什么是树莓派?
▲树莓派设备
树莓派是只有信用卡大小的微型电脑,其系统基于Linux,为学习计算机编程教育而设计。其外表“娇小”,内“心”却很强大,视频、音频等功能通通皆有,只需接通电视机和键盘,就能执行如电子表格、文字处理、玩游戏、播放高清视频等诸多功能,可谓是“麻雀虽小,五脏俱全” 。
由于树莓派的便携性等特点,不法分子常利用树莓派通过无线网卡发送开放无线WiFi信号,信号区域内行人们的手机自动或手动连接WiFi后,设备会连接WiFi的手机自动推送网站访问链接并进行跳转,通过跳转向访问的用户推广散布不法信息。
树莓派数据固定提取思路分析
虽然树莓派作为违法犯罪工具,目前还属于新兴事物,但是通过研究发现,树莓派的数据固定及提取难度并不大。
大多树莓派系统基于Linux,具有单独存储,常见于SD卡存储(也有采用芯片存储,但是非常少)。
在实际案件中需要对树莓派的硬件进行查看,如果采用SD卡的方式存储数据,就可以直接将SD卡取出,采用只读设备对SD卡进行全盘镜像,再使用专业的设备对数据进行导出即可。
下面是对树莓派设备数据固定提取的详细操作步骤。
树莓派数据固定提取具体操作步骤
案例分析
案件简介:利用树莓派设备采集行人手机信息并向行人推送不法信息;
检材:树莓派设备一台;
需求:固定及提取树莓派设备数据,以便数据分析;
对案例树莓派设备拆解观察
对树莓派设备进行拆解后发现,该设备接口丰富,并在SD卡槽中发现SD卡,经查看该SD卡主要用于设备系统存储及数据存储,因此只需对SD卡数据进行固定提取即可。
▲拆解后的树莓派设备
对案件树莓派设备数据进行固定提取
首先将SD卡插入只读设备内,用效率源DRS进行镜像;
勾选镜像SD卡,点击下一步将SD卡镜像成文件,并勾选MD5校验;
镜像完成后,使用DRS设备对镜像文件进行扫描恢复,将数据进行导出;
对导出文件进行查看分析,在分区2中home文件中找到了案件相关的网站数据及内容文件。
注意事项
1、大多树莓派系统是基于Linux系统,其数据存储分区文件系统为ext 4,在 Windows系统下无法对其分区数据进行正常查看,需要通过取证工具才能提取分析;
2、数据镜像时切记不能直接将SD卡通过常规读卡器直接接入电脑,因为这样操作不符合取证规范,且存在破坏数据的风险,需要通过只读设备转接;
3、针对类似于树莓派等特殊介质的取证一定要了解其结构原理才能进行相应操作,不然就会存在数据被破坏的风险。
原文始发于微信公众号(丁爸 情报分析师的工具箱):【技术实战】树莓派的数据固定与提取方法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论