网络安全取证(十)操作系统分析之存储取证 admin 102642文章 87评论 2022年10月20日10:13:19评论39 views字数 2057阅读6分51秒阅读模式 网络安全取证(一)定义和概念模型 网络安全取证(二)定义和概念模型之定义 网络安全取证(三)定义和概念模型之概念模型 网络安全取证(四)定义和概念模型之概念模型 网络安全取证(五)定义和概念模型之概念模型 网络安全取证(六)定义和概念模型之取证流程 网络安全取证(七)操作系统分析 网络安全取证(八)操作系统分析之存储取证 网络安全取证(九)操作系统分析之文件系统分析 《网络安全知识体系》 网络安全取证(十) 操作系统分析 简介 数字取证科学或数字取证是应用科学工具和方法来识别,收集和分析数字(数据)工件,以支持法律诉讼。从技术角度来看,正是识别和重建相关事件序列的过程导致了目标IT的当前可观察状态。系统或(数字)伪影。随着信息技术的快速采用,数字证据的重要性与日新月异,导致数据以指数级的速度不断积累。同时,网络连接和IT系统的复杂性迅速增长,导致可能需要调查的更复杂的行为。 该知识区的主要目的是提供数字取证技术和功能的技术概述,并将其置于网络安全领域其他相关领域的更广泛视角。关于数字取证的法律方面的讨论仅限于一般原则和最佳实践,因为这些原则的应用的具体情况往往因司法管辖区而异。例如,知识区讨论了不同类型证据的可用性,但没有通过获取这些证据必须遵循的法律程序进行工作。法律&法规CyBOK知识领域讨论了与管辖权和获取,处理和提供数字证据的法律程序相关的具体问题。 内容 2 操作系统分析 2.3 文件系统分析 一个典型的存储设备呈现出一个块状设备接口,其块的大小为Bsize的Bmax数量。所有的读写I/O操作都以整个块的粒度执行;历史上,硬盘制造商采用的标准块大小是512字节。随着2011年高级格式标准的引入,存储设备可以支持更大的块,4,096字节是新的首选尺寸。 无论基础块大小如何,许多操作系统都以集群的方式管理存储;集群是一个连续的块序列,是分配/回收原始存储的最小单位。因此,如果设备的块/扇区大小是4KiB,但选择的集群大小是16KiB,操作系统将以四组的形式分配块。 为了管理的目的,原始驱动器可以被分割成一个或多个连续的区域,称为分区,每个分区都有指定的用途,可以独立操作。分区可以进一步组织成卷--一个物理卷映射到一个分区,而一个逻辑卷可以整合可能来自多个设备的多个分区。卷提供了一个块设备接口,但允许将物理媒体组织与呈现给操作系统的逻辑视图解耦。 除了少数例外,卷/分区被格式化以适应特定的文件系统(文件系统),它组织和管理块,以创建文件和目录的抽象,以及它们的相关元数据。操作系统(OS),作为应用程序请求服务的系统调用接口的一部分,提供了一个文件系统API,允许应用程序创建、修改和删除文件;它还允许文件被分组到目录(或文件夹)的层次结构中。 除了少数例外,卷/分区被格式化以适应特定的文件系统(文件系统),它组织和管理块,以创建文件和目录的抽象,以及它们的相关元数据。操作系统(OS),作为应用程序请求服务的系统调用接口的一部分,提供了一个文件系统API,允许应用程序创建、修改和删除文件;它还允许文件被分组到目录(或文件夹)的层次结构中。 一般来说,文件内容的格式和解释几乎总是在操作系统的权限之外;它是代表用户的相关应用程序的关注点。 它提供了一个高水平的标准API,如POSIX,被应用程序用来按名称存储和检索文件,而不关心采用的物理存储方法或数据(和元数据)内容的布局。 文件系统取证使用文件系统的数据结构和用于创建、维护和删除它们的算法的知识来:a)从设备中提取数据内容,独立于创建它的操作系统实例;b)提取常规文件系统API不提供访问的遗留工件。 第一个特征对于确保数据在获取过程中不被修改,以及任何潜在的安全漏洞不影响数据的有效性非常重要。第二个特征提供了对未被覆盖的已分配文件(部分)、特意隐藏的数据以及文件系统操作的隐含历史的访问--文件的创建/删除-文件系统操作的隐含历史--文件的创建/删除,这不是由操作系统明确维护的。 设备安全指南:平台指南-iOS 和 iPadOS 设备安全指南:准备 设备安全指南:平台指南-Ubuntu LTS 设备安全指南:平台指南-Windows OS 设备安全指南:平台指南-苹果系统 事件管理-计划:网络事件响应流程 事件管理:事件响应概述 设备安全指南-管理部署的设备 设备安全指南-日志记录和保护监控 设备安全指南-管理设备固件 设备安全指南-使用生物识别技术 设备安全指南-防病毒和其他安全软件 设备安全指南-过期的产品 设备安全指南—内置云服务 设备安全指南-企业认证政策 设备安全指南-在设备上使用第三方应用程序 事件管理-开发:技术响应能力 设备安全指南-为最终用户提供建议 事件管理-附录:事件时间表 设备安全指南-擦除设备 事件管理-维持:建立和维持你的能力 设备安全指南-选择企业即时消息解决方案 设备安全指南-管理 Web 浏览器安全性 设备安全指南-保持设备和软件最新 事件管理-构建:网络安全事件响应团队 (CSIRT) 原文始发于微信公众号(河南等级保护测评):网络安全取证(十)操作系统分析之存储取证 点赞 http://cn-sec.com/archives/1360198.html 复制链接 复制链接 左青龙 微信扫一扫 右白虎 微信扫一扫
评论