在上篇文章中，我們使用了 file 指令來初步了解檔案系統映像檔
這篇文章利用 FTK Imager 來深入分析這些映像檔

名詞

後設資料(元資料,metadata)

常譯作詮釋資料、後設資料、中介資料、中繼資料

引導程式碼（Boot Code）

引導程式碼（Boot Code）是計算機啟動過程中最先執行的一段程式碼
它通常儲存在儲存設備（如硬碟、USB 驅動程式等）的特定位置

• 主要功能
  • 初始化基本硬體
  • 定位和載入作業系統
  • 將控制權轉交給作業系統

在 MBR（主引導記錄）系統中，引導程式碼（Boot Code）位於 MBR 的前 440 字節
它的主要任務是找到活動分區，並將控制權轉交給該分區的引導扇區

• 在數位鑑識中的重要性
  • 可能被惡意軟體修改以隱藏其存在
  • 可能包含重要的系統設定資訊
  • 分析引導程式碼（Boot Code）可以揭示系統的啟動過程和可能的異常

扇區（Sector）

扇區是儲存設備上的基本物理儲存單位

• 特點

  • 傳統硬碟扇區大小通常為 512 字節
  • 現代硬碟可能使用 4096 字節（4K）的扇區大小
  • 扇區是硬碟讀寫操作的最小單位

• 重要概念

  • 邏輯扇區：作業系統看到的扇區
  • 物理扇區：硬碟實際的物理結構

• 在數位鑑識中的重要性

  • 理解扇區有助於準確定位和恢復資料
  • 某些資料隱藏技術可能利用扇區間的空間
  • 分析未使用的扇區可能揭示已刪除的資料

• 相關概念

  • 簇（Cluster）：檔案系統分配空間的最小單位，通常由多個扇區組成
  • 磁軌（Track）：硬碟上的同心圓，包含多個扇區
  • 柱面（Cylinder）：所有盤面上相同半徑的磁軌集合

以上是構成資料儲存和組織的基礎
在分析硬碟映像檔或進行資料恢復時
可以幫助調查人員更準確地理解和解釋所發現的證據

活動分區（Active Partition）

1. 定義
   • 活動分區是在 MBR 分區表中被標記為可引導（bootable）的分區
   • 在一個磁碟上，通常只有一個分區被設定為活動狀態
2. 功能
   • 它包含作業系統的引導載入程式（boot loader）
   • 在系統啟動時，BIOS 會將控制權轉交給 MBR
   • 然後 MBR 會尋找並載入活動分區中的引導載入程式
3. 特點
   • 在 MBR 分區表中，活動分區的標誌位會被設定為 0x80
   • 非活動分區的標誌位通常為 0x00
   • 一個磁碟上只能有一個活動分區
4. 重要性
   • 在多重引導系統中，切換活動分區可以決定啟動哪個作業系統
   • 對系統的正常啟動至關重要
5. 數位鑑識角度
   • 分析活動分區可以提供關於系統設定和使用情況的重要資訊
   • 修改活動分區標誌可能是隱藏資料或改變系統行為的一種方式
   • 在多重引導系統中，了解哪個分區是活動的可以幫助確定使用者最常使用的作業系統
6. 與 GPT 的區別
   • 在較新的 GPT（GUID Partition Table）分區方案中，沒有活動分區的概念
   • GPT 使用 EFI 系統分區（ESP）來儲存引導載入程式
7. 工具和指令
   • 在 Windows 中，可以使用 Disk Management 工具或 diskpart 指令來查看和修改活動分區
   • 在 Linux 中，可以使用 fdisk 或 parted 等工具
8. 安全考慮
   • 惡意軟體可能會嘗試修改活動分區來實現持久性或隱藏自己
   • 在某些資料隱藏技術中，可能會使用非標準的活動分區設定

