听说你还分不清镜像的源盘哈希和镜像文件的哈希?镜像的两层防护,镜像的源盘哈希、镜像文件的哈希傻傻分不清---【蘇小沐】
1
实验环境
|
|
|
|
|
|
|
|
1
(一)
| 对比 | DD镜像 | E01镜像 |
|---|---|---|
| 优点 | 镜像速度快 | 镜像速度慢 |
| 缺点 | 体积大,源盘多大它多大 | 体积小,有效压缩源盘未使用空间,可理解为压缩文件 |
| 哈希 | DD镜像哈希=源盘哈希 | E01镜像哈希≠源盘哈希 |
1
FTK Imager制作DD镜像和E01镜像的哈希对比
镜像结果:制作DD镜像文件的哈希和FTK Imager校验的源盘哈希值一致!
镜像结果:制作E01镜像文件的哈希和FTK Imager校验的源盘哈希值不一致!
那么问题来了,为什么E01镜像文件的哈希值和FTK Imager校验的源盘哈希值不一致!
2
(二)
1
DD和E01镜像内容
E01镜像特殊之处就在于其镜像的内部可以存储有选填的证据项信息(案件编号、证据编号、唯一描述、检查员、备注,全部都是非必填项),以及源盘序列号、调查员姓名、哈希值等元数据元素,而且还可以根据需要设置不同的镜像压缩级别(默认压缩级别数为6)。
如果发现镜像文件的哈希不一样,不要急着否定源数据被污染了,应该第一时间检验"镜像的源盘"显示的哈希是否一样,如果一样就是原始的!!!
如果发现镜像文件的哈希不一样,不要急着否定源数据被污染了,应该第一时间检验"镜像的源盘"显示的哈希是否一样,如果一样就是原始的!!!
如果发现镜像文件的哈希不一样,不要急着否定源数据被污染了,应该第一时间检验"镜像的源盘"显示的哈希是否一样,如果一样就是原始的!!!
镜像其实就是源盘数据的两重防护措施,对外防护自身,对内守护内心!!!所以一开始文章标题我有写另外一个名字的,就是"镜像的两种防护"!!!哈哈,题外话。
2
X-Ways Forensics测试E01镜像
【备注:FTK Imager目前只支持MD5和SHA1的哈希校验,如果使用的是其他软件制作的E01镜像并校验了SHA256等之外的哈希值,则FTK Imager校验是不会显示其它哈希校验值的】
比如同样使用实验U盘作为源盘,通过X-Ways制作一个E01镜像,校验值选择MD5和SHA256,结果如下。
3
(三)
如果是监控视频硬盘,尤其是长时间运行的监控,比较建议采用DD镜像。如果只是短时间运行的视频监控,其周期远小于覆盖周期,则可采用E01镜像,便于节约存储空间。(具体请根据自身案件情况来!!!)
原因一:因为监控一般采用循环覆盖的方式,对于长时间运行的视频监控制作E01镜像并不会造成多大的空间压缩,反而容易拖慢制作镜像的速度。
原因二:视频编码格式本身也是一种压缩格式,E01再压缩的空间也不大。直接DD镜像速度和分析速度也更有利一些。
1
【题外话】
书写片面,纯粹做个记录,有错漏之处欢迎指正。
公众号回复关键词【FTK】自动获取资源合集。
【声明:欢迎转发收藏,个人创作不易,喜欢记得点点赞!!!转载引用请注明出处,著作所有权归 [蘇小沐] 所有】
【注:共享资源收集于官网或互联网公开材料,仅供学习研究,如有侵权请联系删除,谢谢!】
|
记录 |
|
开始编辑:2024年 12月 24日 |
|
|
END
原文始发于微信公众号(DFIR蘇小沐):【镜像取证篇】听说你还分不清镜像的源盘哈希和镜像文件的哈希?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论