电子数据取证学习笔记-1

1、电子数据取证架构

2、电子数据取证与应急响应的区别

2.1 实施主体不同

电子取证的主体一般为执法部门和内部安全审计人员，应急响应的主体一般为负责网络安全的政府组织、安全厂商、系统维护人员。

2.2 过程不同

电子数据取证是案件发生后采取措施的过程，应急响应贯穿到事先预防、集中处理和事后弥补整个过程。

2.3 目标不同

电子数据取证是为了获得违法犯罪的证据，目的是形成证据链，应急响应的目标是为了恢复整个系统的正常。

3、存储器指标

3.1 存储器容量

存储容量是存储介质中可以容纳二进制信息的总量，即存储容量=存储单元数✖️存储字长。存储容量越大存储的信息就越多。存储容量通常用位(bit)或字节(Byte)来表示，一般一个字节定义为8个二进制位，因此计算机中一个字的字长通常是8的整数倍。

3.2 数据传输率

数据传输率是指单位时间内存储器所存取的信息量，度量单位通常为位(bit)/秒或字节(Byte)/秒，是衡量电子数据取证效率的重要技术指标。速率越高，意味着单位时间镜像或分析的数据越多。

3.3 数据接口

电子数据取证人员在工作中可能会见到各种外部存储介质接口。接口上的标识主要有IDE、ATA、Ultra ATA/33、Ultra ATA/66、Ultra ATA/100、Ultra ATA/133、Ultra DMA/33、Ultra DMA/66、Ultra DMA/100、Ultra DMA/133、Serial ATA、SCSI、SCSI II、Wide SCSI II、Ultra SCSI II、Ultra Wide SCSI II、Ultra2 SCSI、Ultra160 SCSI、Ultra320 SCSI。
接口按照物理接口种类区别，常见只有九类：SATA、SAS、IDE、SCSI、光纤通道、ZIF、LIF、IEEE 1394和USB。
从控制指令区分，存储介质可以归纳为两大类，即ATA类与SCSI类。SATA、IDE、ZIF、LIF使用的是ATA指令，除了SATA使用串行方式传输数据，其他的都以并行方式传输数据，又称为PATA类；SCSI、SAS和光纤通道使用SCSI指令。

4、扩展分区结构

5、逻辑数据恢复原理

高级格式化仅更新文件分配表，数据区并未被擦除，只有数据擦除或低级格式化，才能破坏系统区域和数据区域的数据。
数据区域的数据通常通过两种方式恢复：
一种是按照文件系统的存储原理，重建MBR、DBR、FAT、FDT，根据存储介质内的数据信息来确定记录文件或目录存储位置的FAT或MFT中的值，从而找回丢失的数据；
另一种是根据文件签名特征中文件头和文件尾特征值进行检索，通过文件签名特征恢复技术直接从数据区域的数据中找回丢失的特定格式的文件。

5.1 文件系统恢复原理

（1）FAT文件系统

在Windows系统中，删除文件或文件夹一般分为普通删除和彻底删除。
普通删除：将文件或文件夹移入回收站(RECYCLER)，回收站是Windows系统自动建立在每个硬盘分区根目录下的隐藏文件夹。
FAT文件系统删除一个文件或文件夹需要经过以下过程：

将文件或文件夹所对应目录项的第一个字节被标记为“已删除对象”，该目录项将不再显示给用户
更新FAT，FAT表中所记录的分配给该文件或文件夹的所有簇的状态值全部改变为“未分配簇”（Unallocated）

通过这一过程，DATA区中该文件或文件夹的实际数据并未发生改变，仍然保留在原来的簇中。
文件删除前后文件数据区域对比。
“fat-test.txt”文件被删除后，文件目录项头字节被修改为删除标记“E5”，表示该文件已被删除，FAT表中该文件占用的簇被标记为“0”，表示该簇未分配使用，但是文件的数据区域并没有发生任何变化。带有删除标记的文件，操作系统会认为已被删除，在操作系统下不借助专门程序或软件无法看到，直到这些簇被新的文件或文件夹占用，当再次往硬盘中写入数据文件时，系统才会覆盖这些被标为已删除的文件所占用的簇，写入新的数据从而覆盖原文件内容。