使用 FTK Imager 分析

FTK Imager 是一個強大的數位鑑識工具
可以幫助我們查看映像檔的內容而不修改原始資料

• 數位鑑識角度
  • FTK Imager 允許鑑識人員在不改變原始證據的情況下檢查檔案系統
  • 目的是維護證據完整性

安裝與分析步驟

1. 下載並安裝 FTK Imager（可以從 AccessData 官網免費下載）
2. 打開 FTK Imager
3. 點擊 "File" > "Add Evidence Item"
4. 選擇 "Image File" 並點擊 "Next"
   • 
5. 瀏覽並選擇我們要分析的映像檔（例如 ntfs_sample.img），然後點擊 "Finish"
6. 在左側選像中，會看到映像檔的檔案結構
7. 可以瀏覽檔案和檔案夾，查看檔案內容，甚至恢復已刪除的檔案

• 數位鑑識角度
  • 透過 FTK Imager，鑑識人員可以快速識別重要檔案
  • 查看檔案中繼資料，並發現可能被隱藏或刪除的資料

要看什麼

• 檔案系統結構
• 刪除的檔案
• 隱藏的檔案或資料流
• 系統檔案和日誌
• 檔案的中繼資料（建立時間、修改時間、存取時間）
• 檔案內容

怎麼看

1. 檔案系統結構：在左側選像中展開資料夾樹狀結構
2. 刪除的檔案：點擊工具列中的 "Show Deleted Files" 按鈕
3. 隱藏資料：注意檔案列表中標記為隱藏的項目
4. 系統檔案：瀏覽到系統資料夾（如 Windows 中的 System32）
5. 中繼資料：選擇一個檔案，查看右側選像中的 "File Properties"
6. 檔案內容：雙擊檔案或使用預覽功能

怎麼分析

• 檢查可疑的檔案名稱或異常的檔案大小

• 關注最近建立、修改或存取的檔案

• 對比檔案的建立時間和修改時間，查找異常

• 檢查已刪除檔案的內容，尋找潛在的重要資訊

• 分析系統日誌和註冊表檔案，了解系統活動歷史

• 使用關鍵字搜尋功能尋找特定資訊

• 數位鑑識角度

  • FTK Imager 允許鑑識人員快速瀏覽和分析大量資料
  • 識別關鍵證據和異常行為
  • 尋找惡意行為
  • 重要使用者行為的檔案和中繼資料

實作角度

fat16_sample.img 檔案系統的映像檔分析結果

Filename	Full Path	Size (bytes)	Created	Modified	Accessed	Is Deleted
[root]	NONAME [FAT16]\[root]\	16384				no
VBR	NONAME [FAT16]\VBR	512				no
reserved sectors	NONAME [FAT16]\reserved sectors	1536				no
[unallocated space]	NONAME [FAT16]\[unallocated space]\	0				no
FAT1	NONAME [FAT16]\FAT1	102400				no
FAT2	NONAME [FAT16]\FAT2	102400				no
example1.txt	NONAME [FAT16]\[root]\example1.txt	28	2024-Oct-04 14:09:34.940000	2024-Oct-04 14:09:34		no
00002	NONAME [FAT16]\[unallocated space]\00002	2048				no
00004	NONAME [FAT16]\[unallocated space]\00004	104630272				no

1. [root]
   • 這是檔案系統的根目錄
   • 大小為 16384 bytes(典型的 FAT16 根目錄大小)
   • 數位鑑識角度：根目錄的大小固定，可以容納固定數量的檔案和目錄
2. VBR (Volume Boot Record)
   • 大小為 512 bytes，這是標準的大小
   • 數位鑑識角度：VBR 包含了重要的檔案系統參數，可以用來驗證檔案系統的完整性
3. reserved sectors
   • 大小為 1536 bytes，這表示有 3 個保留扇區（每個 512 bytes）
   • 數位鑑識角度：保留扇區可能包含重要的系統資訊或引導程式碼
4. [unallocated space]
   • 大小為 0，這表示在此處未發現未分配空間
   • 數位鑑識角度：未分配空間可能包含已刪除的檔案碎片
5. FAT1 和 FAT2
   • 每個大小為 102400 bytes
   • 數位鑑識角度：FAT（File Allocation Table）是檔案系統的核心
     • 用於追蹤檔案的儲存位置
     • 兩個相同的 FAT 用於冗餘
6. example1.txt
   • 這是一個實際的檔案，大小為 28 bytes
   • 建立時間：2024-Oct-04 14:09:34.940000
   • 修改時間：2024-Oct-04 14:09:34
   • 數位鑑識角度
     • 檔案的時間戳是重要的證據
     • 建立和修改時間相同，表示檔案建立後沒有被修改過
     • 注意到這個日期是在"未來"，可能表示系統時間設定不正確或被竄改
7. 00002 和 00004 (在 [unallocated space] 中)
   • 這些是在未分配空間中發現的資料區塊
   • 00002 大小為 2048 bytes，00004 大小為 104630272 bytes
   • 數位鑑識角度
     • 這些可能是已刪除檔案的殘留資料
     • 特別是 00004，大小相當大，可能包含重要的刪除資訊

