数字取证工具与准备工作详解
1. 取证 dd 变体工具
原始的 dd 工具并非为取证场景设计,缺少一些必要特性。随后,基于 dd 开发了一些工具,以包含所需的取证特性,如:
- 加密哈希
- 改进的错误处理
- 日志记录
- 性能增强
- 验证检查
- 进度监控(取证成像可能需要数小时)
1.1 dcfldd
由 Nicholas Harbour 于 2002 年在美国国防部计算机取证实验室(DCFL)创建。它基于 GNU dd,包含了额外的特性,如哈希计算、改进的日志记录和分割输出文件等。尽管自 2006 年以来没有更新,但该工具至今仍在使用。Alexandre Dulaunoy 创建了一个打补丁的版本,包含了一些 Debian 漏洞修复,可在 https://github.com/adulau/ 找到。
1.2 dc3dd
由 Jesse Kornblum 于 2007 年在美国国防部网络犯罪中心(DC3)工作时创建。它作为一个补丁实现,能更轻松地跟随 GNU dd 的代码变化。该工具目前仍在维护,并且有近期的更新。它包含与 dcfldd 类似的取证特性,并实现了改进的日志记录和错误处理。
这两个工具都源自传统的 dd,具有相似的特性。不过,它们都没有内置对写入取证格式(FTK、Encase、AFF)、压缩或图像加密的支持,但可以使用命令管道和重定向来完成这些任务。
2. 数据恢复工具
有几个数据恢复工具值得一提,因为它们具有强大的错误处理和积极的恢复方法。尽管这些工具并非为取证而开发,但在其他取证工具无法
