最近在自學資料取證下面是我整理的問題和答案,僅供參考如果發現錯誤可以聯系QQ:1024275440
資料取證技術面試題
1.什么是資料取證
電子取證是指從計算機設備中獲取資訊,供案、事件調查使用,
2.資料取證有幾種方式
(2.1)硬碟取證
(2.2)記憶體取證
3.硬碟資料取證
(3.1)PC硬碟復制
硬碟有機械硬碟和SSD閃存硬碟,從資料獲取的角度來看,獲取方式大同小異,在取證硬碟資料的時候應該使用專用的取證Linux啟動光碟,避免常規系統使用頁交換空間帶來的資料損壞風險,
在使用專用取證Linux系統之后把一塊大小不小于被檢查計算機硬碟大小的硬碟通過USB方式或者其他介面的方式連接到被檢查的計算機上,使用命令提示符:
dd if=/dev/sda of=/dev/sd (dd鏡像硬碟)來進行硬碟復制,
可以使用硬碟復制機來制作鏡像盤,
(3.2)手機硬碟資料獲取
可以使用chip-off方法將閃存從手機吹下來,也可是使用JTAG法簡單的通過跳線的方法將手機置于除錯狀態下,以獲取手機內部存盤芯片資料,
4.電子資料的固定
電子資料的固定即在獲取資料之后別有用心的操作或日常的誤操作都有可能修改其中資料,所以需要一種方式保證相關資料不會被修改(不會被污染)這就是電子資料固定,
目前主流的固定方式是使用常見的Hash演算法比如SHA-1、SHA-256、SHA-512等,MD5 hash值存在MD5沖突問題因此被逐步淘汰,如果懷疑資料被篡改可以重新計算資料Hash值來進行判斷是否被污染,
5.硬碟磁區和資料恢復
(5.1)PC磁區決議
資料恢復的基本單位是磁區,如果已經獲取了硬碟磁區,需要根據MBR或者GPT方案來決議各個磁區,
BIOS自檢之后會把硬碟的第一個扇區的加載到記憶體固定位置(0x7C00)并把系統控制權交給他,這個扇區又稱主引導扇區(Master Boot Record MBR)
0x1BEH~0x1FDH為磁區表大小為0x40H,磁區表之后的WORD大小地址是判斷MBR扇區是否有效的標記,如果有效則為0x55AAH ,這個時候因為沒有加載作業系統,因此CPU還是16位的實時模式,
0x1BEH~0x1FDH(偏移)40個位元組是磁區表,假如記憶體基址是0x7C00H,那么磁區表是0X7C00H+0X1BEH,
(5.2)MBR磁區
40個位元組的磁區表在很大程度是一樣的,在這0x40個位元組中,每0x10位元組就表示一個磁區,所以最多表示4個磁區,這個4個磁區也成為了主磁區,但有些時候一塊硬碟只能設定4個磁區太少了,所以只好犧牲1個或多個主磁區,把他們變成拓展磁區,一個擴展磁區又可以劃分為若干個邏輯磁區,
(5.3)GPT磁區
GPT磁區與UEFI相輔相成,正在逐步代替老的MBR-BIOS組合,在GPT磁區方案中硬碟的第一個扇區將硬碟所有空間放在一個主磁區中,在接下來的磁區中定義各個磁區,每個磁區的定義為0x80位元組,
第一個磁區0x1BF-0x1CE(這是原MBR磁區表第一個項的位置)處定義了一個主磁區,在第二個扇區中定義EFI PART為ANDROID MMC DISK(Android閃存)從第三個扇區開始每隔0x80位元組定義一個磁區,直至所有磁區定義完成,
6.常見資料恢復工具和取證工具
常見資料恢復工具:WinHex、R-studio、EasyRecovery、FinalData
常見取證工具:Encase、FTK、SafeAnalyzer
7.基于檔案系統的資料恢復原理
我們先來了解一下檔案在檔案系統中是如何存盤的,以一個簡單的NTFS檔案系統為例,在創建磁區(也就是檔案系統)時,除了寫入磁區頭,還會把硬碟上一段連續的空間劃分成兩部分,即索引區(MFT表)和資料區,
索引區被劃分成若干個檔案登記項(File Entry 每個1KB),資料區被劃分成若干個資料塊(每個資料塊4KB與記憶體頁大小一致),
當把一個檔案復制到該檔案系統中時,該檔案的檔案名、創建時間、最后一次修改時間、最近一次訪問時間、共享屬性等資訊都會被記錄在檔案登記項中,
此外檔案的資料記錄在那些資料塊中也會體現在檔案登記項中,檔案內容將被寫入到資料區相關資料塊中,
8.什么是剩磁恢復
剩磁恢復是針對10多年前的80GB容量的硬碟,對這種硬碟如果在超凈室里拆開,就會發現其體積和現在幾TB的硬碟是一樣的,只是現在硬碟存盤的密度變大了,存盤密度增大極大壓縮了剩磁的存在空間,以至于現在的硬碟中已經基本沒有剩磁的存在了,1次覆寫足以擦除扇區中的資料,
9.扇區被寫入資料的三種情況
(1)原檔案登記項被覆寫,但是原檔案占用的資料塊沒有收到影響
這種情況因為檔案登記缺失,檔案名和檔案創建時間、最后一次修改時間、最近一次訪問時間、共享屬性等資訊全部丟失,因為資料塊沒有覆寫可以通過檔案開頭的4位元組檔案簽名判斷檔案型別需要逐扇區掃描開頭是否有指定檔案型別的檔案簽名根據檔案特征或特征資訊熵等技巧能找到檔案最可能存放的位置,理論上就可以恢復這些檔案了,
(2)原檔案登記項沒有收到影響,但是原檔案占用的資料塊全部或部分被覆寫了
在這種情況下,如果原檔案所占的資料塊全部被覆寫,則資料恢復失敗,如果部分資料塊被覆寫,則恢復出來的檔案是殘缺的,對于專業資料恢復人員來說這類不完整的檔案才是分析的重點,分析不完整檔案的思路是利用檔案的格式根據所屬檔案的格式進行部分修復,例如利用流特征的自同步特性從殘缺的資料中推算出圖片中某個片段的起始位置,然后補上JPG檔案頭從而恢復資料,另一種思路是根據資料在檔案中的存盤編碼尋找資料
(3)原檔案登記項被覆寫,且原檔案占用的資料塊全部或部分被覆寫
這是最棘手的情況,仍然可以通過特征碼方法或殘缺頁檔案修復進行嘗試性 恢復
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/249583.html
標籤:其他
上一篇:Android學習筆記(八)