整體分析

1. 時間是否異常：系統時間是否有問題，或者有人故意修改了時間設定
2. 檔案系統結構：這是一個典型的 FAT16 結構，包含了所有預期的元素（VBR、FAT、根目錄等）
3. 未分配空間：雖然初始的 [unallocated space] 顯示為 0，但後面發現了兩個未分配的資料區塊這些可能包含已刪除的檔案或隱藏資料
4. 活動檔案少：只有一個可見的檔案 (example1.txt)，這可能表示這是一個新建或清理過的系統，或者大部分資料都被刪除了
5. FAT 大小：每個 FAT 表的大小（102400 bytes）可以用來估算此檔案系統的總大小和可能的檔案管理能力

數位鑑識建議

1. 進一步檢查 example1.txt 的內容，看是否包含重要資訊
2. 深入分析未分配空間中的大塊資料（特別是 00004），嘗試恢復已刪除的檔案或資料
3. 檢查 VBR 和保留扇區的內容，尋找任何異常或隱藏的資訊
4. 考慮系統時間可能被竄改的情況，尋找其他時間相關的證據來驗證或糾正時間線
5. 檢查 FAT 表的一致性，確保兩個 FAT 表內容相同，並驗證檔案分配的正確性

fat32_sample.img 檔案系統的映像檔分析結果

Filename	Full Path	Size (bytes)	Created	Modified	Accessed	Is Deleted
[root]	NONAME [FAT32]\[root]\	512				no
VBR	NONAME [FAT32]\VBR	512				no
reserved sectors	NONAME [FAT32]\reserved sectors	15872				no
[unallocated space]	NONAME [FAT32]\[unallocated space]\	0				no
FAT1	NONAME [FAT32]\FAT1	1613312				no
FAT2	NONAME [FAT32]\FAT2	1613312				no
example2.txt	NONAME [FAT32]\[root]\example2.txt	29	2024-Oct-04 14:10:41.490000	2024-Oct-04 14:10:40		no
000004	NONAME [FAT32]\[unallocated space]\000004	104857600				no
204804	NONAME [FAT32]\[unallocated space]\204804	101613568				no

1. [root]
   • 大小為 512 bytes
   • 數位鑑識角度：FAT32 的根目錄大小不固定，這裡顯示的可能只是根目錄的起始部分
2. VBR (Volume Boot Record)
   • 大小為 512 bytes，這是標準大小
   • 數位鑑識角度：VBR 包含重要的檔案系統參數，可用於驗證檔案系統的完整性和結構
3. reserved sectors
   • 大小為 15872 bytes，相當於 31 個扇區（每個 512 bytes）
   • 數位鑑識角度：FAT32 通常有更多的保留扇區，可能包含額外的引導程式碼（Boot Code）或檔案系統資訊
4. [unallocated space]
   • 初始顯示大小為 0
   • 數位鑑識角度：雖然這裡顯示為 0，但後面有未分配空間的項目，這可能是工具的顯示方式
5. FAT1 和 FAT2
   • 每個大小為 1613312 bytes
   • 數位鑑識角度：FAT 表比 FAT16 系統大得多，允許管理更大的磁碟空間和更多的檔案
6. example2.txt
   • 檔案大小：29 bytes
   • 建立時間：2024-Oct-04 14:10:41.490000
   • 修改時間：2024-Oct-04 14:10:40
   • 數位鑑識角度
     • 建立時間晚於修改時間，這是一個異常情況
     • 時間戳顯示為 2024 年，可能表示系統時間設定不正確
7. 未分配空間：000004 和 204804
   • 000004：大小為 104857600 bytes（約 100 MB）
   • 204804：大小為 101613568 bytes（約 97 MB）
   • 數位鑑識角度：這些是大塊的未分配空間，可能包含已刪除的檔案或隱藏資料

