ICS35.240CCSL60SF中华人民共和国司法行政行业标准SF/T0105—2021存储介质数据镜像技术规程Codeofpracticeforforensicimagingofstoragemedia2021-11-17发布2021-11-17实施中华人民共和国司法部发布SF/T0105—2021I目次前言.................................................................................II1范围...............................................................................12规范性引用文件.....................................................................13术语和定义.........................................................................14缩略语.............................................................................15仪器设备...........................................................................26镜像获取程序.......................................................................37过程要求...........................................................................38记录内容...........................................................................6参考文献..............................................................................7SF/T0105—2021II前言本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由司法鉴定科学研究院提出。本文件由司法部信息中心归口。本文件起草单位:司法鉴定科学研究院、公安部第三研究所、上海市人民检察院、厦门市美亚柏科信息股份有限公司、厦门市兴百邦科技有限公司。本文件主要起草人:李岩、施少培、郭弘、吴松洋、高峰、徐志强、孙奕、卢启萌、曾锦华、杨恺、李致君、张辉极、刘善军、胡壮。SF/T0105—20211存储介质数据镜像技术规程1范围本文件规定了存储介质数据镜像获取的仪器设备、程序、过程要求和记录内容。本文件适用于司法鉴定/法庭科学领域中存储介质数据镜像的获取和使用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GA/T1476—2018法庭科学远程主机数据获取技术规范3术语和定义下列术语和定义适用于本文件。源source镜像获取过程的输入数据、存储介质或电子设备。目标target镜像获取过程的输出文件或存储介质。镜像文件imagefile从数据源复制生成的,可重新构建数据源数据比特流的一个或一组目标文件。坏块badblock存储介质中由物理故障导致的无法读取的数据区域。合理填充benignfill在镜像获取过程中,当数据源特定数据区域无法读取时,或目标存储介质存在多余数据存储区域时,向镜像文件(3.3)或者目标存储介质对应的数据存储区域填充指定数据的过程。注:填充的指定数据可以是二进制全0、二进制全1或者“BADBLOCK”等显著标示该数据不是来自数据源的文本内容,以避免与其他数据产生混淆。在线镜像获取liveimageacquisition在电子设备运行状态下,以其中的存储介质、分区(卷)为源(3.1)的镜像获取过程。4缩略语下列缩略语适用于本文件。SF/T0105—20212ATA高级技术附件(AdvancedTechnologyAttachment)BIOS基本输入输出系统(BasicInput/OutputSystem)DCO设备配置覆盖区(DeviceConfigurationOverlay)FC光纤通道(FiberChannel)HPA主机保护区(HostProtectedArea)IDE集成磁盘电子接口(IntegratedDriveElectronics)iSCSI基于因特网的小型计算机系统接口(InternetSmallComputerSystemInterface)PCIe外设组件互连快线(PeripheralComponentInterconnectExpress)RAID独立磁盘冗余阵列(RedundantArrayofIndependentDisks)SAS串行小型计算机系统接口(SerialAttachedSCSI)SATA串行高级技术附件(SerialAdvancedTechnologyAttachment)SCSI小型计算机系统接口(SmallComputerSystemInterface)S.M.A.R.T.自我监测、分析及报告技术(Self-MonitoringAnalysisandReportingTechnology)TPM可信平台模块(TrustedPlatformModule)USB通用串行总线(UniversalSerialBus)5仪器设备硬件存储介质数据镜像获取和使用所涉及的硬件设备包括但不限于:a)电子数据鉴定专用计算机;b)存储介质复制设备;c)存储介质只读设备;d)多功能只读读卡器;e)存储介质诊断检测设备;f)故障硬盘修复设备;g)光盘修复设备;h)免拆机硬盘复制工具;i)计算机绕密取证工具;j)存储介质转接接口及数据线;k)分线器;l)系统引导盘;m)网络设备;n)数码照相机/物证翻拍仪;o)数码摄像机。