2.2.6 从映像的文件系统上收集证据（1）

在计算机取证时，有时需要在计算机系统开机状态下制作一份磁盘的镜像，必须对磁盘上每一位进行复制，以前被删除的部分同样包含在内，这比文件级复制更准确。实现这一功能的工具就是dd/dcfldd。

本节用dd 命令镜像了一块硬盘。该硬盘存在Ext4、NTFS、FAT32 文件系统。用mount挂载时需要指定硬盘镜像分区的起始偏移量，可以用fdisk -l -u 找到偏移量，一般来讲，磁盘分区越多，其偏移量越明显。查看分区信息如图2-7 所示。

#fdisk -l -u disk.dd.img  
You must set cylinders.  
You can do this from the extra functions menu.  
Disk ubuntu.dd: 0 MB, 0 bytes  
255 heads, 63 sectors/track, 0 cylinders, total 0 sectors  
Units = sectors of 1 * 512512 = 512 bytes  
Sector size (logical/physical): 512 bytes / 512 bytes  
I/O size (minimum/optimal): 512 bytes / 512 bytes  
Disk identifier: 0x0008264d  
Device Boot Start End Blocks Id System  
ubuntu.dd1 2048 391167 194560 83 Linux  
Partition 1 does not end on cylinder boundary.  
ubuntu.dd2 393214 4296703 1951745 5 Extended  
Partition 2 does not end on cylinder boundary.  
ubuntu.dd3 4296704 43358207 19530752 83 Linux  
Partition 3 has different physical/logical endings:  
phys=(1023, 235, 33) logical=(2698, 235, 33)  
Partition 3 does not end on cylinder boundary.  
ubuntu.dd4 * 43359435 58621184 7630875 7 HPFS/NTFS  
Partition 4 has different physical/logical beginnings (non-Linux?):  
phys=(1023, 0, 1) logical=(2699, 0, 1)  
Partition 4 has different physical/logical endings:  
phys=(1023, 254, 63) logical=(3648, 254, 63)  
ubuntu.dd5 401625 4289354 1943865 7 HPFS/NTFS  
mount -o loop,offset=$((512*2048)) disk.dd.img /mnt 

对/dev/hdb5 进行备份，生成镜像文件：

#dd if=/dev/hdb5 of=/path/hdb5.image 

经过上面步骤，二进制映像数据的内容是无法直接阅读的，“hdb5.image”文件也无法在物理层上进行更复杂的搜索和对具体的搜索内容进行定位，我们需要在文件逻辑结构层浏览和搜索这些数据。此时，需要对映像数据进行恢复，并且加载到分析用的系统上，使得分析系统可以访问映像数据的文件系统和硬盘结构。

另外，Linux 系统可以将映像文件和虚拟设备关联起来，无需恢复，就可把映像文件当成一个真实的文件系统进行访问，下面就要将刚才得到的映像复制到另外一台计算机上。可以通过两种方法：一种是把映像复制到一个与该映像相同大小的分区里。另一种就是把将它放到一个更大的文件系统中，把磁盘映像文件当作一个文件系统来加载。先创建一个目录作为一个挂载点，然后使用回环设备以只读方式安装它：

# mkdir /mnt/host  
# mount -o loop hdb5.image /mnt/host 

安装完成后，就可以像使用任何其他文件系统一样访问映像文件。

下面看一个用mactime 收集活动时间的例子。

分析嫌疑文件系统的一份只读副本，就能收集mac 时间。在一个使用的系统中，inode的时间是易变的，必须在某个运行进程不经意改变之前收集它们。

从系统的角度来看，文件的索引节点（inode）是文件的唯一标识，也就是说文件系统中的每一个文件都有一个磁盘inode，它包含文件系统处理文件所需要的全部信息，具体内容如下：

文件类型

与文件相关的硬连接的个数

以字节为单位的文件的长度

设备标识符

在文件系统中标识文件的索引号

文件所属用户的UID（User ID，用户标识符）

文件所属组的GID（Group ID，组标识符）

喜欢的朋友可以添加我们的微信账号：

51CTO读书频道二维码

51CTO读书频道活动讨论群：342347198