的hash码，你会发现，由于这两个文档内容是完全一样的，因此生成的hash码也是完全相同的。下面我们来做一个小小的试验。在WinHex中关闭文档副本，然后用Word打开文档副本，并在文档结尾处添加一个空格。保存后关闭Word，然后再用WinHex打开这个文档并生成hash码。通过对比hash码，你可以发现，就算仅仅添加了一个空格，新的hash码也与原文件的hash码有了很大的差异。由此就可以判断出这个文本文件的内容是经过修改的。接下来，我们在WinHex中关闭该文本文档，然后再次用Word打开它，并除掉文档结尾添加的那个空格，保存并关闭文档。之后用WinHex生成hash码。也许你会认为经过这次修改，文档副本和原文档内容是完全一致的，因此这次生成的hash码会和原文档一致，但是实际上，这次生成的hash码依然与原文档的hash码不同。我们列出了这个简单的试验所得出的几个hash码：•原始文档：62661D6194B818DD67B1A48A7803A2AB•原始文档的副本：62661D6194B818DD67B1A48A7803A2AB•在副本结尾添加空格：A37857059E82908CA7B6B18DFEEF68D4•删掉结尾的空格：3172284159CA1CD109BCA45D8C298EED这个结果也许会令你感到奇怪，为什么内容一样的文档会有不同的hash码。实际上，很多时候是Word本身在作怪，它会在用户保存文档时添加或修改一些隐含的数据项，比如文档版本以及最后修改日期时间等。因此就算你在修改完文档后执行Undo命令取消修改，最终计算出的hash码也与原文档完全不同了。需要注意的是，如果你用WinHex编辑文档，再用它恢复，那么最终生成的hash码将和原文档的hash码相同。我这么说的意义在于，有时候，黑客会将他的机密数据存放在数据文档的无用字段中。如果你有该文档的原始版本，那么就可以和被怀疑存有可疑信息的文档进行比较，就算犯罪分子可以篡改文档的创建和修改日期等信息，在比较hash码时也能轻易显示出二者到底是否完全一致。上文所得出的另一个结论是，尽量用一些专业的查看器来查看文件，比如QuickViewPlus，这要比使用创建该文件的程序进行查看更可靠，它可以防止标准的应用程序将任何隐含信息写入被怀疑的文件，从而破坏证据的可信性。磁盘的hash码生成磁盘的hash码和生成文件的hash码基本是一样的，最大的差别可能就是二者耗时不同。在我500MHz的笔记本上，通过USB2.0接口连接一个外置硬盘，生成MD5hash码需要大约1.5小时。生成磁盘hash码的方法是这样的：首先卸载磁盘；进入开始|控制面板（Start|ControlPanel），双击管理工具（AdministrativeTools），在管理工具窗口中双击计算机管理（ComputerManagement）。然后点击磁盘管理（DiskManagement）文件夹。之后，你会看到连接在系统上的所有磁盘，如图A所示。：Windows2000计算机管理可以显示所有硬盘的状态。右键点击你所希望卸载的磁盘驱动器，然后选择更改盘符和路径（ChangeDriveLetterAndPath）。在更改盘符（ChangeDriveLetter）对话框中，点击卸载（Remove）。之后会弹出一个警告信息，我们点Yes关闭它。此时，这个磁盘就不会显示在WindowsExplorer窗口中了。下面，开启WinHex，并在工具|磁盘编辑（Tools|DiskEditor）菜单中选择这个磁盘。在EditDisk窗口中双击要调查的磁盘，如图B所示。WinHex对磁盘的访问是物理性的，它会绕过Windows2000直接通过BIOS对磁盘进行访问。：Harddisk1是我们此次调查的目标点击工具|计算Hash（Tools|CalculateHash）菜单，并在下拉菜单中选择MD5。之后会弹出一个进度条现实生成hash码的进度。当hash码计算完毕后，你可以将其保存在一个日志文件中，比如纯文本文件，Excel表单或者Word文档中，再将其存储在其它磁盘上，千万不要将其保存在你正在处理的这个磁盘上。创建磁盘克隆克隆磁盘要求目的磁盘应该具有与原磁盘同样大小的空间。也就是说另一个磁盘应该和原磁盘具有相同的容量，或者其中一个分区与原磁盘具有相同的容量。克隆不同于Windows系统的备份，它是逐扇区进行的完全一致的拷贝。它将原硬盘中的所有内容，包括临时文件、内存交换文件以及空白的磁盘区域完全的复制到目的磁盘上。要保证目标磁盘上的任何扇区都和原磁盘一致，你还应该实现对其进行初始化工作。要实现初始化，你应该首先正常访问这个磁盘（磁盘的文件表只有在通过操作系统访问时才生效），然后再选择工具|磁盘工具|初始化可用空间（Tools|DiskTools|InitializeFreeSpace）菜单。如果这个磁盘是采用NTFS文件系统的，你也可以采用InitializeMFTRecords进行初始化。要确保目标磁盘具有足够的空间，你可以在WinHex中打开这两个磁盘，然后在详细信息（Details）窗口中进行比较。如图C所示：图C：Details窗口中的总容量值可以显示出这两个磁盘是否具有相同的容量。码，那么现在就该做这个工作了。之后，选择WinHex的工具|磁盘工具|克隆磁盘（Tools|DiskTools|CloneDisk）菜单。在克隆磁盘对话框中设定克隆所需的原磁盘和目的磁盘，如图D所示。在这个例子中，我将PhysicalDisk2(3.8-GB)克隆到PhysicalDisk1(3.8GB)上，这两个都是我通过USB2.0接口接入笔记本电脑的外置硬盘。将克隆起始扇区设置为0，以便与原磁盘的起始扇区保持一致。图D：目标磁盘的起始扇区应该和原磁盘保持一致此时系统会弹出一个警告信息说H