4-1 Основи цифрової криміналістики / лб 3 ntfs / Создание образов

1. Создание образов.

Форматы образов (Image formats)

Образ диска (image) — файл, содержащий в себе полную копию содержания и структуры файловой системы и данных, находящихся на диске, таком как компакт-диск, дискета, раздел жёсткого диска или весь жёсткий диск целиком. Термин описывает любой такой файл, причём неважно, был ли образ получен с реального физического диска или нет. Таким образом, образ диска содержит всю информацию, необходимую для дублирования структуры, расположения и содержания данных какого-либо устройства хранения информации. Обычно образ диска просто повторяет набор секторов носителя, игнорируя файловую систему, построенную на нём.

образ диска — это единый файл, представляющий собой полную копию физического диска. В отличие от простой копии диска, являющейся набором папок, файл-образ, кроме собственно данных, содержит информацию о файловой системе, структуру директорий, атрибуты файлов и загрузочную информацию. При простом копировании вся загрузочная информация будет утеряна. Поэтому, если просто скопировать, например, загрузочный (установочный) диск какой-нибудь ОС, то загрузить с него ничего будет невозможно.

Существуют различные типы форматов образов дисков. Для ясности форматы делятся с помощью их первоначальной цели, например. были ли они предназначены для использования в (дисковой) судебной экспертизе или виртуализации. Образцы дисков обычно являются блочными копиями исходного источника данных. В зависимости от источника данных блоки могут быть байтами, секторами, кластерами, страницами или подобными. Формат образа диска может быть дополнительно расширен с дополнительной информацией, такой как обнаружение ошибок, исправление ошибок, дайджест данных (хэш) и сжатие.

Forensics Disk Image formats

Forensics File Formats

• Advanced Forensics Format (AFF)

• Advanced Forensic Framework 4 (AFF4)

• Expert Witness Compression Format (EWF)

• gfzip

• ProDiscover image file format

• Raw Image Format

• sgzip

Advanced Forensics Format (AFF) (Расширенный формат Forensics) - это расширяемый открытый формат для хранения образов дисков и связанных с ними метаданных. Он был первоначально разработан Simson Garfinkel и Basis Technology. Последняя версия AFF реализована в библиотеке AFFLIBv3, которую можно найти в github. AFF4 основывается на многих концепциях, разработанных в AFF. AFF4 был разработан Майклом Коэном, Simson Garfinkel и Bradley Schatz. Эта версия может быть загружена из Google Code.

EWF Format – Expert Witness Disk Image Format (EWF)

Encase image file format

EWF-файлы представляют собой тип образа диска, то есть файлы, которые содержат содержимое и структуру всего устройства хранения данных, объем диска или (в некоторых случаях) физическую память (ОЗУ) компьютера. (См. Примечания для дополнительной вводной информации об образах дисков.) EWF-файлы состоят из одного или нескольких разделов, каждый со своими собственными данными о фиксированном уровне и уровне сечения, обычно в форме контрольной суммы Adler-32. Согласно статье 2009 года Коэна, Гарфинкеля и Шатца, EWF-файлы «сжимают изображение в куски 32 кб, которые хранятся в образах в группах внутри файла ... [с] таблицами относительных индексов ... для улучшения случайных эффективность доступа ". Поскольку данные, которые должны быть отображены, например, с большого жесткого диска, могут быть обширными, EWF может использовать один из следующих подходов, упрощающих управление данными изображения. Во-первых, сжатие может быть применено, как правило, используя алгоритм дефляции, указанный в RFC 1951, а также используемый в файлах ZIP и PDF. Во-вторых, данные могут быть сегментированы в последовательности EWF-файлов, которые несут инкрементные расширения имен файлов. Данные фиксированной фиксации высокого уровня могут предоставляться в некоторых версиях EWF через контрольные суммы MD5 или SHA1 для всех данных, даже если они переносятся в нескольких сегментах. Файлы EWF могут принимать одну из двух форм. Первый называется битовым или криминалистическим изображением (один автор называет это «нормальным файлом изображения»). Это потоковая копия источника, тем самым реплицируя структуру и содержимое устройства хранения, независимо от файловой системы. Изображения битового потока включают неактивные данные, такие как файлы и фрагменты, которые находятся в нераспределенном пространстве, включая удаленные файлы, которые еще не были перезаписаны. Вторая форма называется логическим файлом доказательств и сохраняет исходные файлы, как они существовали на носителе, а также документирует присвоенное имя файла и расширение; datetime, созданный, измененный и последний доступ; логический и физический размер; MD5 хэш-значение (информация о фиксированности); разрешения; начальная степень; и оригинальный путь. Файлы логических доказательств обычно создаются после того, как анализ обнаруживает некоторые интересующие файлы, а по судебным соображениям они хранятся в контейнере «доказательственного качества». Таким образом, в некоторых ситуациях пользователь может иметь как образ битового потока, так и файл логических доказательств.

Формат файла изображения Encase используется EnCase, используемым для хранения различных типов цифровых данных, например.      образ диска (физический битовый поток приобретенного диска)      объемное изображение      Память      логические файлы

EnCase - это семейство универсальных компьютеров для судебной экспертизы, продаваемых компанией Guidance Software. Эти продукты включают EnCase Enterprise, EnCase Forensic Edition, EnCase eDiscovery и EnCase Lab Edition. Эти программы используют проприетарный формат файла изображения, который был запрограммирован с обратной обработкой. Пользователи могут создавать сценарии, называемые EnScripts, для автоматизации задач.

