計算機取證工具應用-數據恢復（實驗部分）

計算機取證工具應用-數據恢復（實驗部分）

實驗目的

• 1.學習使用經常使用的計算機取證工具
• 2.在Centos_7環境下學會使用dd指令清除、填充、備份磁盤數據
• 3.在windows xp系統下學會使用DiskGenius工具以及easyrecovry工具恢復硬盤數據
• 4.在win7系統下學會使用encase取證工具恢復文件並尋找有用線索
• 5.理解數據恢復的基本原理
• 6.理解數據邏輯存儲與物理儲存的區別

實驗內容

• DiskGenius恢復硬盤數據
• EasyRecovery恢復硬盤數據
• 文件的刪除與恢復
• 利用dd命令擦除數據
• 利用dd命令備份數據
• 恢復導出已刪除的文件
• 恢復刪除的JPG圖片

DiskGenius恢復硬盤數據

環境準備

• 操做系統：Windows_xp SP3
• 計算機取證工具：DiskGenius
  • 官方下載連接：x86，x64
  • DiskGenius是一款硬盤分區及數據恢復軟件。它是在最初的DOS版的基礎上開發而成的。Windows版本的DiskGenius軟件，除了繼承並加強了DOS版的大部分功能外(少部分沒有實現的功能將會陸續加入)，還增長了許多新的功能。如：已刪除文件恢復、分區複製、分區備份、硬盤複製等功能。另外還增長了對VMWare、Virtual PC、VirtualBox虛擬硬盤的支持。更多功能正在製做並在不斷完善中。

實驗過程

• 雙擊DisKGenius.exe打開軟件
• 選擇D盤，而後選擇「恢復文件」選項
• 在彈出的對話框中選擇「選擇文件類型」，以此選定咱們將要恢復的文件類型，此處咱們選擇全部的類型，而後點擊開始，出現以下進度條
• 單擊本地磁盤D，找到要恢復的文件Dd2.mp3如圖
• 而後選中該文件，右鍵複製到「桌面」，便可在桌面上恢復出該文件

遇到問題

在點擊恢復文件後，掃描不到以前刪除的文件

• 當時卡了一下子，才發現這個工具在使用恢復文件以前，要選擇D盤，由於實驗環境中將D盤的文件刪除了，須要咱們將D盤的刪除文件恢復出來
• 並且實驗要恢復到桌面，待恢復盤是不能做爲恢復文件的輸出地址的

EasyRecovery恢復硬盤數據

環境準備

• 操做系統：Windows_xp SP3
• 計算機取證工具：EasyRecovery
  • 官方下載連接：點擊此處

實驗過程

• 準備好軟件後，點擊EasyRecovery.exe進行安裝
• 涉及到版權激活等問題，因此進入運行界面後，點擊「做爲演示運行」
• 而後點擊運行，看見以下圖所示的界面後選擇「硬盤驅動器」（由於此次實驗所需作的事硬盤數據恢復），而後選擇D盤
• 選擇「恢復已刪除的文件」
• 而後會有個相似確認的界面，單擊繼續，找到恢復文件裏的Dd2.mp3，就能夠進行恢復了
  • 對比以前的DiskGenius工具能夠發現，EasyRecovery掃描速度很是快，能夠快速找到要恢復的文件

遇到問題

• 在作到選擇「恢復已刪除的文件」這一步驟時，其實還有幾個勾選項不要忽略
  • 看前圖能夠發現，這些表明文件系統類型，因此選以前必定得查看本機類文件型
  • 在本次實驗任務重，文件系統選擇NTFS（這個能夠右鍵磁盤屬性查看）

文件的刪除與恢復

環境準備

• 操做系統：Windows_xp SP3
• 計算機取證工具：EasyRecoveryPro
  • 官方下載連接：點擊此處

實驗過程

• 實驗內容和「EasyRecovery恢復硬盤數據」如出一轍啊
• 也是對EasyRecoveryPro工具的使用

遇到問題

• 感受這個實驗提供的虛擬機平臺是有問題的
• 雖然操做步和前者驟基本同樣，內容也基本同樣，可是最後的作出來的結果，指導書與實際狀況並不同，並不能找到指導書中顯示的那些被刪除的文件

利用dd命令擦除數據

環境準備

• 操做系統：Centos_7
• 計算機取證工具：dd命令
  • 在Linux下全部的硬件都表示爲文件，因此dd能夠進行任何複製、克隆磁盤（文件），磁帶（文件），或映像文件。dd的複製是徹底基於二進制的物理複製，從硬盤的第一個字節道最後一個字節，徹底同樣的克隆了一遍。

