Day-252-磁盘取证与文件恢复

# Day 273: 磁盘取证与文件恢复

> 应急响应系列第 13 天 | 预计阅读时间：35 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [磁盘取证概述](#磁盘取证概述)
2. [磁盘镜像获取](#磁盘镜像获取)
3. [文件系统分析](#文件系统分析)
4. [文件恢复技术](#文件恢复技术)
5. [时间线分析](#时间线分析)
6. [数据提取与分析](#数据提取与分析)
7. [反取证与对抗](#反取证与对抗)
8. [总结与思考](#总结与思考)
9. [参考资料](#参考资料)

---

## 磁盘取证概述

### 磁盘取证价值

磁盘是数据存储的主要介质，包含丰富的证据：

| 证据类型 | 说明 | 取证价值 |
|----------|------|----------|
| **用户文件** | 文档、图片、邮件 | 数据泄露内容 |
| **系统文件** | 配置、日志 | 系统状态 |
| **删除文件** | 已删除但可恢复 | 攻击者清理痕迹 |
| **未分配空间** | 空闲磁盘空间 | 残留数据 |
| **卷影副本** | Windows 备份 | 历史文件版本 |
| **交换文件** | 页面文件 | 内存内容残留 |
| **休眠文件** | 休眠状态 | 接近内存内容 |

### 磁盘取证流程

```
┌─────────────────────────────────────────────────────────────┐
│                    磁盘取证流程                              │
│                                                             │
│  准备 ──→ 获取 ──→ 验证 ──→ 分析 ──→ 提取 ──→ 报告        │
│   │        │        │        │        │        │            │
│   ▼        ▼        ▼        ▼        ▼        ▼            │
│  工具    镜像    哈希    检查    数据    结论              │
│  授权    复制    验证    恢复    分析    文档              │
└─────────────────────────────────────────────────────────────┘
```

---

## 磁盘镜像获取

### 获取方法

#### 物理镜像

**定义**：逐扇区复制整个物理磁盘

**优点**：
- 完整复制，包括未分配空间
- 包含所有分区
- 最完整证据

**缺点**：
- 需要停机
- 容量大
- 时间长

**命令示例**：
```bash
# Linux dd 命令
dd if=/dev/sda of=/evidence/disk.img bs=4M status=progress

# dc3dd（增强版 dd）
dc3dd if=/dev/sda of=/evidence/disk.img hash=sha256 log=/evidence/dd.log
```

#### 逻辑镜像

**定义**：仅复制文件系统和文件

**优点**：
- 速度快
- 容量小
- 可在线获取

**缺点**：
- 不包含未分配空间
- 无法恢复删除文件

**工具**：
- FTK Imager
- tar/rsync（Linux）
- robocopy（Windows）

#### 稀疏镜像

**定义**：仅复制已使用的扇区

**优点**：
- 容量最小
- 速度快

**缺点**：
- 不包含未分配空间
- 工具支持有限

### 写保护

#### 硬件写保护

**写阻止器（Write Blocker）**：
- 物理设备
- 防止写入操作
- 法庭认可

**常见品牌**：
- Tableau
- WiebeTech
- ICS

#### 软件写保护

**方法**：
```bash
# Linux 只读挂载
mount -o ro /dev/sda1 /mnt/evidence

# Windows 注册表设置
# 设置 USB 存储为只读
```

**注意**：软件写保护不如硬件可靠，法庭可能不接受

### 镜像验证

```bash
# 计算原始磁盘哈希
sha256sum /dev/sda > original.hash

# 计算镜像哈希
sha256sum disk.img > image.hash

# 对比
diff original.hash image.hash

# 或使用专用工具
md5deep -r /dev/sda
md5deep -r disk.img
```

### 镜像格式

| 格式 | 特点 | 工具支持 |
|------|------|----------|
| **RAW (dd)** | 原始扇区复制 | 所有工具 |
| **E01 (EnCase)** | 压缩、校验、元数据 | EnCase、FTK、Autopsy |
| **AFF** | 开源格式、支持压缩 | Autopsy、Sleuth Kit |
| **VMDK/VHD** | 虚拟机格式 | 虚拟化平台 |

---

## 文件系统分析

### 常见文件系统

| 文件系统 | 平台 | 特点 |
|----------|------|------|
| **NTFS** | Windows | 日志、ACL、卷影副本 |
| **FAT32/exFAT** | 通用 | 简单、U 盘常用 |
| **ext4** | Linux | 日志、扩展属性 |
| **APFS** | macOS | 加密、快照 |
| **HFS+** | macOS (旧) | 日志 |

### NTFS 分析

#### MFT（主文件表）

**内容**：
- 所有文件记录
- 文件名、大小、时间戳
- 数据位置

**分析工具**：
```bash
# 使用 MFTParser
python mftparser.py -f /evidence/disk.img

# 使用 Sleuth Kit
fls -f ntfs /evidence/disk.img
```

#### $LogFile

**内容**：
- NTFS 日志
- 文件系统操作记录

**价值**：
- 恢复最近的文件操作
- 即使文件已删除

#### 卷影副本（Shadow Copies）

**查看**：
```powershell
# Windows
vssadmin list shadows

# 挂载卷影副本
mklink /D \\.\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\
```

