本文概述了取證專家和急救人員為何以及如何從提供圖像數(shù)據(jù)檢索的工具中受益。所審查的產(chǎn)品是用于數(shù)據(jù)檢索和映像裝入的一線工具，因?yàn)槿绻幌妊b載映像，則無(wú)法檢索數(shù)據(jù)。此外，無(wú)論原始文件系統(tǒng)格式如何，能夠在任何操作系統(tǒng)下讀取此數(shù)據(jù)也具有額外的價(jià)值。

取證圖像是用于證據(jù)的硬盤(pán)驅(qū)動(dòng)器或其他數(shù)字媒體的完整副本。取證映像通常包括文件、未分配的空間、可寬延空間和啟動(dòng)記錄。取證數(shù)據(jù)，例如已刪除的文件、文件碎片或任何隱藏?cái)?shù)據(jù)，可能會(huì)在 Slack 或未分配的空間中找到。如果使用清理軟件完全擦除驅(qū)動(dòng)器上的任何信息痕跡，那么法醫(yī)檢查員不太可能成功檢索任何數(shù)據(jù)。

檢索信息的另一個(gè)困難是，如果將正在調(diào)查的數(shù)字媒體連接到常規(guī)操作系統(tǒng) （OS），它將受到不可逆轉(zhuǎn)的損壞。標(biāo)準(zhǔn)操作系統(tǒng)配置在檢測(cè)到后立即激活設(shè)備，掛載文件系統(tǒng)并更改其內(nèi)容，甚至不通知用戶。例如，Windows 可能會(huì)自動(dòng)更改文件屬性中的時(shí)間戳、在回收站中創(chuàng)建隱藏文件夾或保存配置數(shù)據(jù)。因此，必須仔細(xì)選擇用于創(chuàng)建取證圖像及其后續(xù)深入分析的正確技術(shù)。

無(wú)論是從硬盤(pán)驅(qū)動(dòng)器還是 SSD 安裝映像，都必須以完全相同的方式輕松映像。從 SSD 驅(qū)動(dòng)器創(chuàng)建的映像仍將表示映像時(shí)所有數(shù)據(jù)的快照。

Paragon Software的圖像貼片機(jī)做的事情

從本質(zhì)上講，映像貼片器允許存儲(chǔ)，安裝和驗(yàn)證各種格式的圖像的完整性。

Paragon軟件的當(dāng)前版本的映像貼片器允許您使用“塊貼片器”驅(qū)動(dòng)程序和圖像MGM庫(kù)（處理圖像文件并提供讀/寫(xiě)功能以訪問(wèn)存儲(chǔ)在圖像上的數(shù)據(jù)）在OS Windows下將上述類型的映像作為標(biāo)準(zhǔn)塊設(shè)備（磁盤(pán)）進(jìn)行安裝。這是通過(guò)在系統(tǒng)中創(chuàng)建具有完全控制讀寫(xiě)模式的虛擬磁盤(pán)/磁盤(pán)設(shè)備來(lái)實(shí)現(xiàn)的。因此，掛載的磁盤(pán)被標(biāo)準(zhǔn)Windows組件和Paragon軟件產(chǎn)品完美識(shí)別：適用于Windows的APFS，適用于Windows的Linux文件系統(tǒng)和適用于Windows的HFS+。

但是，為了解決取證問(wèn)題，這可能還不夠，因?yàn)樵趯?biāo)準(zhǔn)操作系統(tǒng)訪問(wèn)請(qǐng)求映射到文件及其屬性到引擎的內(nèi)部函數(shù)以使用 UFS 文件系統(tǒng)的階段，丟失了有關(guān)文件系統(tǒng)的其他信息。數(shù)據(jù)（證據(jù)）可能隱藏或丟失的另一個(gè)最常見(jiàn)選項(xiàng)是磁盤(pán)上未使用的位置。這些位置可以通過(guò)映像貼載器在已安裝的塊設(shè)備上使用。

為了在不丟失映射數(shù)據(jù)的情況下提供有關(guān)文件系統(tǒng)的完整信息，Paragon 軟件集團(tuán)實(shí)施了以下架構(gòu)：

Image MGM 組件提供對(duì)圖像文件內(nèi)容和有關(guān)圖像的其他信息的軟件讀/寫(xiě)訪問(wèn)。該模塊還負(fù)責(zé)識(shí)別取證元數(shù)據(jù)及其映射，并檢查圖像的完整性。它不僅在Paragon軟件的映像貼片器中成功使用，而且在創(chuàng)建備份時(shí)也成功地用于硬盤(pán)管理器（另一種軟件工具）。