整體分析

1. 檔案系統結構：這是一個典型的 FAT32 結構，包含了預期的所有元素
2. 時間異常
   • 檔案時間戳顯示為 2024 年，這是一個未來日期
   • 建立時間比修改時間晚，這是不尋常的
3. 檔案稀少：只有一個可見的檔案 (example2.txt)，這可能表示
   • 這是一個新建或剛格式化的檔案系統
   • 大部分檔案已被刪除
   • 可能有隱藏檔案未被檢測到
4. 大量未分配空間：兩個大的未分配空間區塊總共約 197 MB，這可能包含已刪除的檔案或隱藏資料
5. FAT 大小：每個 FAT 表約 1.5 MB，表明這可能是一個中等大小的分區

數位鑑識建議

1. 深入檢查 example2.txt 的內容，尋找任何可能的線索或重要資訊
2. 仔細分析未分配空間（000004 和 204804），嘗試恢復已刪除的檔案或發現隱藏資料這些區域可能包含關鍵證據
3. 檢查 VBR 和保留扇區的內容，查找任何異常或額外的資訊
4. 調查時間戳異常的原因
   • 檢查系統時間設定
   • 尋找其他檔案或系統日誌來驗證正確的時間
   • 考慮時間竄改的可能性及其原因
5. 比較 FAT1 和 FAT2 的內容，確保它們一致，並檢查是否有任何異常的檔案分配模式
6. 使用檔案恢復工具掃描整個映像，尋找可能未被 FTK Imager 直接顯示的隱藏或刪除的檔案
7. 檢查根目錄結構，尋找可能被刪除的資料夾項目
8. 考慮使用其他工具（如 hex editor）直接檢查原始資料，尋找未被檔案系統標記但可能存在的資料

ntfs_sample.img 檔案系統的映像檔分析結果

Filename	Full Path	Size (bytes)	Created	Modified	Accessed	Is Deleted
[root]	NONAME [NTFS]\[root]\	56	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:12:25.221882 UTC	2024-Oct-04 14:12:48.803164 UTC	no
[unallocated space]	NONAME [NTFS]\[unallocated space]\	0				no
[orphan]	NONAME [NTFS]\[orphan]\	0				no
file system slack	NONAME [NTFS]\file system slack	3584				no
backup boot sector	NONAME [NTFS]\backup boot sector	512				no
$I30	NONAME [NTFS]\[root]\$I30	4096	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:12:25.221882 UTC	2024-Oct-04 14:12:48.803164 UTC	no
example3.txt	NONAME [NTFS]\[root]\example3.txt	27	2024-Oct-04 14:12:25.221854 UTC	2024-Oct-04 14:12:49.551529 UTC	2024-Oct-04 14:12:25.222256 UTC	no
$Extend	NONAME [NTFS]\[root]\$Extend\	344	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	no
$UpCase	NONAME [NTFS]\[root]\$UpCase\	131072	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	no
$Secure	NONAME [NTFS]\[root]\$Secure\	144	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	no
$BadClus	NONAME [NTFS]\[root]\$BadClus\	0	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	no
$Boot	NONAME [NTFS]\[root]\$Boot	8192	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	no
$Bitmap	NONAME [NTFS]\[root]\$Bitmap	6400	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	no
$AttrDef	NONAME [NTFS]\[root]\$AttrDef	2560	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	no
$Volume	NONAME [NTFS]\[root]\$Volume	0	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	no
$LogFile	NONAME [NTFS]\[root]\$LogFile	2097152	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	no
$MFTMirr	NONAME [NTFS]\[root]\$MFTMirr	4096	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	no
$MFT	NONAME [NTFS]\[root]\$MFT	66560	1601-Jan-01 00:00:00 UTC	1601-Jan-01 00:00:00 UTC	1601-Jan-01 00:00:00 UTC	no
$Reparse	NONAME [NTFS]\[root]\$Extend\$Reparse	48	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	no
$ObjId	NONAME [NTFS]\[root]\$Extend\$ObjId	48	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	no
$Quota	NONAME [NTFS]\[root]\$Extend\$Quota	88	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	no
$Info	NONAME [NTFS]\[root]\$UpCase\$Info	32	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	no
$SDS	NONAME [NTFS]\[root]\$Secure\$SDS	262396	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	no
$Bad	NONAME [NTFS]\[root]\$BadClus\$Bad	0	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	2024-Oct-04 14:11:36 UTC	no
00003	NONAME [NTFS]\[unallocated space]\00003	4096				no
00023	NONAME [NTFS]\[unallocated space]\00023	26132480				no
06506	NONAME [NTFS]\[unallocated space]\06506	78204928				no
26112	NONAME [NTFS]\[unallocated space]\26112	102756352				no