**取证价值**：
- 历史文件版本
- 已删除文件的旧版本
- 系统还原点

### ext4 分析

#### Journal（日志）

```bash
# 提取日志
debugfs /dev/sda1
debugfs: logdump -a

# 分析文件操作
```

#### 时间戳

```
ext4 时间戳：
- atime: 最后访问时间
- mtime: 最后修改时间
- ctime: 最后状态改变时间
- crtime: 创建时间（部分工具支持）
```

### 时间戳分析

#### MACE 时间

| 时间戳 | 说明 | 取证价值 |
|--------|------|----------|
| **Modified** | 内容修改 | 文件最后修改 |
| **Accessed** | 最后访问 | 可能被关闭 |
| **Changed** | 元数据变更 | 权限、名称变更 |
| **Created** | 创建时间 | 文件创建时间 |

#### 时间戳异常检测

```
可疑迹象：
- 创建时间 > 修改时间（时间倒流）
- 大量文件同一时间创建（批量操作）
- 时间戳被清零（反取证）
- 时间戳与系统事件不符
```

---

## 文件恢复技术

### 删除文件恢复

#### 恢复原理

```
文件删除过程：
1. 文件系统标记为删除（MFT 记录标记）
2. 空间标记为可用
3. 数据仍存在于磁盘
4. 直到被新数据覆盖

恢复窗口：
- 立即删除：几乎 100% 可恢复
- 轻度使用：大部分可恢复
- 重度使用：部分或无法恢复
```

#### 恢复工具

| 工具 | 类型 | 特点 |
|------|------|------|
| **PhotoRec** | 开源 | 文件雕刻，支持多种格式 |
| **TestDisk** | 开源 | 分区恢复、引导修复 |
| **FTK** | 商业 | 完整取证套件 |
| **R-Studio** | 商业 | 强大的恢复能力 |
| **UFS Explorer** | 商业 | 多文件系统支持 |

#### PhotoRec 使用

```bash
# 安装
apt install photorec

# 运行
photorec /evidence/disk.img

# 交互式选择：
# 1. 选择磁盘
# 2. 选择分区类型
# 3. 选择文件系统
# 4. 选择恢复目录
# 5. 开始恢复
```

### 文件雕刻（Carving）

**定义**：不依赖文件系统，直接从原始数据恢复文件

**原理**：
```
1. 搜索文件头签名（Magic Number）
2. 搜索文件尾签名
3. 提取中间数据
4. 验证文件完整性
```

**常见文件签名**：

| 文件类型 | 头签名（Hex） | 尾签名 |
|----------|---------------|--------|
| JPEG | FF D8 FF | FF D9 |
| PNG | 89 50 4E 47 | 41 45 42 60 82 |
| PDF | 25 50 44 46 | 25 25 45 4F 46 |
| ZIP | 50 4B 03 04 | 50 4B 05 06 |
| PE (exe) | 4D 5A | - |

**工具**：
```bash
# foremost
foremost -t all -i disk.img -o /recovery/

# scalpel（foremost 改进版）
scalpel -c scalpel.conf disk.img -o /recovery/

# bulk_extractor（提取特定数据）
bulk_extractor -o /output/ disk.img
```

### 分区恢复

```bash
# TestDisk 恢复分区
testdisk /evidence/disk.img

# 步骤：
# 1. 选择磁盘
# 2. 选择分区表类型
# 3. 分析分区
# 4. 恢复找到的分区
```

---

## 时间线分析

### 时间线构建

```
┌─────────────────────────────────────────────────────────────┐
│                    时间线分析流程                            │
│                                                             │
│  数据收集 ──→ 时间标准化 ──→ 合并 ──→ 分析 ──→ 可视化      │
│     │            │           │       │         │            │
│     ▼            ▼           ▼       ▼         ▼            │
│   MFT         时区转换    排序    模式     图表            │
│   日志        格式统一    去重    识别     报告            │
│   注册表                              关联                 │
└─────────────────────────────────────────────────────────────┘
```

### 工具使用

#### log2timeline/plaso

```bash
# 安装 plaso
apt install plaso-tools

# 创建时间线
log2timeline.py timeline.plaso /evidence/disk.img

# 导出为 CSV
psort.py -o l2tcsv -w timeline.csv timeline.plaso

# 导出为 JSON
psort.py -o json -w timeline.json timeline.plaso
```

#### 时间线分析

```bash
# 使用 timeline 工具（Sleuth Kit）
fls -r -m / /evidence/disk.img > bodyfile
mactime -b bodyfile -d > timeline.txt

# 查看特定时间段
grep "2024-04-12" timeline.txt

# 查看特定文件类型
grep "\.exe" timeline.txt
```