實驗過程

• 用零擦出磁盤
  • 指令：dd if=/dev/zero of=/dev/hda1 bs=4k
  • 即用0填充磁盤hda1，將其數據抹掉
  • bs=4k表明dd一次寫入（亦可讀取）4千字節
• 銷燬磁盤數據
  • 指令：dd if=/dev/urandom of=/dev/hda1
  • 使用的是隨機數填充磁盤數據的方法，這樣能夠銷燬磁盤數據，使其不可恢復

利用dd命令備份數據

環境準備

• 操做系統：Centos_7
• 計算機取證工具：dd命令
• dd指令選項詳解
  • if=file：輸入文件名，缺省爲標準輸入
  • of=file：輸出文件名，缺省爲標準輸出
  • ibs=bytes：一次讀入 bytes 個字節（即一個塊大小爲 bytes 個字節）
  • obs=bytes：一次寫 bytes 個字節（即一個塊大小爲 bytes 個字節）
  • bs=bytes：同時設置讀寫塊的大小爲 bytes ，可代替 ibs 和 obs
  • cbs=bytes：一次轉換 bytes 個字節，即轉換緩衝區大小
  • skip=blocks：從輸入文件開頭跳過 blocks 個塊後再開始複製
  • seek=blocks：從輸出文件開頭跳過 blocks 個塊後再開始複製。（一般只有當輸出文件是磁盤或磁帶時纔有效）
  • count=blocks：僅拷貝 blocks 個塊，塊大小等於 ibs 指定的字節數
  • conv=ASCII：把EBCDIC碼轉換爲ASCIl碼。
  • conv=ebcdic：把ASCIl碼轉換爲EBCDIC碼。
  • conv=ibm：把ASCIl碼轉換爲alternate EBCDIC碼。
  • conv=block：把變更位轉換成固定字符。
  • conv=ublock：把固定位轉換成變更位。
  • conv=ucase：把字母由小寫轉換爲大寫。
  • conv=lcase：把字母由大寫轉換爲小寫。
  • conv=notrunc：不截短輸出文件。
  • conv=swab：交換每一對輸入字節。
  • conv=noerror：出錯時不中止處理。
  • conv=sync：把每一個輸入記錄的大小都調到ibs的大小（用NUL填充）。
  • 注意：指定數字的地方若如下列字符結尾乘以相應的數字：b=512, c=1, k=1024, w=2, xm=number m，kB=1000，K=1024，MB=10001000，M=10241024，GB=100010001000，G=102410241024

實驗過程

• 備份dev/hda1的全盤數據
  • 指令：dd if=/dev/hda1 | gzip > /dev/shm/image.gz
  • if指令用於輸入文件名，表示要對if後面的文件進行操做
  • 使用gzip工具將其進行壓縮，而後保存在/dev/shm文件夾下並命名爲image.gz
• 恢復被壓縮的備份文件
  • 指令：Gzip -dc /dev/shm/image.gz | dd of=/dev/hda1
  • 再次使用Gzip工具將/dev/shm文件夾下的image.gz這個壓縮文件解壓
  • of指令用於輸出文件名，即被解壓的hda1存放在dev文件夾下
• 建立一個硬盤
  • 指令：dd if=/dev/hda1 of=~/sdadisk.img
  • 這是建立一個sda硬盤的image命令
• 將硬盤的映像文件恢復到另外一個硬盤
  • 指令：dd if=sdadisk.img of=tmpfs
  • 將sdadisk.img映像文件恢復到tmpfs這個硬盤下

遇到問題

• 須要注意hda1中的1是數字，不是字母l

恢復導出已刪除的文件

環境準備

• 操做系統：Windows7
• 計算機取證工具：Encase

實驗過程

• 確認目標：本實驗指望能在已經制做成E01鏡像文件的SD卡上找出已刪除的文件，並恢復和導出已經被刪除的文件；經過查看文件找到有效信息
• 使用encase打開該SD卡鏡像文件，建立案例
• 打開DOC-工做文檔文件夾，選中被刪除的文件
• encase中，被刪除的文件右下角會有一個「紅圈白底紅斜線」的標誌，表明該文件的文件名仍然無缺，起始的數據頭仍然存在
• 右鍵進行恢復：
  • 發信人選擇：全部選中的文件（注意若是選擇高亮顯示的文件那麼恢復的僅有數據條變藍的文件）
  • 收信人選擇：單獨的文件（表明被恢復的文件各自獨立）
  • 複製選擇：僅邏輯文件
  • 字符屏蔽選擇：無
  • 目的：自行指定被恢復的文件存放在桌面上
• 導入成功，桌面出現咱們勾選的本來被刪除的文件：
• 接下來咱們就能夠打開文件找破案線索了

