使用foremost对磁盘镜像文件做数字取证

企业开发 2023-04-08 17:50:47 阅读次数: 0

1. 引入

数字取证的一个场景,手机损坏后,通过USB拷贝出来一个usbimage.dd文件,这是一个二进制image文件,该如何查看内部有哪些文件呢?

要解决这个问题,就需要用到 数字取证(digital forensic)的工具。

首先,在windows上安装AutoPsy,但并不能扫描出什么东西。做了一些尝试后,发现在linux下用foremost效果不错。所以简单记录下过程。

2. 步骤

  1. 做好备份,正如参考2中提到的

usbimage.dd.dd image is a bit to bit copy of the original USB drive. It’s good practise to make an image/copy of the device for further analysis and keep the original USB drive for evidence

  1. 用file命令查看文件
xxxxxxx $ file usbimage.dd
usbimage.dd: x86 boot sector, code offset 0x58, OEM-ID "MSDOS5.0", reserved sectors 6140, Media descriptor 0xf8, heads 255, hidden sectors 64, sectors 3866816 (volumes > 32 MB) , FAT (32 bit), sectors/FAT 29698, reserved3 0x800000, serial number 0xac4f0498, unlabeled

可以看到这是一个磁盘的内容文件。

  1. 安装 foremost

网上查的很多安装方式,比如用apt(yum)等都失败了。所以从源码自己编译安装比较好:

从参考1处,获取 foremost 源码,然后make安装:

git clone https://github.com/raddyfiy/foremost.git
cd foremost
make
make install
  1. 使用 foremost 对 usbimage.dd 进行恢复
foremost usbimage.dd

命令使用很简单,等待几分钟后,恢复的结果会输出到output文件夹,我们看一下文件夹中都有哪些内容:

xxxxxxx $ ll output/
total 324
-rw-rw-r-- 1 example-user example-user 177057 May 23 16:43 audit.txt
drwxrwxr-- 2 example-user example-user     26 May 23 16:42 avi
drwxrwxr-- 2 example-user example-user   4096 May 23 16:42 bmp
drwxrwxr-- 2 example-user example-user    166 May 23 16:42 dll
drwxrwxr-- 2 example-user example-user     26 May 23 16:42 exe
drwxrwxr-- 2 example-user example-user  32768 May 23 16:42 gif
drwxrwxr-- 2 example-user example-user   8192 May 23 16:42 htm
drwxrwxr-- 2 example-user example-user  20480 May 23 16:42 jpg
drwxrwxr-- 2 example-user example-user     26 May 23 16:42 mpg
drwxrwxr-- 2 example-user example-user   4096 May 23 16:42 ole
drwxrwxr-- 2 example-user example-user     66 May 23 16:42 pdf
drwxrwxr-- 2 example-user example-user  20480 May 23 16:42 png
drwxrwxr-- 2 example-user example-user     26 May 23 16:42 ppt
drwxrwxr-- 2 example-user example-user     86 May 23 16:42 wav
drwxrwxr-- 2 example-user example-user     86 May 23 16:42 zip

看文件夹的名字(avi, bmp, jpg, pdf),就知道恢复出来哪些数据了。

其中 audit.txt 中详细记录了各个文件名及其大小。

3. 总结

foremost是linux下用于恢复文件的工具,能对dd,Safeback,Encase等工具提取出来的image文件进行恢复。

如果用图形化的Autopsy来做取证,还能看到更多比如email之类的信息,当然这又是另一个话题了。

4. 参考

  1. foremost及其安装:https://github.com/raddyfiy/foremost
  2. USB Drive Forensic Analysis with Kali Linux. https://medium.com/@sebnemK/usb-drive-forensic-analysis-with-kali-linux-57d0ef475c9b

猜你喜欢

转载自blog.csdn.net/ybdesire/article/details/124286366
今日推荐
基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个!
美国拟限制 AI 大模型出口中国和俄罗斯
苹果将与 OpenAI 达成协议,将 ChatGPT 应用于 iPhone
openKylin 社区生态委员会第六次会议圆满召开
阿里云正式发布通义千问 2.5
Python 3.13 发布首个 Beta:实验性自由线程模式和 JIT、改进交互式解释器
Stack Overflow 拿我的代码去训练 AI 大模型,还封了我的账号
Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作
《2024 年一季度互联网投融资运行情况》研究报告
报告:Django 仍然是 74% 开发者的首选
15 年前上了“FFmpeg 耻辱柱”,今天他还得谢谢咱——腾讯QQPlayer一雪前耻?
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
周排行
记一下去大梅沙的准备(2018-05-26)
Spring 注解 事务
基于HTTP协议的客户端缓存
阿里云rds 备份和还原
[PHP] 几个拖慢 PHP 程序/API 运行速度的点
python 代码风格------------PEP8规则
js控制json生成菜单——自制菜单(一)
将字符串: 'k:1|k1:2|k2:3|k3:4 ' ,处理成 python 字典: {'k':1, 'k1':2, ...}
微信小程序转支付宝小程序
Qt551.窗口滚动条
每日归档
更多
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022