Toc
 1. 同读一本书-第五章
  1. 一、了解文件系统
  2. 二、探索Microsoft文件结构
  3. 三、检查NTFS磁盘
  4. 四、了解全磁盘
  5. 五、了解Windows注册表
  6. 六、了解Microsoft启动任务
  7. 七、了解虚拟机
Toc
0 results found
Rayi
取证读书笔记-第五章

同读一本书-第五章

阅读完本章并完成练习之后,您将能够:

•说明文件系统的用途和结构
•描述Microsoft文件结构
•说明NTFS磁盘的结构
•列出一些用于解密使用全盘加密加密的驱动器的选项
•说明Windows注册表如何工作
•描述Microsoft启动任务
•说明虚拟机的用途

一、了解文件系统

​ 要有效地调查数字证据,必须了解最常用的操作系统是如何工作的,以及它们是如何存储文件的。文件系统为操作系统提供了磁盘上数据的路线图。操作系统使用的文件系统类型决定了数据在磁盘上的存储方式。当需要访问嫌疑人的计算机以获取或检查与您的调查相关的数据时,应该熟悉计算机的操作系统和文件系统,以便在必要时可以访问和修改系统设置。

1、了解引导顺序

2、了解磁盘驱动器

3、固态存储设备

二、探索Microsoft文件结构

​ 由于大多数PC使用Microsoft软件产品,因此应该了解Microsoft文件系统,以便了解Windows和DOS计算机如何存储文件。尤其需要了解集群、文件分配表(FAT)和NT文件系统(NTFS)。操作系统用于存储文件的方法决定了数据可以隐藏的位置。在检查计算机以获取数字证据时,需要探索这些隐藏位置,以确定它们是否包含可能是犯罪或违反策略证据的文件或部分文件。

1、磁盘分区

2、检查FAT盘

3、删除FAT文件

三、检查NTFS磁盘

​ NT文件系统(NTFS)是在Microsoft创建Windows NT时引入的,它仍然是Windows 8中的主要文件系统。自NT以来的每一代Windows都包含了NTFS配置和功能上的细微变化。NTFS的设计部分基于微软的IBM项目和OS/2操作系统,并结合了该项目的许多特性;在这个操作系统中,文件系统是高性能文件系统(HPFS)。当微软创建WindowsNT时,它提供了向后兼容性,这样NT就可以读取OS/2HPFS磁盘驱动器。自Windows2000发布以来,这种向后兼容性不再可用。

1、NTFS系统文件

2、MFT和文件属性

3、文件数据的MFT结构

4、MFT头字段

5、属性0x10:标准信息

6、属性0x30:文件名

7、属性0x40:对象ID

8、属性0x80:常驻文件的数据

9、属性0x80:非驻留文件的数据

10、解释数据运行

11、NTFS数据交互流

12、NTFS压缩文件

13、NTFS加密文件系统

14、EFS恢复密钥代理

15、删除NTFS文件

16、弹性文件系统

四、了解全磁盘

1、检查Microsoft BitLocker

2、检查第三方磁盘加密工具

五、了解Windows注册表

​ 当Microsoft创建Windows 95时,它将初始化(.ini)文件整合到注册表中,注册表是一个存储硬件和软件配置信息、网络连接,用户首选项(包括用户名和密码)和设置信息。注册表已更新,并且仍在Windows Vista及更高版本中使用。出于调查目的,注册表可以包含有价值的证据。要查看注册表,可以使用适用于Windows9x的Regedit(注册表编辑器)程序和适用于Windows2000、XP和Vista的Regedt32程序。对于Windows 7和8,Regedit和Regedit32都可用。

1、探索Windows注册表的组织

2、检查Windows注册表

六、了解Microsoft启动任务

​ 应该很好地了解启动时磁盘数据的情况。在某些调查中,必须将数据保存在磁盘上,与嫌疑人上次使用的数据完全相同。在计算机系统被用于非法目的之后,任何对它的访问都会改变磁盘证据。更改磁盘数据会大大降低其证据质量。在某些情况下,错误地访问可疑计算机可能会导致数字证据损坏,降低诉讼的可信度。

1、在Windows 7和Windows 8中启动

2、在Windows NT和更高版本中启动

3、Windows Vista的启动文件

4、Windows XP的启动文件

5、Windows XP系统文件

6、Windows XP的污染问题

七、了解虚拟机

本文作者:Rayi
版权声明:本文首发于Rayi的博客,转载请注明出处!