FDisk 庫(kù)旨在分析磁盤(pán)布局，并提供有關(guān)它的信息以及對(duì)磁盤(pán)各個(gè)分區(qū)的讀/寫(xiě)訪問(wèn)。該組件支持解析 MBR、GPT 和標(biāo)準(zhǔn) LVM，包括位于多個(gè)物理磁盤(pán)上。該庫(kù)已成功用于 Linux File Systems for Windows by Paragon Software、APFS for Windows by Paragon Software、ReFS for Windows by Paragon Software 和Storage SDK 產(chǎn)品。

UFS 是識(shí)別文件系統(tǒng)、解析其結(jié)構(gòu)并為其提供數(shù)據(jù)和元數(shù)據(jù)的主要組件。該庫(kù)為所有支持的文件系統(tǒng)（APFS，HFS +，EXT2，EXT3，EXT4，BtrFS，XFS，ReFS，NTFS，F(xiàn)AT等）提供單一接口。此接口還提供對(duì)文件系統(tǒng)獨(dú)特功能的訪問(wèn)，例如，能夠掛載所需的 APFS 檢查點(diǎn)和子卷，以及在掛載加密卷時(shí)傳遞密碼。這樣，您可以訪問(wèn)任何受支持和可識(shí)別文件系統(tǒng)的用戶數(shù)據(jù)和內(nèi)部數(shù)據(jù)。

GUI 和 CLI 為最終用戶提供了用于訪問(wèn)所檢查文件系統(tǒng)的圖形和控制臺(tái)界面。例如，在 UFS 中裝載卷后，您可以訪問(wèn)卷的序列號(hào)、有關(guān)可用和占用的集群的數(shù)據(jù)及其大小。對(duì)于文件系統(tǒng)對(duì)象（如文件和目錄），您可以訪問(wèn)文件的數(shù)據(jù)和元數(shù)據(jù)。

安裝和驗(yàn)證的法醫(yī)圖像可用作調(diào)查的證據(jù)。映像貼載器的主要功能是它能夠掛載虛擬映像，就好像您真正連接到用戶的計(jì)算機(jī)一樣。它允許您完全訪問(wèn)磁盤(pán)的內(nèi)容，并將其他非取證工具連接到任何其他應(yīng)用程序或系統(tǒng)。當(dāng)映像包含操作系統(tǒng)無(wú)法識(shí)別的文件系統(tǒng)或其他技術(shù)時(shí)，這一點(diǎn)尤其重要。例如，Image Mounter 可以與 APFS for Windows 結(jié)合使用，并允許對(duì) Windows 上的 APFS 宗卷進(jìn)行完全訪問(wèn)。

跨平臺(tái)兼容性的文件系統(tǒng)鏈接技術(shù)

取證工具通常是為在特定操作系統(tǒng)中工作而開(kāi)發(fā)的，例如Mac OSX的Macintosh證據(jù)收集和分析（MEGA）或用于Linux分區(qū)圖像分析的取證自動(dòng)關(guān)聯(lián)引擎（FACE）。

但是，還有另一種方法。如果正在調(diào)查的卷或文件使用 Apple 或 Linux 操作系統(tǒng)格式化，該怎么辦？映像貼片程序與專有文件系統(tǒng)驅(qū)動(dòng)程序的集成可在 Windows 操作系統(tǒng)下與 Linux 和 APFS 格式的驅(qū)動(dòng)器實(shí)現(xiàn)流暢的高性能操作。

文件系統(tǒng)鏈接驅(qū)動(dòng)程序和映像貼片器的串聯(lián)允許在PC上工作的取證專家直接在Windows PC上即時(shí)訪問(wèn)和寫(xiě)入APFS，extFS甚至ReFS格式的硬盤(pán)驅(qū)動(dòng)器，固態(tài)驅(qū)動(dòng)器或閃存驅(qū)動(dòng)器。因此，消除了對(duì)每個(gè)操作系統(tǒng)的單獨(dú)工具的需求。

Image Mounter是一種工具，使數(shù)字取證專家能夠輕松安裝磁盤(pán)映像并訪問(wèn)獲取的圖像。用于安裝取證圖像的工具可以用作獨(dú)立軟件，也可以用作集成到更復(fù)雜的數(shù)據(jù)分析解決方案中的組件。

審核編輯：郭婷