1. 檔案系統結構
   • 這是一個典型的NTFS檔案系統，包含許多系統檔案和元資料結構
   • 主要系統檔案如$MFT, $LogFile, $Boot等都存在
2. 時間戳分析
   • 大多數系統檔案的建立時間為2024-Oct-04 14:11:36 UTC
   • example3.txt的時間戳與其他檔案不同，可能是唯一的使用者建立檔案
   • $MFT的時間戳顯示為1601年，這是NTFS的預設初始時間
3. 重要檔案分析
   • $MFT (Master File Table): 66560 bytes，是NTFS的核心
   • $LogFile: 2097152 bytes (2MB)，用於日誌記錄和系統恢復
   • example3.txt: 27 bytes，唯一可見的使用者檔案
4. 未分配空間
   • 有四個未分配空間區塊，總計約200MB
   • 最大的未分配空間區塊（26112）約98MB
5. 系統檔案分析
   • $Bitmap: 6400 bytes，用於追蹤已用和未用的叢集
   • $Secure: 包含安全描述內容
   • $Extend: 包含擴展功能相關檔案（$Reparse, $ObjId, $Quota）
6. 可疑點
   • 時間戳顯示為2024年，可能是系統時間設定錯誤
   • 只有一個使用者檔案（example3.txt），這不太尋常

數位鑑識建議

1. 深入分析$MFT
   • 檢查檔案記錄，尋找已刪除的檔案痕跡
   • 分析檔案分配狀況
2. 檢查$LogFile
   • 尋找最近的系統活動和可能的檔案操作記錄
3. 分析example3.txt
   • 檢查內容和屬性
   • 注意其建立和修改時間的差異
4. 未分配空間分析
   • 使用資料恢復工具掃描未分配空間
   • 尋找已刪除檔案的痕跡或隱藏資料
5. 檢查$Secure
   • 分析安全設定和權限變更歷史
6. 時間戳調查
   • 確認系統時間設定的準確性
   • 尋找可能的時間竄改證據
7. 分析$Bitmap
   • 檢查磁碟使用情況，尋找異常分配模式
8. 檢查$Extend目錄
   • 分析重解析點($Reparse)、物件ID($ObjId)和配額($Quota)資訊
9. 檢查$BadClus
   • 確認是否有標記為壞的叢集，這可能隱藏資料
10. 使用其他工具
    • 使用專門的NTFS分析工具深入研究檔案系統結構
    • 考慮使用原始資料查看器檢查可疑區域
11. 建立時間線
    • 根據可用的時間戳資訊建立系統活動時間線

