本期我们将围绕镜像的概念、镜像格式、镜像工具等逐个展开讲解，这种基础知识相信大家一次就能过了。

1. 有必要每次取证都镜像吗？

有！非常有！一定有！

如果大家还记得前面的知识，我们知道司法鉴定的第一步是「数据获取」（Acquisition）”，其目的在于保护源数据不被修改，固定证据防止证据发生变化从而影响效力。

通常情况下，「数据获取」是通过「镜像」（image）来实现的。也就是说，镜像是保护证据并提取证据的一种有效方式，是电子数据取证必不可少的环节。

2. 镜像与克隆、复制和拷贝有什么差别？

▍镜像的本质

镜像之所以称为镜像，是因为它和「源证据」一模一样。如果你要问镜像究竟是什么？很简单，「源证据」是什么，它就是什么。

要知道，镜像的定义就是：

将原始数据逐比特位进行复制，从而产生与原始数据完全一致的镜像数据。

可以说，镜像就是可以用于分析的证据。

▍镜像？克隆？复制？拷贝？

关于这几个词，应该不少人都有过这样的困惑，这回我们一次性辨析清楚。

首先，「复制」和「拷贝」，基本上是一个意思，分别是 copy 这个词的意译和音译。

接下来，要辨析这三个概念的差别，我们要从它们作用的对象和结果来看。

镜像过程，是将原始存储介质中的所有信息写入一个文件，这个文件就是镜像文件，与原始介质中的字节完全一致。

克隆一般指的是生成一个一模一样的存储介质，其操作对象是磁盘，那么就会生成一个内容完全相同的磁盘。

复制和拷贝就是我们通常所熟悉的生成一个副本的过程，从某个设备或磁盘到另一个设备或磁盘上。

当然，以上只是严格意义上的区分，在口语上不必过于纠结，只要明白你所要表达的意思是“固定证据”和“获取数据”就可以了。

没错，镜像文件也有自己的文件格式，正如文档有 doc、docx、page、pdf 等格式一样，镜像文件的格式也有多种。

一般来说，我们常说的镜像格式分为两种：原始格式和专有格式。

▍原始格式

原始格式是指按照磁盘原样位对位复制而没有压缩的格式。

许多的镜像工具都能支持或生成原始格式，这些原始格式即便扩展名不同，但实质却一样。而其中最为广泛使用的原始格式就是「DD格式」，它的广泛使用甚至让许多人以为原始格式就是DD格式。

▍专有格式

专有格式，顾名思义，就是某些专业镜像工具自己专有的镜像格式。

如：E01，Ex01，X-Ways Forensics CTR等等。

E01和Ex01就是专业软件EnCase的格式，算是商业工具镜像的代表之一了。

当我们使用不同的镜像工具时就会产生不同的镜像格式，现如今有许多工具在开始支持多种格式，在实际操作中会根据不同镜像格式选择工具读写。

4. 如何使用镜像工具做镜像

▍镜像工具

镜像工具有硬件也有软件，一般硬件镜像工具是一体的，镜像速度和效果会更好，但两者在结果上并没有区别。

从付费角度来看，镜像工具有免费的，也有商业付费版的，我们在案件中会根据需要来结合使用多种工具。

免费的镜像工具有大名鼎鼎的FTK Imager、Paladin等，接下来我们就以FTK为例来看如何制作镜像。

▍如何制作和查看镜像

制作镜像过程并不复杂，几步操作后一切交给镜像工具就好了。

1. 创建镜像文件，选择需要被镜像的源盘。

创建并选择目标镜像

2. 选择镜像格式、到处路径后并输入相关信息。

输入镜像文件信息

3. 点击“开始”，等待镜像过程。

开始镜像

4. FTK在镜像完后会自动对生成的镜像进行校验，该校验是通过验证新镜像生成的哈希值是否与源盘的文件哈希值相同。

镜像完成后开始校验

5. 在校验完成后，我们可以查看结果。在这个例子中，FTK生成了两中校验值，一个是MD5，另一个是SHA1.

查看校验结果

当校验值一样，证明生成的镜像文件与源文件也是一样的。关于校验值的知识点大家可以自己去查询，如若有必要，我们后面再讲。

不知道大家还是否记得，在有一期的CDF训练营笔记中，Wendy给大家介绍了手工制作Android镜像的方法，后来又发了一篇发现该方法不合法的文章。

在使用镜像工具时，一般出现这种问题的概率会少得多。还是要再次强调，电子取证的所有过程必须合法合规，镜像过程中不能更改任何数据哦！

此文转自微信公众号：数据安全与取证，如涉侵权，请联系后台删除~