作者：Andrei Loktev，Konstantin Chistyakov

本文概述了取證專家和急救人員為何以及如何從提供圖像數據檢索的工具中受益。所審查的產品是用于數據檢索和映像裝載的一線工具，因為如果不先裝載映像，就無法檢索數據。此外，能夠在任何操作系統下讀取這些數據，無論原始文件系統格式如何，都是額外的價值。

取證圖像是用于作為證據的硬盤驅動器或其他數字媒體的完整副本。取證映像通常包括文件、未分配的空間、松弛空間和引導記錄。取證數據，例如已刪除的文件，文件碎片或任何隱藏數據，都可以在松弛或未分配的空間中找到。如果使用清理軟件完全擦除驅動器上的任何信息痕跡，則法醫檢查員不太可能成功檢索任何數據。

檢索信息的另一個困難是，如果將正在調查的數字媒體連接到常規操作系統（OS），它將不可逆轉地損壞。標準操作系統配置在檢測到后立即激活設備，掛載文件系統并更改其內容，甚至無需通知用戶。例如，Windows 可能會自動更改文件屬性中的時間戳、在回收站中創建隱藏文件夾或保存配置數據。因此，必須仔細選擇用于創建取證圖像及其后續深入分析的正確技術。

無論是從硬盤驅動器還是 SSD 裝載映像，都必須以完全相同的方式對映像，而不會遇到任何困難。從 SSD 驅動器創建的映像仍將表示映像時所有數據的快照。

百諾肯軟件的圖像貼實器所做的事情

從本質上講，圖像貼片機允許存儲，安裝和驗證各種格式的圖像的完整性。

Paragon軟件當前版本的映像貼裝器允許您使用“塊貼裝器”驅動程序和映像MGM庫將上述類型的映像作為標準塊設備（磁盤）掛載到操作系統Windows下，該庫處理映像文件并提供讀/寫功能以訪問存儲在映像上的數據。這是通過在完全控制讀寫模式的系統中創建虛擬磁盤/磁盤設備來實現的。因此，標準視窗組件和百諾肯軟件產品完全認可已掛載的磁盤：適用于視窗的 APFS、適用于視窗的 Linux 文件系統和適用于視窗的 HFS+。

但是，為了解決取證問題，這可能還不夠，因為在將標準操作系統訪問請求映射到文件及其屬性到用于處理 UFS 文件系統的引擎的內部功能時，丟失了有關文件系統的其他信息。數據（證據）可能被隱藏或丟失的另一個最常見的選項是磁盤上未使用的位置。這些位置可由映像安裝器在已安裝的塊設備上使用。

為了在不丟失映射數據的情況下提供有關文件系統的完整信息，Paragon軟件組實施了以下體系結構：

映像 MGM 組件提供對映像文件內容和有關映像的其他信息的軟件讀/寫訪問權限。該模塊還負責識別取證元數據及其映射，并檢查圖像的完整性。它不僅在Paragon軟件的映像安裝程序中成功使用，而且在創建備份時也在硬盤管理器（另一個軟件工具）中成功使用。

FDisk 庫旨在分析磁盤布局并提供有關它的信息以及對磁盤各個分區的讀/寫訪問權限。此組件支持解析 MBR、GPT 和標準 LVM，包括位于多個物理磁盤上。該庫已成功用于百諾肯軟件的Windows Linux文件系統，百諾肯軟件的Windows APFS，百諾肯軟件的Windows ReFS和存儲SDK產品。

UFS 是識別文件系統、解析其結構并為其提供數據和元數據的主要組件。此庫具有適用于所有受支持的文件系統（防偽系統、高頻 +、分機 2、分機3、分機4、斷續器、超控硅、重積、防盜、胖等）的單一接口。此接口還提供了對文件系統獨特功能的訪問，例如，能夠掛載所需的 APFS 檢查點和子卷，以及在掛載加密卷時傳遞密碼。這樣，您就可以訪問任何受支持和識別的文件系統的用戶數據和內部數據。

GUI 和 CLI 為最終用戶提供了用于訪問所檢查文件系統的圖形和控制臺界面。例如，在 UFS 中掛載卷后，可以訪問該卷的序列號、有關可用和已占用群集的數據及其大小。對于文件系統對象（如文件和目錄），您可以訪問文件的數據和元數據。

安裝和驗證的取證圖像可用作調查的證據。映像裝載程序的主要功能是它能夠裝載虛擬映像，就好像您真正連接到用戶的計算機一樣。它允許您完全訪問磁盤的內容，并將其他非取證工具連接到任何其他應用程序或系統。當映像包含操作系統無法識別的文件系統或其他技術時，這一點尤其重要。例如，映像裝載程序可以與適用于 Windows 的 APFS 結合使用，并允許對 Windows 上的 APFS 卷進行完全訪問。

文件系統鏈接技術可實現跨平臺兼容性

取證工具通常用于在特定操作系統中工作，例如Mac OSX的麥金塔證據收集和分析（MEGA）或用于Linux分區圖像分析的取證自動關聯引擎（FACE）。

但是，還有另一種方法。如果正在調查的卷或文件是使用蘋果或 Linux 操作系統格式化的，該怎么辦？映像貼裝器與專有文件系統驅動程序的集成，可在 Windows 操作系統下與 Linux 和 APFS 格式的驅動器實現平穩的高性能操作。

文件系統鏈接驅動程序和圖像貼裝器的串聯允許法醫專家直接在Windows PC上即時訪問和寫入APFS，extFS甚至ReFS格式的硬盤驅動器，固態驅動器或閃存驅動器。因此，無需為每個操作系統使用單獨的工具。

圖像貼裝機是一種工具，使數字取證專家能夠輕松安裝磁盤映像并訪問采集的圖像。用于安裝取證圖像的工具可用作獨立軟件或集成到更復雜的數據分析解決方案中的組件。

審核編輯：郭婷