這個NTFS映像檔顯示了一個幾乎全新的系統狀態
只有一個使用者檔案大量的未分配空間和系統時間的異常
值得進一步調查重點應放在恢復可能的已刪除資料和確認系統時間的準確性上

ext4_sample.img 檔案系統的映像檔分析結果

Filename	Full Path	Size (bytes)	Created	Modified	Accessed	Is Deleted
[unallocated space]	NONAME [ext4]\[unallocated space]\	0				no
superblock	NONAME [ext4]\superblock	8192				no
group descriptor table	NONAME [ext4]\group descriptor table	8192				no
block bitmap	NONAME [ext4]\block bitmap	8192				no
inode bitmap	NONAME [ext4]\inode bitmap	8192				no
inode table	NONAME [ext4]\inode table	13107200				no
boot record	NONAME [ext4]\boot record	1024				no
[root]	NONAME [ext4]\[root]\	4096	2024-Oct-04 14:13:05 UTC	2024-Oct-04 14:13:37 UTC	2024-Oct-04 14:13:05 UTC	no
bad blocks	NONAME [ext4]\bad blocks	0		2024-Oct-04 14:13:05 UTC	2024-Oct-04 14:13:05 UTC	no
journal	NONAME [ext4]\journal	16777216	2024-Oct-04 14:13:05 UTC	2024-Oct-04 14:13:05 UTC	2024-Oct-04 14:13:05 UTC	no
07334	NONAME [ext4]\[unallocated space]\07334	104181760				no
32795	NONAME [ext4]\[unallocated space]\32795	75386880				no
lost+found	NONAME [ext4]\[root]\lost+found\	16384	2024-Oct-04 14:13:05 UTC	2024-Oct-04 14:13:05 UTC	2024-Oct-04 14:13:05 UTC	no
example4.txt	NONAME [ext4]\[root]\example4.txt	27	2024-Oct-04 14:13:37 UTC	2024-Oct-04 14:13:57 UTC	2024-Oct-04 14:13:37 UTC	no

1. 檔案系統結構
   • 這是一個典型的 ext4 檔案系統，包含了所有預期的系統結構
   • 主要元素包括：superblock、group descriptor table、block bitmap、inode bitmap、inode table 和 journal
2. 時間戳分析
   • 大多數系統結構的建立時間為 2024-Oct-04 14:13:05 UTC
   • example4.txt 的建立和修改時間略晚於系統結構
   • 時間戳顯示為 2024 年，這可能表示系統時間設定不正確
3. 重要檔案和結構分析
   • superblock (8192 bytes): 包含檔案系統的關鍵資訊
   • journal (16777216 bytes, 約 16MB): 用於日誌功能，提高檔案系統的可靠性
   • inode table (13107200 bytes, 約 12.5MB): 儲存檔案和目錄的元資料
   • example4.txt (27 bytes): 唯一可見的使用者檔案
   • lost+found 目錄 (16384 bytes): 用於儲存檔案系統檢查時發現的孤立檔案
4. 未分配空間
   • 兩個主要的未分配空間區塊
     • 07334: 104181760 bytes (約 99MB)
     • 32795: 75386880 bytes (約 72MB)
   • 總計約 171MB 的未分配空間
5. 其他觀察
   • bad blocks 顯示大小為 0，表示沒有標記為壞的區塊
   • boot record 存在，大小為 1024 bytes

數位鑑識建議

1. 分析 superblock
   • 檢查檔案系統的基本參數和設定
   • 驗證檔案系統的完整性
2. 檢查 journal
   • 分析日誌內容，尋找最近的檔案系統活動記錄
   • 可能包含已刪除檔案的痕跡
3. 深入探討 inode table
   • 檢查所有 inode，包括已刪除但未覆寫的 inode
   • 尋找隱藏檔案或目錄的痕跡
4. 分析 example4.txt
   • 檢查檔案內容和屬性
   • 注意其建立和修改時間的差異
5. 檢查 lost+found 目錄
   • 雖然可能為空，但值得檢查是否有任何孤立的檔案或資料
6. 未分配空間分析
   • 使用資料恢復工具掃描兩個大的未分配空間區塊
   • 尋找已刪除檔案的痕跡或隱藏資料
7. 時間戳調查
   • 確認系統時間設定的準確性
   • 建立檔案系統活動的時間線
8. 檢查 block bitmap 和 inode bitmap
   • 分析使用情況，可能揭示最近的檔案操作
9. 使用專門的 ext4 分析工具
   • 深入研究檔案系統結構和元資料
   • 嘗試恢復可能存在的已刪除檔案
10. 比較檔案系統容量和使用情況
    • 根據 superblock 和 bitmap 資訊，計算總容量和已使用空間
    • 檢查是否與預期一致
11. 檢查檔案系統特性
    • 確認是否啟用了任何特殊的 ext4 特性（如加密、壓縮等）
12. 建立完整的檔案清單
    • 包括所有可見和可能已刪除的檔案
    • 分析檔案類型分佈和異常

