数字取证专家的一线图像数据检索

本文概述了取证专家和急救人员为何以及如何从提供图像数据检索的工具中受益。所审查的产品是用于数据检索和映像装入的一线工具，因为如果不先装载映像，则无法检索数据。此外，无论原始文件系统格式如何，能够在任何操作系统下读取此数据也具有额外的价值。

取证图像是用于证据的硬盘驱动器或其他数字媒体的完整副本。取证映像通常包括文件、未分配的空间、可宽延空间和启动记录。取证数据，例如已删除的文件、文件碎片或任何隐藏数据，可能会在 Slack 或未分配的空间中找到。如果使用清理软件完全擦除驱动器上的任何信息痕迹，那么法医检查员不太可能成功检索任何数据。

检索信息的另一个困难是，如果将正在调查的数字媒体连接到常规操作系统 （OS），它将受到不可逆转的损坏。标准操作系统配置在检测到后立即激活设备，挂载文件系统并更改其内容，甚至不通知用户。例如，Windows 可能会自动更改文件属性中的时间戳、在回收站中创建隐藏文件夹或保存配置数据。因此，必须仔细选择用于创建取证图像及其后续深入分析的正确技术。

无论是从硬盘驱动器还是 SSD 安装映像，都必须以完全相同的方式轻松映像。从 SSD 驱动器创建的映像仍将表示映像时所有数据的快照。

Paragon Software的图像贴片机做的事情

从本质上讲，映像贴片器允许存储，安装和验证各种格式的图像的完整性。

Paragon软件的当前版本的映像贴片器允许您使用“块贴片器”驱动程序和图像MGM库（处理图像文件并提供读/写功能以访问存储在图像上的数据）在OS Windows下将上述类型的映像作为标准块设备（磁盘）进行安装。这是通过在系统中创建具有完全控制读写模式的虚拟磁盘/磁盘设备来实现的。因此，挂载的磁盘被标准Windows组件和Paragon软件产品完美识别：适用于Windows的APFS，适用于Windows的Linux文件系统和适用于Windows的HFS+。

但是，为了解决取证问题，这可能还不够，因为在将标准操作系统访问请求映射到文件及其属性到引擎的内部函数以使用 UFS 文件系统的阶段，丢失了有关文件系统的其他信息。数据（证据）可能隐藏或丢失的另一个最常见选项是磁盘上未使用的位置。这些位置可以通过映像贴载器在已安装的块设备上使用。

为了在不丢失映射数据的情况下提供有关文件系统的完整信息，Paragon 软件集团实施了以下架构：

Image MGM 组件提供对图像文件内容和有关图像的其他信息的软件读/写访问。该模块还负责识别取证元数据及其映射，并检查图像的完整性。它不仅在Paragon软件的映像贴片器中成功使用，而且在创建备份时也成功地用于硬盘管理器（另一种软件工具）。

FDisk 库旨在分析磁盘布局，并提供有关它的信息以及对磁盘各个分区的读/写访问。该组件支持解析 MBR、GPT 和标准 LVM，包括位于多个物理磁盘上。该库已成功用于 Linux File Systems for Windows by Paragon Software、APFS for Windows by Paragon Software、ReFS for Windows by Paragon Software 和Storage SDK 产品。

UFS 是识别文件系统、解析其结构并为其提供数据和元数据的主要组件。该库为所有支持的文件系统（APFS，HFS +，EXT2，EXT3，EXT4，BtrFS，XFS，ReFS，NTFS，FAT等）提供单一接口。此接口还提供对文件系统独特功能的访问，例如，能够挂载所需的 APFS 检查点和子卷，以及在挂载加密卷时传递密码。这样，您可以访问任何受支持和可识别文件系统的用户数据和内部数据。

GUI 和 CLI 为最终用户提供了用于访问所检查文件系统的图形和控制台界面。例如，在 UFS 中装载卷后，您可以访问卷的序列号、有关可用和占用的集群的数据及其大小。对于文件系统对象（如文件和目录），您可以访问文件的数据和元数据。

安装和验证的法医图像可用作调查的证据。映像贴载器的主要功能是它能够挂载虚拟映像，就好像您真正连接到用户的计算机一样。它允许您完全访问磁盘的内容，并将其他非取证工具连接到任何其他应用程序或系统。当映像包含操作系统无法识别的文件系统或其他技术时，这一点尤其重要。例如，Image Mounter 可以与 APFS for Windows 结合使用，并允许对 Windows 上的 APFS 宗卷进行完全访问。

跨平台兼容性的文件系统链接技术

取证工具通常是为在特定操作系统中工作而开发的，例如Mac OSX的Macintosh证据收集和分析（MEGA）或用于Linux分区图像分析的取证自动关联引擎（FACE）。

但是，还有另一种方法。如果正在调查的卷或文件使用 Apple 或 Linux 操作系统格式化，该怎么办？映像贴片程序与专有文件系统驱动程序的集成可在 Windows 操作系统下与 Linux 和 APFS 格式的驱动器实现流畅的高性能操作。

文件系统链接驱动程序和映像贴片器的串联允许在PC上工作的取证专家直接在Windows PC上即时访问和写入APFS，extFS甚至ReFS格式的硬盘驱动器，固态驱动器或闪存驱动器。因此，消除了对每个操作系统的单独工具的需求。

Image Mounter是一种工具，使数字取证专家能够轻松安装磁盘映像并访问获取的图像。用于安装取证图像的工具可以用作独立软件，也可以用作集成到更复杂的数据分析解决方案中的组件。

审核编辑：郭婷