软件存储介质数据镜像获取和使用所涉及的软件工具包括但不限于:a)只读软件;b)具备镜像获取功能的软件;c)RAID阵列重组工具;d)完整性校验值计算工具;e)内存获取软件;f)内存数据分析软件;g)镜像文件格式转换工具;h)镜像挂载工具;i)屏幕录像软件。SF/T0105—202136镜像获取程序常规镜像获取方式常规镜像获取方式一般遵循以下程序:a)将源存储介质从所在电子设备上断开;b)准备目标存储介质并对其进行清洁性检查;c)将源存储介质及目标存储介质连接至检验设备,并采取只读措施防止改变源存储介质数据;d)读取源存储介质的数据,逐比特复制到镜像文件或目标存储介质;e)校验镜像文件或目标存储介质的数据完整性。免拆机镜像获取方式不满足常规镜像获取方式条件时,可选用以下方式进行免拆机镜像获取:a)在线镜像获取方式:使用电子设备运行中的操作系统环境获取镜像;b)引导获取方式:使用系统引导盘启动电子设备,挂载源存储介质和目标存储介质后获取镜像;c)网络获取方式:通过网络访问或挂载源存储介质获取镜像;d)外部加载获取方式:将源存储介质所在的电子设备作为外部存储介质连接至检验设备获取存储介质镜像。示例:部分型号的苹果计算机可在启动时设置为目标磁盘模式,连接至另一台苹果计算机后获取镜像。7过程要求准备阶段7.1.1发现与识别存储介质7.1.1.1检材为电子设备时,可通过以下一种或多种方法发现与识别源存储介质:a)检查电子设备上的存储介质接口,寻找内置或外接的源存储介质。应关注的接口包括但不限于以下类型:1)IDE接口;2)SATA接口及其衍生接口(MicroSATA、mSATA等);3)SCSI接口;4)SAS接口;5)FC接口;6)火线(FireWire)接口(1394A、1394B);7)USB接口(USB-A、USB-B、USB-C)及其衍生接口(mini-USB、Micro-USB等);8)M.2接口;9)U.2接口;10)PCIe接口;11)雷雳(Thunderbolt)接口;12)厂商专有接口(如苹果计算机固态硬盘接口)。b)通过BIOS、操作系统和RAID控制器等界面检查并识别连接至电子设备的存储介质;c)检查并识别基于iSCSI协议的网络存储介质。7.1.1.2识别具有特定关联性的存储介质组合形态(如RAID、混合存储等)。7.1.2判断存储介质状态7.1.2.1可通过读取S.M.A.R.T.信息、辨识存储介质运转声音等方法,或通过制造商或第三方提供的存储介质诊断检测工具初步判断源存储介质状态,状态分类及分类原则如下:a)正常:没有坏块,或未检测出异常;b)稳定损坏:数据区域有坏块,多次读取时坏块位置不变,且读取过程中跳过坏块不会降低性能;SF/T0105—20214c)不稳定损坏:数据区域有坏块,多次读取时坏块位置不稳定,或读取过程中会出现明显性能下降、持续报错或异响;d)无法读取:全部数据区域均无法读取。7.1.2.2包含源存储介质的电子设备处于运行状态时,如需断开电源,应先确认源存储介质的加密情况。7.1.3选择镜像获取方式7.1.3.1满足以下全部条件时,适用常规镜像获取方式:a)源存储介质便于从所在电子设备移除或断开;b)源存储介质具有通用数据接口;c)源存储介质具备只读条件。7.1.3.2满足以下一个或多个条件时,适用免拆机镜像获取方式:a)断电或关机可能导致数据源无法访问;b)源存储介质不便于拆卸;c)源存储介质加密,且不具备独立解密条件(如受TPM和AppleT2等硬件加密芯片保护的磁盘);d)源存储介质具有特殊的数据接口或特殊的数据组成方式等,使用常规镜像获取方式无法获得完整数据。7.1.4连接检验设备7.1.4.1将存储介质从电子设备断开前,宜记录电子设备接口与存储介质的对应关系。7.1.4.2宜选用存储介质原有接口连接至检验设备。示例:安装于USB接口硬盘盒内的SATA接口硬盘宜选择SATA接口连接。7.1.4.3对于存在多个接口的存储介质或电子设备,宜选用传输带宽和稳定性高的接口连接至检验设备。7.1.4.4源存储介质或电子设备接口无法直接被检验设备支持时,应选用经过稳定性及兼容性验证的转接接口及数据线进行转换。7.1.4.5使用分线器扩展接口时,宜选用独立供电的分线器。7.1.4.6具备只读条件的,应采取只读措施,避免改变源存储介质数据;不具备只读条件的,应对镜像获取过程进行录像。7.1.4.7检验设备运行过程中应确保全程持续稳定供电,并关闭自动休眠、屏幕保护程序等可能产生干扰的功能或程序。7.1.5确定镜像目标7.1.5.1镜像获取前,应确保目标存储介质或存储目标镜像文件的位置有充足的可用空间。7.1.5.2镜像目标的格式及压缩、分段、加密等特性的选择可根据镜像源、存储位置、检验设备情况以及后续检验要求确定。各类存储介质的镜像获取7.2.1磁介质硬盘7.2.1.1若磁盘存在ATA加密,应先移除加密。7.2.1.2若检验要求关注隐藏数据,应对隐藏区域进行处理(如移除HPA和DCO)。7.2.2固态硬盘宜采取避免或抑制TRIM指令的方式获取镜像,具体方法包括但不限于:a)禁用检验设备自动挂载分区(卷)的功能;b)使用具备禁用自动挂载功能的引导盘以引导获取方式获取镜像;c)使用工厂访问模式(FactoryAccessMode)获取镜像;SF/T0105—20215d)执行特定的系统命令。7.2.3USB闪存盘7.2.3.1若读取过程中遇到坏块,应断电后重新加电,或重置USB闪存盘所连接的USB总线。7.2.3.2不宜将源存储介质与目标存储介