這個 ext4 映像檔顯示了一個相對乾淨的系統狀態
只有一個使用者檔案大量的未分配空間值得進一步調查
可能包含已刪除的重要資料時間戳的異常（顯示為 2024 年）需要特別注意
可能暗示系統時間被竄改或設定錯誤
重點應放在恢復可能的已刪除資料、分析日誌內容
以及確認系統時間的準確性上

IoTGoat-x86.img 檔案系統的映像檔分析結果

Filename	Full Path	Size (bytes)	Created	Modified	Accessed	Is Deleted
MBR	Unpartitioned Space [basic disk]\MBR	512				no
[unallocated space]	Unpartitioned Space [basic disk]\[unallocated space]\	0				no
000001	Unpartitioned Space [basic disk]\[unallocated space]\000001	261632				no
033280	Unpartitioned Space [basic disk]\[unallocated space]\033280	262144				no

1. MBR（主引導記錄）
   • 大小：512 bytes
   • 這是標準的 MBR 大小
   • 數位鑑識角度：MBR 包含重要的引導資訊和分區表，可能隱藏關鍵資訊
2. [unallocated space]（未分配空間）
   • 初始顯示大小為 0
   • 這可能是 FTK Imager 的顯示方式，實際上下面列出了兩個未分配空間區塊
3. 未分配空間區塊
   • 000001：261632 bytes（約 255 KB）
   • 033280：262144 bytes（正好 256 KB）
   • 總計未分配空間：523776 bytes（約 511 KB）

數位鑑識分析和建議

1. MBR 分析
   • 詳細檢查 MBR 內容，特別是分區表部分
   • 尋找可能的隱藏分區或異常引導程式碼（Boot Code）
   • 驗證 MBR 的完整性，確保沒有被惡意修改
2. 未分配空間調查
   • 雖然未分配空間較小，但仍值得進行深入分析
   • 使用資料恢復工具掃描這些區域，尋找檔案碎片或隱藏資料
   • 特別注意 000001 區塊，因為它緊跟在 MBR 之後
3. 磁碟結構分析
   • 這個磁碟似乎沒有正常的分區結構，這是不尋常的
   • 調查為什麼磁碟是未分區狀態，這可能是刻意為之或系統故障的結果
4. 資料隱藏技術檢查
   • 檢查是否使用了任何高級資料隱藏技術，如 Host Protected Area (HPA) 或 Device Configuration Overlay (DCO)
5. 時間戳缺失
   • 注意到所有項目都缺少時間戳資訊
   • 這可能表示磁碟是新的、已被擦除，或使用了特殊工具來移除時間資訊
6. 磁碟大小評估
   • 根據可見的資訊，這似乎是一個非常小的磁碟或磁碟映像
   • 確認是否這就是整個磁碟，或只是一個較大磁碟的一小部分
7. 原始資料檢查
   • 使用十六進制編輯器直接檢查這些區域的原始資料
   • 尋找任何可識別的檔案頭、尾或資料模式
8. MBR 代碼分析
   • 反組譯 MBR 中的引導程式碼（Boot Code），檢查是否有任何異常或惡意行為
9. 比較分析
   • 如果可能，將此磁碟結構與同類型設備的正常結構進行比較
   • 尋找任何不尋常或意外的差異
10. 磁碟來源調查
    • 調查磁碟的來源和預期用途
    • 這種不尋常的結構可能與特定的硬體或軟體環境有關
11. 考慮更深層次的分析
    • 如果初步分析沒有發現明顯的問題，考慮使用更高級的取證工具進行深入分析
    • 可能需要進行磁碟表面的物理分析，如果懷疑有極端的資料隱藏技術

