【镜像取证篇】听说你还分不清镜像的源盘哈希和镜像文件的哈希?

admin 2024年12月26日14:55:50评论27 views字数 1786阅读5分57秒阅读模式

听说你还分不清镜像的源盘哈希和镜像文件的哈希?镜像的两层防护,镜像的源盘哈希、镜像文件的哈希傻傻分不清---【蘇小沐】

1

实验环境

Windows 11 专业工作站版,[24H2(26100.2605)]
AccessData FTK Imager,[v4.7.1.2]
X-Ways Forensics,[v20.3 SR-4]
8GB快速格式化的空U盘
【镜像取证篇】听说你还分不清镜像的源盘哈希和镜像文件的哈希?

1

(一)

DD镜像和E01镜像对比
对比 DD镜像 E01镜像
优点 镜像速度快 镜像速度慢
缺点 体积大,源盘多大它多大 体积小,有效压缩源盘未使用空间,可理解为压缩文件
哈希 DD镜像哈希=源盘哈希 E01镜像哈希≠源盘哈希

1

FTK Imager制作DD镜像和E01镜像的哈希对比

使用FTK Imager制作同一U盘的DD镜像和E01镜像,制作完成后比对。
【镜像取证篇】听说你还分不清镜像的源盘哈希和镜像文件的哈希?

镜像结果:制作DD镜像文件的哈希和FTK Imager校验的源盘哈希值一致!

【镜像取证篇】听说你还分不清镜像的源盘哈希和镜像文件的哈希?

镜像结果:制作E01镜像文件的哈希和FTK Imager校验的源盘哈希值不一致!

那么问题来了,为什么E01镜像文件的哈希值和FTK Imager校验的源盘哈希值不一致!

2

(二)

DD和E01镜像不同点

1

DD和E01镜像内容

在镜像校验结果中,我们可以看到DD镜像里面只显示有MD5和SHA1的哈希校验,而E01镜像中多了"已存储的验证散列"值。这就是为什么E01镜像和DD镜像不同的原因之一。
【镜像取证篇】听说你还分不清镜像的源盘哈希和镜像文件的哈希?

E01镜像特殊之处就在于其镜像的内部可以存储有选填的证据项信息(案件编号、证据编号、唯一描述、检查员、备注,全部都是非必填项),以及源盘序列号、调查员姓名、哈希值等元数据元素,而且还可以根据需要设置不同的镜像压缩级别(默认压缩级别数为6)。

如果发现镜像文件的哈希不一样,不要急着否定源数据被污染了,应该第一时间检验"镜像的源盘"显示的哈希是否一样,如果一样就是原始的!!!

如果发现镜像文件的哈希不一样,不要急着否定源数据被污染了,应该第一时间检验"镜像的源盘"显示的哈希是否一样,如果一样就是原始的!!!

如果发现镜像文件的哈希不一样,不要急着否定源数据被污染了,应该第一时间检验"镜像的源盘"显示的哈希是否一样,如果一样就是原始的!!!

镜像其实就是源盘数据的两重防护措施,对外防护自身,对内守护内心!!!所以一开始文章标题我有写另外一个名字的,就是"镜像的两种防护"!!!哈哈,题外话。

2

X-Ways Forensics测试E01镜像

【备注:FTK Imager目前只支持MD5和SHA1的哈希校验,如果使用的是其他软件制作的E01镜像并校验了SHA256等之外的哈希值,则FTK Imager校验是不会显示其它哈希校验值的】

比如同样使用实验U盘作为源盘,通过X-Ways制作一个E01镜像,校验值选择MD5和SHA256,结果如下。

【镜像取证篇】听说你还分不清镜像的源盘哈希和镜像文件的哈希?
【镜像取证篇】听说你还分不清镜像的源盘哈希和镜像文件的哈希?
使用FTK Imager计算X-Ways的源盘哈希,发现SHA1散列处无"已存储的验证散列"。说明了源盘未校验有SHA1校验值,但可能有其他校验值,只是FTK Imager无法显示或者无法校验而已。
【镜像取证篇】听说你还分不清镜像的源盘哈希和镜像文件的哈希?

3

(三)

案件镜像建议

如果是监控视频硬盘,尤其是长时间运行的监控,比较建议采用DD镜像。如果只是短时间运行的视频监控,其周期远小于覆盖周期,则可采用E01镜像,便于节约存储空间。(具体请根据自身案件情况来!!!)

原因一:因为监控一般采用循环覆盖的方式,对于长时间运行的视频监控制作E01镜像并不会造成多大的空间压缩,反而容易拖慢制作镜像的速度。

原因二:视频编码格式本身也是一种压缩格式,E01再压缩的空间也不大。直接DD镜像速度和分析速度也更有利一些。

1

【题外话】

虽然这MD5、SHA1两种算法已经被破解,现在都推荐使用SHA256及以上算法,但实际操作中,想伪造碰撞哈希也不是一件容易的事情。感兴趣的可以看历史文章密码学部分记录。
当然,不会出现哈希连号这种事情就是了!!!
【镜像取证篇】听说你还分不清镜像的源盘哈希和镜像文件的哈希?
总结
【镜像取证篇】听说你还分不清镜像的源盘哈希和镜像文件的哈希?

书写片面,纯粹做个记录,有错漏之处欢迎指正。

公众号回复关键词FTK自动获取资源合集。

【声明:欢迎转发收藏,个人创作不易,喜欢记得点点赞!!!转载引用请注明出处,著作所有权归 [蘇小沐] 所有】

【注:共享资源收集于官网或互联网公开材料,仅供学习研究,如有侵权请联系删除,谢谢!】

记录

开始编辑:2024年 12月 24日

最后编辑:2024年 12月 26日

END

原文始发于微信公众号(DFIR蘇小沐):【镜像取证篇】听说你还分不清镜像的源盘哈希和镜像文件的哈希?

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月26日14:55:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【镜像取证篇】听说你还分不清镜像的源盘哈希和镜像文件的哈希?https://cn-sec.com/archives/3554869.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息