计算机取证工具应用-数据恢复(实验部分)

计算机取证工具应用-数据恢复(实验部分)

实验目的

  • 1.学习使用常用的计算机取证工具
  • 2.在Centos_7环境下学会使用dd指令清除、填充、备份磁盘数据
  • 3.在windows xp系统下学会使用DiskGenius工具以及easyrecovry工具恢复硬盘数据
  • 4.在win7系统下学会使用encase取证工具恢复文件并寻找有用线索
  • 5.理解数据恢复的基本原理
  • 6.理解数据逻辑存储与物理储存的区别

实验内容

DiskGenius恢复硬盘数据

环境准备

  • 操作系统:Windows_xp SP3
  • 计算机取证工具:DiskGenius
    • 官方下载链接:x86x64
    • DiskGenius是一款硬盘分区及数据恢复软件。它是在最初的DOS版的基础上开发而成的。Windows版本的DiskGenius软件,除了继承并增强了DOS版的大部分功能外(少部分没有实现的功能将会陆续加入),还增加了许多新的功能。如:已删除文件恢复、分区复制、分区备份、硬盘复制等功能。另外还增加了对VMWare、Virtual PC、VirtualBox虚拟硬盘的支持。更多功能正在制作并在不断完善中。

实验过程

  • 双击DisKGenius.exe打开软件

  • 选择D盘,然后选择“恢复文件”选项

  • 在弹出的对话框中选择“选择文件类型”,以此选定我们将要恢复的文件类型,此处我们选择所有的类型,然后点击开始,出现如下进度条

  • 单击本地磁盘D,找到要恢复的文件Dd2.mp3如图

  • 然后选中该文件,右键复制到“桌面”,即可在桌面上恢复出该文件

遇到问题

在点击恢复文件后,扫描不到之前删除的文件

  • 当时卡了一会儿,才发现这个工具在使用恢复文件之前,要选择D盘,因为实验环境中将D盘的文件删除了,需要我们将D盘的删除文件恢复出来
  • 而且实验要恢复到桌面,待恢复盘是不能作为恢复文件的输出地址的

EasyRecovery恢复硬盘数据

环境准备

  • 操作系统:Windows_xp SP3
  • 计算机取证工具:EasyRecovery

实验过程

  • 准备好软件后,点击EasyRecovery.exe进行安装

  • 涉及到版权激活等问题,所以进入运行界面后,点击“作为演示运行”

  • 然后点击运行,看见如下图所示的界面后选择“硬盘驱动器”(因为这次实验所需做的事硬盘数据恢复),然后选择D盘

  • 选择“恢复已删除的文件”

  • 然后会有个类似确认的界面,单击继续,找到恢复文件里的Dd2.mp3,就可以进行恢复了

    • 对比之前的DiskGenius工具可以发现,EasyRecovery扫描速度非常快,可以快速找到要恢复的文件

遇到问题

  • 在做到选择“恢复已删除的文件”这一步骤时,其实还有几个勾选项不要忽略
    • 看前图可以发现,这些代表文件系统类型,所以选之前一定得查看本机类文件型
    • 在本次实验任务重,文件系统选择NTFS(这个可以右键磁盘属性查看)

文件的删除与恢复

环境准备

  • 操作系统:Windows_xp SP3
  • 计算机取证工具:EasyRecoveryPro

实验过程

遇到问题

  • 感觉这个实验提供的虚拟机平台是有问题的
  • 虽然操作步和前者骤基本一样,内容也基本一样,但是最后的做出来的结果,指导书与实际情况并不一样,并不能找到指导书中显示的那些被删除的文件

利用dd命令擦除数据

环境准备

  • 操作系统:Centos_7
  • 计算机取证工具:dd命令
    • 在Linux下所有的硬件都表示为文件,所以dd可以进行任何复制、克隆磁盘(文件),磁带(文件),或映像文件。dd的复制是完全基于二进制的物理复制,从硬盘的第一个字节道最后一个字节,完全一样的克隆了一遍。

实验过程

  • 用零擦出磁盘

    • 指令:dd if=/dev/zero of=/dev/hda1 bs=4k
    • 即用0填充磁盘hda1,将其数据抹掉
    • bs=4k代表dd一次写入(亦可读取)4千字节

