返回
winhex计算机取证文档

winhex计算机取证文档

ID:21396817

大小:23.43 KB

页数:7页

时间:2018-10-21

winhex计算机取证文档_第1页
winhex计算机取证文档_第2页
winhex计算机取证文档_第3页
winhex计算机取证文档_第4页
winhex计算机取证文档_第5页
资源描述:

《winhex计算机取证文档》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、WinHex计算机取证文档本文来自:UPK软件安全社区作者:a__p日期:2009-6-1111:51阅读:1931人收藏用WinHex进行取证调查作者:  techrepublic.com.com本文介绍如何使用WinHex这个数据恢复和检测工具来提取和保护数字证据。由于人们都经常需要恢复丢失的数据;或者也许会怀疑员工有违法行为发生,因此硬盘的检测非常重要。不论是你希望将恢复或检测过的数据作为法庭证据来惩罚违法职员还是仅供自己使用,应该选择一个优秀的取证工具和技术来恢复数据并保证其能成为证据使用。我推荐用户使

2、用WinHex,这是由德国的X-WaysSoftwareTechnologyAG公司推出的产品。WinHex是什么?WinHex是一款高级的十六进制编辑工具,它包含了强大的数据恢复和分析能力。WinHex的高级使用许可证价格为139美元(开启高级功能所必需的),与专业的数据取证软件EnCase的价格(2495美元)相比,确实非常便宜,但是WinHex的功能却一点也不输给后者。比如具有简单的用户界面,可以检测RAID磁盘阵列,并且是在法律中指定的可以被法庭用于数字证据检测的工具。当然,对于我们大家来说,基本不需要

3、这么昂贵的解决方案。数字证据不论是为了有效地恢复数据还是为了保证调查的有效性,你都应该遵循以下由计算机取证顾问给出的几点原则:•  注意以下原则所针对的证据都是不会因电脑断电而丢失的。•  尽可能快的获取包含可疑数据的设备。冻结证据越快,你越有可能从中检索到有用的证据。•  不要超越你的法律权限取证。你也许有权利封锁员工工作用的电脑,但是当你有任何怀疑时,最好先向律师咨询。•  当你获取了可疑的硬盘后,要防止任何操作系统对其上的数据进行任何修改或覆盖。尤其是存储在自由空间、交换文件空间或者空余空间的数据。•  

4、不要用可疑硬盘启动,也不要运行其上的任何软件或将任何数据保存在可疑硬盘上。你应该在其它硬盘上启动程序,将可疑磁盘的数据进行备份,并将分析数据保存在其它磁盘或媒介上。•  生成原始磁盘的hash码,如果有可能,还可以使用专业的时间戳服务。•  对于包含可疑数据的磁盘进行精确的,逐扇区的拷贝(克隆)。•  使用hash码校验克隆后的数据,确保克隆的准确性。•  分析和收集数据。记录所作的分析工作。当然,这一切都是针对克隆的磁盘所作的。在分析数据时,你应该使用某些程序(比如WinHex)来分析磁盘并在不改变文件创建日

5、期和其他文件信息的前提下进行拷贝工作。•  你也可以针对文件生成hash码,校验这个hash码可以保证源文件与拷贝出的文件是相同的。•  按需求打印相应的数据。可移动磁盘:庭审的一大挑战目前电脑都可以快速连接外部硬盘驱动器,各种接口的连接设备都有,从便宜的USB2.0到比较昂贵的IEEE1394(火线)外置硬盘盒,都是很容易买到的产品。从取证的角度来说,最大的问题是基于Windows的操作系统在接入外部存储设备后,会自动在其上写入数据,而不是完全以只读形式加载外部设备。举个例子,当一个外置硬盘加载到系统中,Wi

6、ndows会首先对其进行检测,如果外置硬盘上没有回收站文件夹,系统就会自动建立一个。然后根据操作系统的不同,不论是FAT或NTFS文件系统,Windows都会写入不同的信息。如果没有特殊的磁盘拷贝硬件(比如GuidanceSoftwareInc公司的FastBlocLE  或Logicub的  USBWrite-PROtect等产品)来支持只读形式的加载方式,那么外置硬盘中的可疑数据就没有足够的可靠性了。假设你对数据的分析不需要那么专业,那么也许你可以接受上面提到的数据写入的问题。下面几个建议可以帮助你最小化由

7、于加载硬盘带来的数据改变:•  在加载外置硬盘前,先关掉所有向硬盘写入数据的程序,比如NortonProtectedRecycleBin。•  通过Windows2000的计算机管理工具删除驱动器盘符来卸载硬盘(之后也许你需要重新启动一次)。这样做之后,外置硬盘将不会显示在WindowsExplorer中,但是WinHex还可以访问这个磁盘(因为WinHex是通过BIOS访问硬件的)。创建HashHash码可以说是数据文件的指纹。它可以用来表明两份或者多份数据是否是完全一致的。这种判断是完全有根据的,因为两个不

8、同的数据文件具有相同的Hash码的概率相当相当低,这就好像是两个完全不同的人拥有相同的DNA一样,几乎不可能出现。法庭上所认可的Hash码一般是采用MD5(128位),  以及SHA(160位)演算出来的。WinHex可以计算这两种形式的hash码,并可以采用其它文件验证形式,比如校验和  (8,16,32,64位),  循环冗余校验  (16  和32位),256位的SHA,以及PS

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。