（2）NTFS文件系统

删除文件或文件夹时，主文件表MFT中会更新对象对应的记录，将其状态标记为可重新使用，然后在位图文件（$Bitmap）中将对象所占用的簇标记为未分配状态，即可被重新使用。与FAT文件系统相同，只要原文件数据所在的簇未被分配给新的文件，对象实际数据就仍可被恢复，知道这些簇被新的文件或文件夹占用。

偏移量00H～37H为$MFT属性头，38H～4FH为MFT的10属性头，98H～AFH为MFT的30属性头，188H～19FH为MFT的40属性头，1B0H～1C7H为MFT的80属性头。
“delete-test.txt”文件被删除后，$MFT属性头的4处数据发生了变化，偏移08H～0FH处由“6F 0D E0 00 00 00 00 00”修改为“A8 08 00 01 00 00 00 00”，这8个字节是日志文件的序列号，每当文件被修改时，都会在$LogFile日志文件中生成相应记录，从而引起日志文件序列号发生变化。
偏移10H～11H处由“01 00”被修改为“02 00”，这2个字节是序列号，记录主文件记录表被重复使用的次数，由于文件被删除，主文件记录表被修改，因此序列号增加1。
偏移16H～17H处由“01 00”被修改为“00 00”，这2个字节是主文件记录表使用标志，“00 00”表示文件被删除。
偏移30H～31H处由“08 00”被修改为“09 00”，这2个字节是主文件记录表的更新序列号，这2个字节同时会出现在该文件记录第一个扇区和第二个扇区最后2个字节处，但$MTF项的10H、30H、40H、80H属性数据均未发生改变。其中80H属性即$DATA属性，容纳着文件的内容，从图中可以看出，该80H属性为常驻属性，属性头后面紧跟的是文件的内容，文件数据内容部分也没有发生该改变，常驻80H属性以“00H”结束，由于文件属性长度是8的整数倍，如果文件内容结束不能达到8的整数倍时，就用“00H”来填充。

（3）exFAT文件系统

exFAT文件删除文件或目录时，文件的每个目录项的首字节被更改，该文件在簇位图文件中对应的位和FAT表中的簇链均被清零，用以表示原文件占用的簇已被释放，但是文件目录项中文件的起始簇号、大小、文件名等信息以及文件所占用的数据区不会被修改和删除。

（4）HFS+文件系统

HFS+文件系统删除文件时，其文件记录完全丢失，文件记录中存放的该文件的文件名、CNID、父目录 ID、时间信息和盘区地址等指向数据存放地址的指针信息全都丢失，但是数据内容并不好被清除，因此对于HFS+文件系统进行恢复时，主要通过文件类型签名进行恢复，HFS+文件系统采用盘区存放数据，数据的连续性比较好，为数据的成功恢复带来了机会。

（5）Ext3

Ext3文件系统删除文件后，被删除文件的目录项的长度值会被添加到上一个目录项的报告长度中，从而回收被删除文件目录项所占用的空间，使系统忽略对被删除文件目录项的读取，但是，被删除目录项中的i-节点号、文件名等信息都没有被改变。被删除的上级目录的i-节点变化时间和修改时间(Modified Time)都会发生相应改变。被删除文件的i-节点的“链接数”将减1，如果链接数成为0，那么就要回收这个i-节点，i-节点中的文件大小和文件的块指针也全部清零，并将文件删除的时间记录下来。被删除文件的i-节点位图中的相应位设置为0以回收该i-节点，然后更新块组描述符和超级块中的空闲i-节点数。同时，被删除文件所占用的块也会通过将块位图中的相应位设置为0来进行回收，并更新块组描述符和超级块中的空闲块数。
从Ext3文件系统删除文件的过程可以看出，被删除文件的目录项中的文件名和i-节点号还存在，通过这些信息可以找到文件的i-节点，但是i-节点中的文件大小和块指针都被清零，虽然数据块没有被清零，但要找到文件的存储位置很难，因此，Ext3文件系统下删除文件的恢复可以考虑按照文件类型签名进行恢复，但是如果文件占用的块比较多，文件不连续存储的可能性较大，文件恢复难度也会增加。

此文转自微信公众号：Tide安全团队，如涉侵权，请联系后台删除~