總結

本文詳細介紹了使用 FTK Imager 對不同類型的檔案系統映像檔進行分析的方法。我們探討了 FAT16、FAT32、NTFS 和 ext4 等常見檔案系統，以及一個特殊的 IoT 設備映像檔。每種映像檔都展現了獨特的特徵和潛在的調查點。我們發現了時間戳異常、未分配空間的重要性，以及系統檔案結構的關鍵作用。這些分析不僅揭示了檔案系統的基本結構，還為深入的數位鑑識調查提供了重要線索。

藍隊的下一步清

a) 進行深入的時間戳分析，建立完整的系統活動時間線
b) 使用專業工具掃描和恢復未分配空間中的刪除檔案
c) 詳細檢查系統檔案（如 MFT、日誌文件）以尋找異常活動痕跡
d) 對可疑檔案進行內容分析和惡意程式碼掃描
e) 比對不同映像檔之間的共同特徵和差異
f) 進行跨設備的關聯分析，尋找潛在的關連證據
g) 利用加密分析工具檢查是否存在隱藏或加密的資料
h) 對 IoT 設備映像檔進行特殊的嵌入式系統分析
i) 準備詳細的鑑識報告，包括所有發現和建議的後續行動
j) 與其他資安團隊成員分享發現，討論可能的威脅情境和防禦策略

小試身手

Q1: 在 FAT16 檔案系統中，根目錄的大小通常是多少？
A) 8192 bytes
B) 16384 bytes
C) 32768 bytes
D) 65536 bytes

答案：B) 16384 bytes
解析：FAT16 檔案系統中，根目錄通常有固定的大小，為 16384 bytes。
這是 FAT16 的一個特徵，限制了根目錄可以容納的檔案和目錄數量。

Q2: 在 NTFS 檔案系統中，哪個檔案被認為是最核心的？
A) $Boot
B) $LogFile
C) $MFT
D) $Bitmap

答案：C) $MFT
解析：$MFT（主檔案表）是 NTFS 檔案系統的核心。
它包含了檔案系統中所有檔案和目錄的資訊，是理解和分析 NTFS 檔案系統的關鍵。

Q3: 在數位鑑識中，為什麼未分配空間很重要？
A) 它包含最新的系統更新
B) 它可能包含已刪除的檔案或隱藏資料
C) 它總是包含加密資訊
D) 它儲存系統備份

答案：B) 它可能包含已刪除的檔案或隱藏資料
解析：未分配空間對數位鑑識很重要，
因為它可能包含已刪除但尚未被覆寫的檔案資料，或者被故意隱藏的資訊。這些資料可能對調查至關重要。

Q4: 在分析 ext4 檔案系統時，journal 的主要用途是什麼？
A) 儲存使用者密碼
B) 記錄檔案系統操作，提高可靠性
C) 加速檔案讀取
D) 儲存系統配置

答案：B) 記錄檔案系統操作，提高可靠性
解析：ext4 檔案系統中的 journal（日誌）用於記錄檔案系統的操作。
這有助於在系統崩潰或意外關機後快速恢復檔案系統的一致性，從而提高了整體可靠性。

Q5: 在分析 IoTGoat-x86.img 時，為什麼缺少正常的分區結構被認為是不尋常的？
A) 所有磁碟映像都應該有分區
B) IoT 設備總是使用標準分區
C) 這可能暗示資料隱藏或系統異常
D) 未分區的磁碟無法啟動

答案：C) 這可能暗示資料隱藏或系統異常
解析：正常的磁碟通常都有分區結構。缺少這種結構可能表明磁碟被特殊處理過，可能是為了隱藏資料，或者可能是系統異常的結果。在 IoT 設備中，這種不尋常的結構尤其值得進一步調查。