数字取证存储介质成像工具与技术详解
可进行块或字符访问的其他设备
在Linux系统中,内核能够检测到的块设备都可以进行成像操作。不同设备呈现为块设备的方式有所不同:
-直接识别型设备:许多通用的MP3/音乐播放器、相机和其他移动设备,在连接到主机系统的瞬间就会被识别为块设备。
-需切换模式的设备:部分设备需要切换到特定的“磁盘”模式才能作为块设备被访问,通常可以在设备的用户界面中选择该模式。
-多功能USB设备:一些USB设备具有多种功能,除了存储功能外,还可能提供其他USB模式。在获取这些设备的数据之前,可能需要将其模式切换为usb-storage。Linux工具usb_modeswitch可以查询某些多功能USB设备并进行模式切换。
取证图像采集概述
取证图像采集的重点是进行符合法证要求的图像采集,主要包括以下几个方面:
-数据提取最大化:尽可能多地从特定存储介质中提取数据。
-设备干扰最小化:减少对存储设备和介质的干扰。
-证据保存:确保收集到的证据得到妥善保存。
-过程记录:记录整个采集过程,包括出现的错误。
可用的工具及选择依据
有多种免费或开源的取证成像工具可供选择,如dd
