取证镜像

Q: 取证镜像 是什么?

对存储介质进行逐位复制并以加密哈希校验,用于取证分析与可采纳的法律证据。 它属于网络安全的 取证与应急响应 分类。

Q: 如何防御 取证镜像?

针对 取证镜像 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

取证镜像是什么?

取证镜像对存储介质进行逐位复制并以加密哈希校验,用于取证分析与可采纳的法律证据。

取证镜像生成源介质(磁盘、分区、可移动介质)的精确副本,包括未分配空间与剩余空间,写入 EWF/E01、AFF4 或原始 DD 等取证容器。原盘通常由硬件或软件写保护设备保护,生成的镜像通过 SHA-256(为兼容性可同时记录 MD5/SHA-1)校验,以便发现任何篡改。实务遵循 ISO/IEC 27037 与 NIST SP 800-86,记录获取前后的哈希值与工具版本。常用工具:FTK Imager、Guymager、dc3dd、EnCase 与 X-Ways。镜像可在不改动源介质的前提下支持可重复分析。

● 示例

01
通过 Tableau 写保护设备使用 FTK Imager 取得可疑 SSD 的 E01 镜像。
02
现场响应中获取 RAID 卷的 AFF4 镜像。

● 常见问题

取证镜像是什么?

对存储介质进行逐位复制并以加密哈希校验,用于取证分析与可采纳的法律证据。它属于网络安全的取证与应急响应分类。

取证镜像是什么意思?

对存储介质进行逐位复制并以加密哈希校验,用于取证分析与可采纳的法律证据。

如何防御取证镜像?

针对取证镜像的防御通常结合技术控制与运营实践,详见上方完整定义。

取证镜像还有哪些其他名称?

常见的别称包括: 位流镜像, 磁盘镜像。

取证镜像

取证镜像是什么?

● 示例

● 常见问题

● 相关术语

● 另见

取证镜像 是什么?

● 示例

● 常见问题

● 相关术语

● 另见

取证镜像是什么?