SMART, программная утилита для Linux, разработанная оригинальными авторами Expert Witness (теперь продаваемая под названием EnCase), может хранить образы дисков как чистые битовые потоки (сжатые или несжатые), а также в формате сжатия данных свидетелей ASR Data. Изображения, хранящиеся в последнем формате, могут храниться как один файл или в нескольких файлах сегмента, каждый из которых состоит из стандартного 13-байтового заголовка, за которым следует серия разделов, каждая из которых имеет тип «заголовок», «объем», «таблица» "," next "или" done ". Каждый раздел включает в себя строку типа, 64-битное смещение в следующем разделе, его 64-разрядный размер, заполнение и CRC, в дополнение к фактическим данным или комментариям, если это применимо. Несмотря на то, что раздел «header» в формате поддерживает заметки свободной формы, изображение может иметь только один такой раздел (только в его первом сегментном файле)

Gfzip - это формат файла, разработанный Роб Дж. Мейджером для хранения судебных копий образов дисков. Формат обеспечивает изображения, которые являются несжатыми и сжатыми, и позволяет подписывать как данные, так и метаданные с использованием сертификатов x509.

ProDiscover использует собственный формат файла изображения, который хорошо определен. Он содержит заголовок, заголовок данных, данные изображения, массив сжатых размеров блоков и журнал ошибок ввода-вывода.

RAW Format

Формат RAW-изображения используется для хранения образа диска или тома.

Некоторые варианты формата RAW-изображения разделяли данные между несколькими файлами сегмента, которые также называются split RAW. Существуют различные схемы именования файлов формата RAW, некоторые из наиболее часто используемых для дисков или томов:      PREFIX.dd      PREFIX.dmg      PREFIX.img      PREFIX.raw      PREFIX.0 - PREFIX. #; варианты: начиная с 0 или 1, состоящего из нескольких цифр, например. PREFIX.000      PREFIX0 - PREFIX #; варианты: начиная с 0 или 1, состоящего из нескольких цифр, например. PREFIX000      PREFIXaa - PREFIXzz; варианты: состоящие из большего количества букв, например. PREFIX.aaa      PREFIX.1of5 - PREFIX.5of5; Варианты: состоят из нескольких файлов сегмента      PREFIX001.asb - PREFIX ###. Asb      PREFIX-f001.vmdk - PREFIX-f ###. Vmdk; варианты: начиная с 001.

Следует отметить, что существуют также RAW-форматы изображений, специфичные для носителя данных, например. Изображение оптического диска RAW. Они часто сопровождаются файлом оглавления, часто в формате CUE Sheet, например.      BIN / CUE      ISO / CUE

Формат RAW-изображения в основном представляет собой бит-битовую копию RAW-данных либо на диске, либо на томе без каких-либо дополнений или удалений. Метаданных, хранящихся в файлах формата RAW, нет. Однако иногда метаданные хранятся в дополнительных файлах. Формат RAW-изображения первоначально использовался dd, но поддерживается большинством компьютерных криминалистических приложений.

Все сектора записываются в один или несколько файлов (если они разделены). Этот сектор по копиям сектора не содержит метаданных (vendor, Image name, hash values ...).

dd, иногда называемый GNU dd, является самым старым инструментом обработки изображений, который все еще используется. Хотя он функциональный и требует только минимальных ресурсов для запуска, ему не хватает некоторых полезных функций, которые можно найти в более современных изображениях, таких как сбор метаданных, исправление ошибок, кусочное хеширование и удобный интерфейс. dd - это программа командной строки, которая использует несколько неясных аргументов командной строки для управления процессом обработки изображений. Поскольку некоторые из этих флагов похожи и, если смущают, могут уничтожить исходный носитель, который пытается дублировать экзаменатор, пользователи должны быть осторожны при запуске этой программы. Программа генерирует необработанные файлы изображений, которые могут быть прочитаны многими другими программами. dd является частью пакета GNU Coreutils, который, в свою очередь, был перенесен во многие операционные системы. Есть несколько вилок dd для судебных целей, включая dcfldd, sdd, dd_rescue, ddrescue, dccidd и версию Microsoft Windows, которая поддерживает чтение физической памяти.

sgzip - это формат изображения с поддержкой формата GZIP, используемый pyflag (PyFlag - это основанная на базе базы данных криминалистическая и аналитическая система анализа графического интерфейса и компьютерной криминалистики, написанная на Python).

Существуют два типа форматов:

• RAW Image

• EWF Format

Raw (небработанный)

Образ диска - файл, в котором содержится полная информация с дискеты в необработанном (raw) виде

Все сектора будут отображаться в одном или нескольких файлах (если они разделены)

EWF Format

Все сектора записываются в файл.

Первый фрагмент в первом файле включает имя образа, который создал образа, дата и время создания образа ...

Все следующие куски начинаются с блока данных с устройства, за которым следует контрольная сумма crc32 этого блока.

В последнем фрагменте последнего файла контрольная сумма по всем изъятым данным сохраняется (MD5 / SHA256)