取证与应急响应
磁盘取证
别称: 存储取证, 硬盘取证
定义
对硬盘、SSD、U 盘等非易失性存储介质进行分析,恢复并解释文件系统、应用与操作系统层面的痕迹。
磁盘取证是数字取证的传统核心分支,基于存储设备的逐位镜像,通过文件系统(NTFS、APFS、ext4、FAT)、日志、元数据、剩余空间与未分配空间重建用户与系统活动。调查人员检查 MFT、USN 日志、$LogFile、Prefetch、跳转列表、快捷方式、浏览器记录、Windows 事件日志与 ShellBag 来构建时间线。Autopsy/Sleuth Kit、EnCase、X-Ways、FTK 与 Plaso/log2timeline 等工具用于自动解析和时间线生成。现代挑战包括全盘加密(BitLocker、FileVault、LUKS)、SSD TRIM/垃圾回收以及云同步内容,均依据 NIST SP 800-86 与 ISO/IEC 27037 处理。
示例
- 使用 Autopsy 从 NTFS 未分配空间恢复被删除的文档。
- 解析 Prefetch 与 ShimCache 以确认恶意二进制曾被执行。
相关术语
数字取证
以法律可采信的方式对计算机、网络与设备中的数字证据进行识别、保全、分析和报告的科学学科。
取证镜像
对存储介质进行逐位复制并以加密哈希校验,用于取证分析与可采纳的法律证据。
File Carving
File Carving — definition coming soon.
时间线分析
一种取证技术,通过关联文件系统、注册表、日志和应用程序工件的时间戳,重建系统事件的时间顺序。
Artifact Analysis
Artifact Analysis — definition coming soon.
Windows Registry Analysis
Windows Registry Analysis — definition coming soon.