取证与应急响应
取证镜像
别称: 位流镜像, 磁盘镜像
定义
对存储介质进行逐位复制并以加密哈希校验,用于取证分析与可采纳的法律证据。
取证镜像生成源介质(磁盘、分区、可移动介质)的精确副本,包括未分配空间与剩余空间,写入 EWF/E01、AFF4 或原始 DD 等取证容器。原盘通常由硬件或软件写保护设备保护,生成的镜像通过 SHA-256(为兼容性可同时记录 MD5/SHA-1)校验,以便发现任何篡改。实务遵循 ISO/IEC 27037 与 NIST SP 800-86,记录获取前后的哈希值与工具版本。常用工具:FTK Imager、Guymager、dc3dd、EnCase 与 X-Ways。镜像可在不改动源介质的前提下支持可重复分析。
示例
- 通过 Tableau 写保护设备使用 FTK Imager 取得可疑 SSD 的 E01 镜像。
- 现场响应中获取 RAID 卷的 AFF4 镜像。
相关术语
Evidence Acquisition
Evidence Acquisition — definition coming soon.
写保护设备
允许对存储设备执行读取但阻止任何可能改变证据的写入操作的硬件或软件工具。
磁盘取证
对硬盘、SSD、U 盘等非易失性存储介质进行分析,恢复并解释文件系统、应用与操作系统层面的痕迹。
Preservation of Evidence
Preservation of Evidence — definition coming soon.
证据保管链
对每一份证据从查扣到最终处置过程中,每位经手人、所处地点与所执行操作进行的有序、可追溯的书面记录。
数字取证
以法律可采信的方式对计算机、网络与设备中的数字证据进行识别、保全、分析和报告的科学学科。