遇到問題

• 虛擬機上沒有office工具以便打開咱們恢復的文件，致使沒法查看文件內容，沒法分析其中含有的可用有效信息
• 因爲虛擬機時間有限制，網速又慢，因此直接從網上下載office工具並不現實，這也算是該虛擬環境的一個大缺陷

恢復刪除的JPG圖片

環境準備

• 操做系統：win7
• 計算機取證工具：Encase v6.19.7

實驗過程

• 使用encase打開後綴名爲.E01的證據文件
• 建立一個新案例，案例信息包括如下內容：
  • 案例名稱
  • 調查人員姓名
  • 默認導出文件夾（被encase恢復的文件會存放在此文件夾中）
  • 臨時的文件夾
  • 索引文件夾
• 建立完成後，會彈出案例驗證成功的窗口：
• 而後由於咱們要恢復jpg圖片，因此選中PIC文件夾，出現如下5張圖片：
• 勾選中這5張圖片，右鍵選擇「複製/恢復」
  • 發信人選擇：全部選中的文件
  • 收信人選擇：單獨的文件
  • 複製選擇：僅邏輯文件
  • 字符屏蔽選擇：無
  • 目的：能夠直接默認導出文件夾（C:\program files(x86)\Encase6\enxport），也能夠自行指定存放位置
• 恢復完成後，圖片恢復在C:\program files(x86)\Encase6\enxport下，查看確認：

遇到問題

• 須要注意，Encase不必定能徹底恢復一個被刪除文件，由於encase只能恢復數據未被覆蓋的文件

成員說明

成員分工

• 20145221高其：完成2-3個實驗任務，完成1個實踐任務，撰寫博客，協調小組各項任務
• 20145301趙嘉鑫：完成2-3個實驗任務，完成1個實踐任務，撰寫博客
• 20145302張薇：完成2-3個實驗任務，完成1個實踐任務，撰寫博客

成員工做量

成員（3人）	實驗（100%）	實踐（100%）	博客（100%）
20145221高其	33%	10%	18%
20145301趙嘉鑫	34%	10%	15%
20145302張薇	33%	10%	17%

• 說明：
  • 《課程設計》分爲2部分，實驗部分和實踐部分
  • 前期咱們以指導書爲基礎，在實驗平臺上完成了7個實驗任務，因此實驗部分完成率總和已達100%
  • 關於實踐，咱們已經在本身的主機上裝好了相應軟件，因此每人完成量基本在10%左右；雖然版本可能與實驗平臺所配置的不一樣，也可能存在版權使用的問題，但這是咱們下週亟待考慮解決的問題，不在此贅述
  • 預期發佈2篇博客《計算機取證工具應用-數據恢復（實驗部分）》與《計算機取證工具應用-數據恢復（實踐部分）》，因此博客完成率總和已達50%

成員考勤表

	5月10日	5月11日	5月14日	5月15日	5月17日	5月18日	5月21日	5月22日	5月24日	5月25日
20145221高其	正常	正常	正常	正常	正常	正常
20145301趙嘉鑫	正常	正常	正常	正常	正常	正常
20145302張薇	正常	正常	正常	正常	正常	正常

感想總結

• 本次《課程設計》咱們的選題是：計算機取證工具應用-數據恢復
• 在第一開始咱們對取證工具的概念很模糊，經過學習與實踐，咱們發現取證工具其實離咱們的生活很近，尤爲有一些軟件工具被司法、政府、軍隊、公司監查等部門普遍採用， 經過這些取證工具，調查員能夠輕鬆管理計算機中的大量證據，其中包括已經刪除的文件、閒散文件以及未分配空間中的數據。面對計算機網絡高速發展的時代，咱們學好如何使用取證工具也有利於解決咱們生活中遇到的實際問題，頗有現實意義。
• 本週咱們將這些工具成功應用在實驗環境中，恢復了一些誤刪除的文件，這一點對於咱們平時使用電腦也是頗有幫助的一個工具（不免存在誤刪的狀況嘛）；但畢竟這是在實驗環境的虛擬機中完成的，因此下週咱們小組的任務是在本身的電腦中運用DiskGenius、EasyRecovry、Encase等取證工具，真正的把實驗內容運用到本身的實際生活中，作到學以至用。