本章主要介绍了数据的存储格式、数据的获取采集（流程、方法、注意点）和工具

同读一本书-第三章

本章主要介绍了数据的存储格式、数据的获取采集（流程、方法、注意点）和工具

数据的存储格式

据采集就是复制数据的过程。对于数字取证，它的任务是从电子媒体收集数字证据

取证数据获取以三种不同的格式存储:原始格式、专有格式和AFF。

• 原始格式即使用如dd命令进行复制磁盘
  • 原始格式的优点是快速的数据传输和忽略源驱动器上较小的数据读取错误的能力
  • 通用性强
  • 哈希验证在另一单独文件中
• 专有格式即由商业取证工具生成的自己收集证据的格式
  • 有特定功能，如压缩、分割、集成元数据
• AFF开源获取格式，称为高级法证格式
  • 能够产生压缩或未压缩的图像文件
  • 没有磁盘到镜像文件的大小限制
  • 映像文件或分段文 件中的元数据空间
  • 设计简单，可扩展性强
  • 支持多系统架构和操作系统
  • 自我认证的内部一致性检查

数据的获取采集

数据采集方法

静态采集：

用于取证分析的四种获取数据的方法是:磁盘到映像文件、磁盘到磁盘、逻辑磁盘到磁盘或磁盘到数据文件，以及文件夹或文件的数据拷贝。

创建磁盘到映像文件是最常用的方法，它为您的调查提供了最大的灵活性。使用这种方法，您可以为一个可疑驱动器创建一个或多个副本。这些副本是原始驱动器的逐位复制。

大部分工具在取证时都会进行无损压缩

与有损压缩不同，取证采集的无损压缩在恢复数据时不会改变数据。无损压缩可以对大多数数据压缩50%。如果数据已经在驱动器上进行了压缩，无损压缩可能不会节省更多空间。

验证无损压缩可以通过附加的哈希值进行。

如果存在从大型驱动器或RAID驱动器获取数据的时间限制或数据过多，则可能需要逻辑获取或稀疏获取。

首先咨询上级，让他们知道收集所有数据可能是不可能的。

你应该有一个应急计划，以确保你有一个保证取证合法性的问答

如果你有足够的数据存储，应对进行两次数据收集。第一次应压缩，第二次应予以解压。如果一项取证失败，另一项可供分析。

获取RAID盘时，需要确定RAID类型和使用哪种获取工具。对于软硬件RAID，可能需要直接从RAID服务器获取数据。

数据采集工具

• 使用写保护工具
• 始终使用内置的取证获取程序工具、带有MD5或SHA-1哈希函数的十六进制编辑器或Linux md5sum或sha1sum命令来验证您的获取。
• 首选的Linux采集工具是dcfldd而不是dd，因为它是为取证采集而设计的。dcfldd工具也适用于Windows。总是使用dcfldd和md5sum或sha1sum的散列特性验证获取。
• ProDiscoveren、FTK Imager、X-Ways Forensics、PassMark软件ImageUSB、ASRData SMART