### 时间线分析技巧

#### 关键事件识别

```
关注事件：
1. 可疑文件创建/修改
2. 大量文件删除
3. 系统配置变更
4. 新账户创建
5. 安全软件禁用
6. 异常时间活动
```

#### 时间线关联

```
关联分析：
- 文件创建 → 进程执行 → 网络连接
- 登录事件 → 文件访问 → 数据外传
- 漏洞利用 → 恶意软件部署 → 持久化
```

---

## 数据提取与分析

### 敏感数据搜索

#### 关键词搜索

```bash
# 使用 grep
grep -ri "password" /evidence/mount/

# 使用正则
grep -rE "\d{18}|\d{4}-\d{4}-\d{4}-\d{4}" /evidence/mount/

# 使用 Autopsy 关键词搜索
# 支持正则、模糊匹配、多语言
```

#### 模式匹配

```
敏感数据模式：
- 身份证号：\d{18} 或 \d{17}X
- 手机号：1\d{10}
- 信用卡：\d{4}[- ]?\d{4}[- ]?\d{4}[- ]?\d{4}
- 邮箱：[\w.-]+@[\w.-]+\.\w+
- IP 地址：\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}
```

### 特定数据提取

#### 浏览器数据

```
提取内容：
- 历史记录
- 书签
- Cookie
- 自动填充数据
- 下载历史

位置（Windows）：
C:\Users\<user>\AppData\Local\Google\Chrome\User Data\
```

#### 邮件数据

```
提取内容：
- 邮件内容
- 附件
- 联系人
- 发送记录

位置：
- Outlook: .pst/.ost 文件
- Thunderbird: .mbox 文件
```

#### 即时通讯

```
应用 | 数据位置
-----|----------
微信 | %USERPROFILE%\Documents\WeChat Files\
QQ   | %USERPROFILE%\Documents\Tencent Files\
Skype| %USERPROFILE%\AppData\Roaming\Skype\
```

### 注册表分析（Windows）

#### 关键注册表项

| 注册表项 | 内容 | 取证价值 |
|----------|------|----------|
| SAM | 用户账户哈希 | 凭证 |
| SYSTEM | 系统配置 | 网络、服务 |
| SOFTWARE | 软件配置 | 安装程序 |
| NTUSER.DAT | 用户配置 | 用户活动 |
| UsrClass.dat | 用户类 | 文件关联 |

#### 取证工具

```bash
# Registry Explorer（商业）
# 图形界面，强大的搜索和分析

# regripper（开源）
rip.pl -r SYSTEM -p all > system_report.txt
rip.pl -r SOFTWARE -p all > software_report.txt

# 提取特定键
rip.pl -r NTUSER.DAT -p recentdocs
```

#### 重要信息

```
可提取信息：
- USB 设备历史
- 最近文档
- 运行历史（MRU）
- 网络配置
- 自动启动程序
- 浏览器配置
```

---

## 反取证与对抗

### 常见反取证技术

| 技术 | 说明 | 对抗方法 |
|------|------|----------|
| **数据擦除** | 使用擦除工具 | 尝试文件雕刻 |
| **加密** | 全盘/文件加密 | 获取密钥、内存提取 |
| **隐藏** | 隐藏分区、数据隐藏 | 深度扫描 |
| **时间戳修改** | 修改文件时间 | 多源对比 |
| **数据隐藏** | 替代数据流、隐写 | 专门工具检测 |

### 替代数据流（ADS）

**检测**：
```powershell
# PowerShell 检测 ADS
Get-Item -Path "file.txt" -Stream *

# 列出所有 ADS
dir /r

# 使用 Sleuth Kit
fls -f ntfs -r /evidence/disk.img
```

### 隐写术检测

```bash
# 检测图片隐写
steghide info image.jpg
stegseek image.jpg wordlist.txt

# 检测工具
- StegDetect
- Binwalk
- Foremost
```

### 加密对抗

#### 获取密钥方法

| 方法 | 说明 |
|------|------|
| **内存提取** | 从 RAM 获取解密密钥 |
| **键盘记录** | 记录密码输入 |
| **社会工程** | 说服用户提供 |
| **暴力破解** | 密码破解（耗时） |
| **云密钥** | 从云备份获取 |

#### 工具

```
- Elcomsoft Distributed Password Recovery
- Hashcat（GPU 加速）
- John the Ripper
```

---

## 总结与思考

### 核心要点回顾

1. **镜像获取要完整** - 物理镜像最完整

2. **写保护是必须** - 保证证据完整性

3. **时间线分析强大** - 重建攻击过程

4. **删除文件可恢复** - 攻击者痕迹难完全清除

5. **反取证需对抗** - 有多种方法应对

### 实战建议

1. **准备多种工具** - 不同工具各有优势

2. **建立工作流程** - 标准化操作

3. **持续学习** - 新技术不断出现

4. **文档化** - 记录所有操作

5. **验证结果** - 交叉验证发现

---

## 参考资料

### 工具资源

- **Autopsy** - https://www.autopsy.com/
- **Sleuth Kit** - https://www.sleuthkit.org/
- **Plaso/log2timeline** - https://github.com/log2timeline/plaso

### 学习资源

- **File System Forensic Analysis** - Brian Carrier 著
- **SANS Forensics** - https://www.sans.org/forensics/

---

*365 天信息安全技术系列 | Day 273 | 磁盘取证与文件恢复*