欢迎来到天天文库
浏览记录
ID:26068909
大小:274.50 KB
页数:9页
时间:2018-11-24
《借助win hex进行取证调查》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、用WinHex进行取证调查本文介绍如何使用WinHex这个数据恢复和检测工具来提取和保护数字证据。由于人们都经常需要恢复丢失的数据;或者也许会怀疑员工有违法行为发生,因此硬盘的检测非常重要。不论是你希望将恢复或检测过的数据作为法庭证据来惩罚违法职员还是仅供自己使用,应该选择一个优秀的取证工具和技术来恢复数据并保证其能成为证据使用。我推荐用户使用WinHex,这是由德国的X-WaysSoftwareTechnologyAG公司推出的产品。WinHex是什么?WinHex是一款高级的十六进制编辑工具,它包含了强大的数据恢复和分析能力
2、。价格为139美,与专业的数据取证软件的价格(美元)相比,确实非常便宜,但是WinHex的功能却一点也不输给后者。比如具有简单的用户界面,可以检测Raid磁盘阵列,并且是在法律中指定的可以被法庭用于数字证据检测的工具。当然,对于我们大家来说,基本不需要这么昂贵的解决方案。数字证据不论是为了有效地恢复数据还是为了保证调查的有效性,你都应该遵循以下由计算机取证顾问给出的几点原则:注意以下原则所针对的证据都是不会因电脑断电而丢失的。尽可能快的获取包含可疑数据的设备。冻结证据越快,你越有可能从中检索到有用的证据。不要超越你的法律权限取证
3、。你也许有权利封锁员工工作用的电脑,但是当你有任何怀疑时,最好先向律师咨询。当你获取了可疑的硬盘后,要防止任何操作系统对其上的数据进行任何修改或覆盖。尤其是存储在自由空间、交换文件空间或者空余空间的数据。不要用可疑硬盘启动,也不要运行其上的任何软件或将任何数据保存在可疑硬盘上。你应该在其它硬盘上启动程序,将可疑磁盘的数据进行备份,并将分析数据保存在其它磁盘或媒介上。生成原始磁盘的hash码,如果有可能,还可以使用专业的时间戳服务。对于包含可疑数据的磁盘进行精确的,逐扇区的拷贝(克隆)。使用hash码校验克隆后的数据,确保克隆的准
4、确性。分析和收集数据。记录所作的分析工作。当然,这一切都是针对克隆的磁盘所作的。在分析数据时,你应该使用某些程序(比如WinHex)来分析磁盘并在不改变文件创建日期和其他文件信息的前提下进行拷贝工作。你也可以针对文件生成hash码,校验这个hash码可以保证源文件与拷贝出的文件是相同的。按需求打印相应的数据。可移动磁盘:庭审的一大挑战目前电脑都可以快速连接外部硬盘驱动器,各种接口的连接设备都有,从便宜的USB2.0到比较昂贵的IEEE1394(火线)外置硬盘盒,都是很容易买到的产品。从取证的角度来说,最大的问题是基于Window
5、s的操作系统在接入外部存储设备后,会自动在其上写入数据,而不是完全以只读形式加载外部设备。举个例子,当一个外置硬盘加载到系统中,Windows会首先对其进行检测,如果外置硬盘上没有回收站文件夹,系统就会自动建立一个。然后根据操作系统的不同,不论是FAT或NTFS文件系统都会写入不同的信息。如果没有特殊的磁盘拷贝硬件(比如GuidanceSoftware公司的USBWrite-PROtect等产品)来支持只读形式的加载方式,那么外置硬盘中的可疑数据就没有足够的可靠性了。假设你对数据的分析不需要那么专业,那么也许你可以接受上面提到的
6、数据写入的问题。下面几个建议可以帮助你最小化由于加载硬盘带来的数据改变:在加载外置硬盘前,先关掉所有向硬盘写入数据的程序,比如NortonProtectedRecycleBin。通过Windows2000的计算机管理工具删除驱动器盘符来卸载硬盘(之后也许你需要重新启动一次)。这样做之后,外置硬盘将不会显示在WindowsExplorer中,但是WinHex还可以访问这个磁盘(因为WinHex是通过BIOS访问硬件的)。创建HashHash码可以说是数据文件的指纹。它可以用来表明两份或者多份数据是否是完全一致的。这种判断是完全有根
7、据的,因为两个不同的数据文件具有相同的Hash码的概率相当相当低,这就好像是两个完全不同的人拥有相同的DNA一样,几乎不可能出现。法庭上所认可的Hash码一般是采用MD5(128位),以及SHA(160位)演算出来的。WinHex可以计算这两种形式的hash码,并可以采用其它文件验证形式,比如校验和(8,16,32,64位),循环冗余校验(16和32位),256位的SHA,以及PSCHF(256位)等校验形式。Hash码要比校验和更具有安全性,这是因为理论上讲,犯罪份子可以修改可执行文件,并通过修改其中的无用数据生成与原可执行文
8、件完全相同的校验和。不过据研究计算机安全的人士,如编写ComputerForensics一书的WarrenG.KruseII以及JayG.Heiser表示要想仿冒MD5或SHA这样强壮的hash码,以目前的计算机性能来说,是不可能实现的。文件的hash码作为计算
此文档下载收益归作者所有