数字取证中的数据提取与分析
1. 数据分区与提取基础
在数字取证过程中,了解存储介质的分区情况是至关重要的。存储单元通常以512字节的扇区为单位,各个分区有其特定的起始扇区、结束扇区和长度。以下是一些分区的示例:
| Slot | Start | End | Length | Description |
| ---- | ---- | ---- | ---- | ---- |
| 04 | 00 | 0000002048 | 0002050047 | 0002048000 |
| 05 | 01 | 0002050048 | 0002582527 | 0000532480 | EFI system partition |
| 06 | 02 | 0002582528 | 0003606527 | 0001024000 |
| 08 | 04 | 0003868672 | 1902323711 | 1898455040 | Basic data partition |
1.1 提取文件系统的空闲空间
空闲空间是指文件系统中已分配块和扇区内未使用的区域,并非指未分配的块或扇区。可以使用blkls命令的-s标志来提取每个已识别文件系统的空闲空间,并将其保存到文件中。示例命令如下:
# blkls -o 2048 -s lenovo.raw > slack.04 # blkls -o 2050048 -s lenovo.raw > slack.05 # blkls -o
)
