网络安全取证(十)操作系统分析之存储取证

admin
admin
admin
102642
文章
87
评论
2022年10月20日10:13:19评论39 views字数 2057阅读6分51秒阅读模式
网络安全取证(一)定义和概念模型
网络安全取证(二)定义和概念模型之定义
网络安全取证(三)定义和概念模型之概念模型
网络安全取证(四)定义和概念模型之概念模型
网络安全取证(五)定义和概念模型之概念模型
网络安全取证(六)定义和概念模型之取证流程
网络安全取证(七)操作系统分析
网络安全取证(八)操作系统分析之存储取证
网络安全取证(九)操作系统分析之文件系统分析

《网络安全知识体系》

网络安全取证(十)

操作系统分析

简介
数字取证科学或数字取证是应用科学工具和方法来识别,收集和分析数字(数据)工件,以支持法律诉讼。从技术角度来看,正是识别和重建相关事件序列的过程导致了目标IT的当前可观察状态。系统或(数字)伪影。随着信息技术的快速采用,数字证据的重要性与日新月异,导致数据以指数级的速度不断积累。同时,网络连接和IT系统的复杂性迅速增长,导致可能需要调查的更复杂的行为。
该知识区的主要目的是提供数字取证技术和功能的技术概述,并将其置于网络安全领域其他相关领域的更广泛视角。关于数字取证的法律方面的讨论仅限于一般原则和最佳实践,因为这些原则的应用的具体情况往往因司法管辖区而异。例如,知识区讨论了不同类型证据的可用性,但没有通过获取这些证据必须遵循的法律程序进行工作。法律&法规CyBOK知识领域讨论了与管辖权和获取,处理和提供数字证据的法律程序相关的具体问题。

网络安全取证(十)操作系统分析之存储取证

内容

2  操作系统分析

2.3 文件系统分析

一个典型的存储设备呈现出一个块状设备接口,其块的大小为Bsize的Bmax数量。所有的读写I/O操作都以整个块的粒度执行;历史上,硬盘制造商采用的标准块大小是512字节。随着2011年高级格式标准的引入,存储设备可以支持更大的块,4,096字节是新的首选尺寸。
无论基础块大小如何,许多操作系统都以集群的方式管理存储;集群是一个连续的块序列,是分配/回收原始存储的最小单位。因此,如果设备的块/扇区大小是4KiB,但选择的集群大小是16KiB,操作系统将以四组的形式分配块。
为了管理的目的,原始驱动器可以被分割成一个或多个连续的区域,称为分区,每个分区都有指定的用途,可以独立操作。分区可以进一步组织成卷--一个物理卷映射到一个分区,而一个逻辑卷可以整合可能来自多个设备的多个分区。卷提供了一个块设备接口,但允许将物理媒体组织与呈现给操作系统的逻辑视图解耦。
除了少数例外,卷/分区被格式化以适应特定的文件系统(文件系统),它组织和管理块,以创建文件和目录的抽象,以及它们的相关元数据。操作系统(OS),作为应用程序请求服务的系统调用接口的一部分,提供了一个文件系统API,允许应用程序创建、修改和删除文件;它还允许文件被分组到目录(或文件夹)的层次结构中。
除了少数例外,卷/分区被格式化以适应特定的文件系统(文件系统),它组织和管理块,以创建文件和目录的抽象,以及它们的相关元数据。操作系统(OS),作为应用程序请求服务的系统调用接口的一部分,提供了一个文件系统API,允许应用程序创建、修改和删除文件;它还允许文件被分组到目录(或文件夹)的层次结构中。
一般来说,文件内容的格式和解释几乎总是在操作系统的权限之外;它是代表用户的相关应用程序的关注点。
它提供了一个高水平的标准API,如POSIX,被应用程序用来按名称存储和检索文件,而不关心采用的物理存储方法或数据(和元数据)内容的布局。
文件系统取证使用文件系统的数据结构和用于创建、维护和删除它们的算法的知识来:a)从设备中提取数据内容,独立于创建它的操作系统实例;b)提取常规文件系统API不提供访问的遗留工件。
第一个特征对于确保数据在获取过程中不被修改,以及任何潜在的安全漏洞不影响数据的有效性非常重要。第二个特征提供了对未被覆盖的已分配文件(部分)、特意隐藏的数据以及文件系统操作的隐含历史的访问--文件的创建/删除-文件系统操作的隐含历史--文件的创建/删除,这不是由操作系统明确维护的。

设备安全指南:平台指南-iOS  和 iPadOS

设备安全指南:准备

设备安全指南:平台指南-Ubuntu  LTS

设备安全指南:平台指南-Windows  OS

设备安全指南:平台指南-苹果系统

事件管理-计划:网络事件响应流程

事件管理:事件响应概述

设备安全指南-管理部署的设备

设备安全指南-日志记录和保护监控

设备安全指南-管理设备固件

设备安全指南-使用生物识别技术

设备安全指南-防病毒和其他安全软件

设备安全指南-过期的产品

设备安全指南—内置云服务

设备安全指南-企业认证政策

设备安全指南-在设备上使用第三方应用程序

事件管理-开发:技术响应能力

设备安全指南-为最终用户提供建议

事件管理-附录:事件时间表

设备安全指南-擦除设备

事件管理-维持:建立和维持你的能力

设备安全指南-选择企业即时消息解决方案

设备安全指南-管理 Web 浏览器安全性

设备安全指南-保持设备和软件最新

事件管理-构建:网络安全事件响应团队 (CSIRT)

原文始发于微信公众号(河南等级保护测评):网络安全取证(十)操作系统分析之存储取证

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月20日10:13:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全取证(十)操作系统分析之存储取证http://cn-sec.com/archives/1360198.html

发表评论

匿名网友 填写信息