iT邦幫忙

2025 iThome 鐵人賽

DAY 5
0
Security

我一個大調查下去:從零開始的數位鑑識系列 第 5

【Day 05】不容忽視的線索:磁碟映像檔製作

  • 分享至 

  • xImage
  •  

前言

昨天提到記憶體是數位鑑識中最重要的揮發性證據之一,而磁碟映象檔則是數位鑑識中最重要的非揮發性證據之一,它包含了所有檔案、被刪除的數據,甚至是未分配空間中的潛在證據,是非常重要的證物。 所以安全複製整個磁碟系統也是是鑑識人員必備的技能之一。
Windows 上我們會使用 FTK ImagerLinux 則是 dc3dd
今天的練習一樣是僅供學習,真實鑑識現場要用 Write Blocker 確保在擷取過程中原始證據不會被意外修改,並遵循證據保全程序。

FTK Imager

安裝

官網,輸入資料就會開始下載
https://ithelp.ithome.com.tw/upload/images/20250824/20177998O6RrccPza0.png
執行 .exe 檔後跟隨安裝精靈安裝

使用

左上角 File ->Create Disk Image 建立磁碟映像檔
https://ithelp.ithome.com.tw/upload/images/20250824/20177998isu1gyFYLt.png
選擇來源證據類型
https://ithelp.ithome.com.tw/upload/images/20250824/20177998UmvwtAyZDN.png
簡單說明一下

  1. Physical Drive:
    擷取整個硬體裝置。最完整、嚴謹的選項。
    這是數位鑑識中的首選,它能保留所有可能的證據,確保資料完整無缺。
  2. Logical Drive:
    實體硬碟上的一個分割區(例如 Windows 的 C: 或 D: 槽)。
    當你只需要對某個特定的分割區進行分析時使用。會遺漏未分配空間中的潛在證據,較少使用。
  3. Image File:
    一個已經存在的磁碟映像檔。用於轉換映像檔格式或製作備份。
  4. Contents of a Folder (資料夾內容):
    擷取一個特定的資料夾及其子資料夾中的所有檔案。
    當你只要一個資料夾層級的資料時使用。但會忽略被刪除的檔案和未分配空間,因此只適用於簡單的檔案蒐集。
  5. Fernico Device (multiple CD/DVD):
    這是針對光學媒體(例如 CD 或 DVD)的選項。
    當你需要從光碟片上擷取資料時使用。

這裡我以 Physical Drive 做示範
選擇一塊硬碟
https://ithelp.ithome.com.tw/upload/images/20250824/20177998YNuo91g6Xn.png
按add
https://ithelp.ithome.com.tw/upload/images/20250824/20177998MQn8ek5GrE.png
我們一般會選擇 Raw 或是 E01 這兩種格式
Raw:通用性最佳,檔案較大,適合快速擷取和跨平台分析
E01:專業法證格式,支援壓縮和完整元數據,適合法庭證據
這裡用 E01 做示範
https://ithelp.ithome.com.tw/upload/images/20250824/201779985yLERyaPLp.png
填入資訊後下一步(可以空白)
https://ithelp.ithome.com.tw/upload/images/20250824/20177998e9bxvIcMKm.png
輸入路徑和名稱(確保有足夠空間)。Image Fragment Size 是指要把它分割成多大一份,若輸入1500就是他會把disk image 分割成每份 1,500MB 的檔案輸出,0就是不分割,disk image只會存在一個檔案裡。
https://ithelp.ithome.com.tw/upload/images/20250824/20177998ud8KSDQwLZ.png
完成後我們就成功地把我們的一整塊硬碟擷取下來了。
https://ithelp.ithome.com.tw/upload/images/20250824/20177998dJPQshmsJA.png
.E01 就是我們的映像檔了。 .txt 則會存有這個映像檔的雜湊值、擷取時間、前面為它填寫的資訊等等,後續在分析比對上有大用,像是:驗證完整性、建立證據鏈等等,它與映像檔同樣重要。

dc3dd

安裝

sudo apt update
sudo apt install dc3dd

使用

VM 一般只有一塊硬碟,我們沒辦法擷取一塊硬碟內容然後再存回那塊硬碟上,所以我先插入一個 USB
透過 lsblk 可以看到我已經插入了一個 USB ,名字是 sdb
https://ithelp.ithome.com.tw/upload/images/20250824/20177998H9hxht2F9d.png
假如我們現在要擷取 usb 的映像檔,存到 sda 這塊硬碟

sudo dc3dd if=/dev/sdb of=/home/kali/example/usb.img hash=sha256 log=/home/kali/example/usb_drive_log.txt

if:來源,這裡我選整顆 USB
of:目的地,這裡我把檔案存在 /home/kali/example/usb.img
hash:在複製的同時計算hash,這裡我選sha256(前天提到用於後續比對)
log:將所有操作、錯誤、hash都記錄到這個txt裡 /home/kali/example/usb_drive_log.txt是日誌檔的檔案路徑和名稱
第二天說明 Chain of Custody 時有提到在處理證據的過程中,每一道程序都要被完整記錄,而 log 就是用於實踐這個原則的工具。
https://ithelp.ithome.com.tw/upload/images/20250824/20177998pW3HD5fiLP.png
這樣就成功了

總結

今天學會了建立磁碟映像檔的基本技能,掌握了 Windows 的 FTK Imager 與 Linux 的 dc3dd 兩大主流工具。明天將開始實戰分析!我們會使用 Cyber Defender 平台,透過真實案例學習如何從映像檔中挖掘攻擊者痕跡。


上一篇
【Day 04】駭客蹤跡的關鍵:揮發性記憶體擷取
下一篇
【Day 06】Disk Forensics 01:內鬼現形記 - Insider Lab
系列文
我一個大調查下去:從零開始的數位鑑識14
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言