1.关于EnCase Imager

EnCase Imager是Guidance Software公司(2017年被OpenText公司收购)推出的一款免费工具,可以制作EnCase证据文件格式的镜像,或将其他格式的镜像转换成EnCase支持的镜像格式。除此之外,EnCase Imager还可以加载本地磁盘或镜像浏览其中的数据,可以擦除磁盘、将镜像文件内容还原到磁盘。因为EnCase在电子取证等行业的重要地位,EnCase Imager也被很多人使用和认可。

虽然EnCase已经更新到了8.07(2018年6月),但是EnCase Imager并未像EnCase一样一直更新。目前从Guidance Software官网可以下载的EnCase Imager最新版本发是7.10,发布时间是2013年,界面保持着浓厚的EnCase V7的风格。

EnCase Imager分为64位和32位版本,两个版本都是单文件绿色软件,双击即可直接运行。需要注意的是,EnCase Imager并非设计用来在目标计算上获取镜像的,EnCase Imager虽然是绿色软件,但运行的时候会释放文件到临时目录,从而造成所在计算机文件系统的更改。

本文将介绍EnCase Imager的基本功能,并以实际案例来说明制作镜像的步骤及相关设置选项的含义。

EnCase Imager主界面
EnCase Imager主界面

2.EnCase Imager支持的格式

2.1源数据格式

EnCase Imager支持处理常见的各种数据类型:

  • 镜像文件(包括E01、L01、Ex01、Lx01、dd、vmdk、vhd等格式)
  • 本地连接的各种磁盘、存储卡
  • 内存数据
  • 远程数据(需要配合LinEn使用)

其中支持镜像文件,主要用来转换格式,以减小原镜像体积,以及添加证据编号、备注信息等各种元数据。

2.2生成的镜像文件格式

EnCase Imager可以生成四种格式的镜像,分别是现行的EnCase证据文件(.Ex01)、现行的EnCase逻辑证据文件(.Lx01)、传统的EnCase证据文件(.E01)及传统的EnCase逻辑证据文件(L01)。

如果需要处理的对象是整个存储设备或整个分区,应该保存成E01或Ex01格式;如果仅仅对源数据中的部分文件制作镜像,应该选择L01或Lx01格式。

Ex01及Lx01格式是EnCase V7引进的新格式,该格式最大的变化是支持数据加密,设置密码后若不知道密码,无法读取镜像中的数据。E01及L01文件虽然也支持添加密码,但是密码仅用来限制镜像文件的打开,数据部分并未真正加密,很多取证工具可以直接忽略E01及L01文件的密码。

如果工作中要使用其他取证工具进行分析,为了保证兼容性,建议选择E01及L01格式,否则可以使用Ex01及Lx01格式。

3.使用EnCase Imager制作证据文件

接下来以一个实际案例来来介绍EnCase Imager的主要功能——制作磁盘镜像。实验选用了一个朗科32G优盘,序列号为AA00000000007275。

3.1添加设备

在主界面点击“Add Local Device”,弹出添加本地设备的窗口,串口左边有6个可勾选项,点击某个选项,右边会出现对应的说明。如下图所示。

添加本地设备选项
添加本地设备选项

六个勾选项的含义如下:

  • Detect Tableau hardware
    检测Tableau硬件。如果没有连接Tableau设备,建议不要勾选。
  • Only show Write-blocked
    只显示只读设备。勾选后后续的设备列表中仅显示只读设备。
  • Detect leagacy FastBloc
    检测传统的FastBloc设备。如果没有连接FastBloc设备,建议不要勾选。
  • Enable DCO Removal
    解除DCO限制。勾选后会忽略一些硬盘的DCO设置,可处理隐藏空间。
  • Enable Physical Memory
    物理内存获取。勾选后后续的设备列表中会出现物理内存,如果需要制作内存镜像则必须勾选。
  • Enable Process Memory
    进程内存获取。勾选后后续的设备列表中会出现各进程的列表,如果需要制作各进程内存镜像则必须勾选。

我们直接点击“下一步”,并且勾选序号为29、磁盘序号为14的优盘。注意不要勾选成了序号为30的那一项,否则只会加载优盘中的整个分区内容,卷引导记录等信息将不被包括。如下图所示。

设备列表
设备列表

点击“完成”后,会自动打开“Evidence”标签页,可以看到磁盘14已经添加到证据列表中。如下图所示。

证据列表
证据列表

3.2开始制作镜像

双击证据列表中的设备名“14”,或选中该项,点击“OPEN”,即可打开并浏览优盘中的数据。

打开该证据后,点击菜单栏的“Acquire”→“Acquire”即可开始制作镜像。需要注意的是,如果要制作整个优盘的镜像,树形面板中选中的必须是整个设备,对于本案例来说,选中的必须是“Entry”或“14”,否则接下来默认制作的仅仅是分区部分的镜像。