  • 销毁磁盘数据

    • 指令:dd if=/dev/urandom of=/dev/hda1
    • 使用的是随机数填充磁盘数据的方法,这样可以销毁磁盘数据,使其不可恢复

利用dd命令备份数据

环境准备

  • 操作系统:Centos_7
  • 计算机取证工具:dd命令
  • dd指令选项详解
    • if=file:输入文件名,缺省为标准输入
    • of=file:输出文件名,缺省为标准输出
    • ibs=bytes:一次读入 bytes 个字节(即一个块大小为 bytes 个字节)
    • obs=bytes:一次写 bytes 个字节(即一个块大小为 bytes 个字节)
    • bs=bytes:同时设置读写块的大小为 bytes ,可代替 ibs 和 obs
    • cbs=bytes:一次转换 bytes 个字节,即转换缓冲区大小
    • skip=blocks:从输入文件开头跳过 blocks 个块后再开始复制
    • seek=blocks:从输出文件开头跳过 blocks 个块后再开始复制。(通常只有当输出文件是磁盘或磁带时才有效)
    • count=blocks:仅拷贝 blocks 个块,块大小等于 ibs 指定的字节数
    • conv=ASCII:把EBCDIC码转换为ASCIl码。
    • conv=ebcdic:把ASCIl码转换为EBCDIC码。
    • conv=ibm:把ASCIl码转换为alternate EBCDIC码。
    • conv=block:把变动位转换成固定字符。
    • conv=ublock:把固定位转换成变动位。
    • conv=ucase:把字母由小写转换为大写。
    • conv=lcase:把字母由大写转换为小写。
    • conv=notrunc:不截短输出文件。
    • conv=swab:交换每一对输入字节。
    • conv=noerror:出错时不停止处理。
    • conv=sync:把每个输入记录的大小都调到ibs的大小(用NUL填充)。
    • 注意:指定数字的地方若以下列字符结尾乘以相应的数字:b=512, c=1, k=1024, w=2, xm=number m,kB=1000,K=1024,MB=10001000,M=10241024,GB=100010001000,G=102410241024

实验过程

  • 备份dev/hda1的全盘数据
    • 指令:dd if=/dev/hda1 | gzip > /dev/shm/image.gz
    • if指令用于输入文件名,表示要对if后面的文件进行操作
    • 使用gzip工具将其进行压缩,然后保存在/dev/shm文件夹下并命名为image.gz
  • 恢复被压缩的备份文件
    • 指令:Gzip -dc /dev/shm/image.gz | dd of=/dev/hda1
    • 再次使用Gzip工具将/dev/shm文件夹下的image.gz这个压缩文件解压
    • of指令用于输出文件名,即被解压的hda1存放在dev文件夹下
  • 创建一个硬盘
    • 指令:dd if=/dev/hda1 of=~/sdadisk.img
    • 这是创建一个sda硬盘的image命令
  • 将硬盘的映像文件恢复到另一个硬盘
    • 指令:dd if=sdadisk.img of=tmpfs
    • 将sdadisk.img映像文件恢复到tmpfs这个硬盘下

遇到问题

  • 需要注意hda1中的1是数字,不是字母l

恢复导出已删除的文件

环境准备

  • 操作系统:Windows7
  • 计算机取证工具:Encase

实验过程

  • 确认目标:本实验期望能在已经制作成E01镜像文件的SD卡上找出已删除的文件,并恢复和导出已经被删除的文件;通过查看文件找到有效信息

  • 使用encase打开该SD卡镜像文件,创建案例

  • 打开DOC-工作文档文件夹,选中被删除的文件

  • encase中,被删除的文件右下角会有一个“红圈白底红斜线”的标志,代表该文件的文件名仍然完好,起始的数据头仍然存在

  • 右键进行恢复:

    • 发信人选择:所有选中的文件(注意如果选择高亮显示的文件那么恢复的仅有数据条变蓝的文件)
    • 收信人选择:单独的文件(代表被恢复的文件各自独立)
    • 复制选择:仅逻辑文件
    • 字符屏蔽选择:无
    • 目的:自行指定被恢复的文件存放在桌面上

  • 导入成功,桌面出现我们勾选的原本被删除的文件:

  • 接下来我们就可以打开文件找破案线索了

遇到问题

  • 虚拟机上没有office工具以便打开我们恢复的文件,导致无法查看文件内容,无法分析其中含有的可用有效信息

  • 由于虚拟机时间有限制,网速又慢,所以直接从网上下载office工具并不现实,这也算是该虚拟环境的一个大缺陷

恢复删除的JPG图片

环境准备

  • 操作系统:win7
  • 计算机取证工具:Encase v6.19.7

实验过程

  • 使用encase打开后缀名为.E01的证据文件

  • 创建一个新案例,案例信息包括以下内容:

    • 案例名称
    • 调查人员姓名
    • 默认导出文件夹(被encase恢复的文件会存放在此文件夹中)
    • 临时的文件夹
    • 索引文件夹

  • 创建完成后,会弹出案例验证成功的窗口:

  • 然后因为我们要恢复jpg图片,所以选中PIC文件夹,出现以下5张图片:

  • 勾选中这5张图片,右键选择“复制/恢复”

    • 发信人选择:所有选中的文件
    • 收信人选择:单独的文件
    • 复制选择:仅逻辑文件
    • 字符屏蔽选择:无
    • 目的:可以直接默认导出文件夹(C:\program files(x86)\Encase6\enxport),也可以自行指定存放位置

  • 恢复完成后,图片恢复在C:\program files(x86)\Encase6\enxport下,查看确认:

遇到问题

  • 需要注意,Encase不一定能完全恢复一个被删除文件,因为encase只能恢复数据未被覆盖的文件

成员说明

成员分工

  • 20145221高其:完成2-3个实验任务,完成1个实践任务,撰写博客,协调小组各项任务
  • 20145301赵嘉鑫:完成2-3个实验任务,完成1个实践任务,撰写博客
  • 20145302张薇:完成2-3个实验任务,完成1个实践任务,撰写博客

成员工作量

成员(3人) 实验(100%) 实践(100%) 博客(100%)
20145221高其 33% 10% 18%
20145301赵嘉鑫 34% 10% 15%
20145302张薇 33% 10% 17%
  • 说明:
    • 《课程设计》分为2部分,实验部分和实践部分
    • 前期我们以指导书为基础,在实验平台上完成了7个实验任务,所以实验部分完成率总和已达100%
    • 关于实践,我们已经在自己的主机上装好了相应软件,所以每人完成量基本在10%左右;虽然版本可能与实验平台所配置的不同,也可能存在版权使用的问题,但这是我们下周亟待考虑解决的问题,不在此赘述
    • 预期发布2篇博客《计算机取证工具应用-数据恢复(实验部分)》与《计算机取证工具应用-数据恢复(实践部分)》,所以博客完成率总和已达50%

成员考勤表

5月10日 5月11日 5月14日 5月15日 5月17日 5月18日 5月21日 5月22日 5月24日 5月25日
20145221高其 正常 正常 正常 正常 正常 正常
20145301赵嘉鑫 正常 正常 正常 正常 正常 正常
20145302张薇 正常 正常 正常 正常 正常 正常

感想总结

  • 本次《课程设计》我们的选题是:计算机取证工具应用-数据恢复
  • 在第一开始我们对取证工具的概念很模糊,通过学习与实践,我们发现取证工具其实离我们的生活很近,尤其有一些软件工具被司法、政府、军队、公司监查等部门广泛采用, 通过这些取证工具,调查员可以轻松管理计算机中的大量证据,其中包括已经删除的文件、闲散文件以及未分配空间中的数据。面对计算机网络高速发展的时代,我们学好如何使用取证工具也有利于解决我们生活中遇到的实际问题,很有现实意义。
  • 本周我们将这些工具成功应用在实验环境中,恢复了一些误删除的文件,这一点对于我们平时使用电脑也是很有帮助的一个工具(难免存在误删的情况嘛);但毕竟这是在实验环境的虚拟机中完成的,所以下周我们小组的任务是在自己的电脑中运用DiskGenius、EasyRecovry、Encase等取证工具,真正的把实验内容运用到自己的实际生活中,做到学以致用。
posted @ 2017-05-19 18:05  20145221高其  阅读(1983)  评论(0编辑  收藏  举报