开始制作镜像
开始制作镜像

3.3设置证据文件参数

接下来需要设置证据文件的参数等信息,弹出的页面中包括“Location”、“Format” 及“Advanced”三部分设置选项。这些设置项是制作证据文件的关键。

保存位置等设置项

保存位置等设置项
保存位置等设置项
  • Name
    设备名。默认也是镜像文件名。
  • Case Number
    案件编号。
  • Evidence Number
    证据编号。
  • Examiner Name
    检验人员姓名。这一项是必填项。
  • Note
    备注信息。
  • Output Path
    输出路径。证据文件保存路径。
  • Alternate Path
    备用路径。当镜像保存路径空间不够时,会保存到此位置。

证据文件格式等设置项

证据文件格式等设置项
证据文件格式等设置项
  • Evidence File Format
    证据文件格式。可以选择E01或Ex01格式。
  • Compression
    压缩。可以选择启用或不启用数据压缩。
  • Verification
    校验哈希。用于计算数据区域的哈希值并保存在镜像文件的元数据中,可选择不校验或或MD5校验、SHA-1校验、MD5及SHA-1同时校验。
  • File Segment Size(MB)
    分段大小。设置单个证据文件大小,大于此值则自动生成E02、E03或Ex02、Ex03等文件。此值默认为2048(MB),最小值为30(MB)。
  • Password
    密码。此选项仅对E01格式有效,设置后,后续使用EnCase加载镜像文件需要此密码。
  • EnCryption
    加密。此选项仅针对Ex01格式有效,可以对生成的镜像进行加密。

高级设置选项

高级设置选项
高级设置选项
  • Block size(Sectors)
    块大小。生成镜像文件时候的分块大小,保持默认即可。
  • Error Granularity
    错误粒度。当设备遇到坏道、坏块时记录这些区域的精细程度,可以选择标准(standard)或精细(Exhaustive),保持默认即可。
  • Start Sector
    起始扇区。如果制作的是整个设备的镜像,此值为“0”。
  • Stop Sector
    结束扇区。
  • Read ahead
    预读取。本人使用过程中一直不可选,暂时不知道使用场景。
  • keep GUID
    极路GUID,暂时没有找到相关资料。
  • Threads
    线程。可以设置读取线程和工作线程,读取线程默认为1,工作线程默认为5,一般保持默认。

本案例中,镜像格式选择了兼容性比较好的E01,名称填写了“thumb”,案件编号填写了“20180616001”,证据编号填写了“20180616001-000-001”,操作人员填写了我的名字“胡壮”,备注信息填写了“EnCase Imager测试”,镜像保存路径选择了D盘根目录。

和FTK Imager等其他工具不同,EnCase Imager不允许操作人员字段留空。虽然其他字段可以留空,但是为了后续工作方便,强烈建议大家在制作镜像时尽量将所有字段按照实际情况填写完整。

一切设置好后,点击“确认”即可开始制作镜像,此时EnCase Imager窗口右下角会显示剩余时间。制作完成后,EnCase Imager会对镜像进行校验并替换掉证据列表中的源设备,后续的浏览操作全部基于镜像文件,校验时EnCase Imager窗口右下角同样会显示剩余时间。如下图所示。

镜像中
镜像中		校验中
校验中

3.4 EnCase Imager证据文件中包含的数据

镜像制作完毕后,在EnCase Imager窗口的证据列表中,可以查看镜像中的详细信息。如下图所示。

镜像中包含的信息
镜像中包含的信息

镜像中记录的一些信息如下:

  • 证据名称:thumb
  • 优盘名称:Netac
  • 优盘序列号:AA00000000007275
  • 优盘型号:OnlyDisk
  • 案件编号:20180616001
  • 操作人员:胡壮
  • 证据编号:20180616001-000-001
  • 备注信息:EnCase Imager 测试
  • 源数据MD5:185d0bdb0398fd6711fe65ec3920dfca
  • 源数据SHA-1:896025a0f3a6ba4544a8dcf08d99cfa67317cd6f
  • 制作镜像的EnCase版本:7.09
  • 制作镜像时候操作系统版本:Windows 7
  • 压缩级别:最好

4. 制作逻辑证据文件

4.1选择需要的文件

制作逻辑证据文件,步骤与制作证据文件镜像比较相似,将所在磁盘或分区添加到证据列表,并打开证据进行浏览。和EnCase不同,EnCase Imager不允许直接将单个文件添加作为证据。

勾选需要的文件,点击菜单栏的“Acquire”→“Create Logical Evidence file”或列表面板右击选择“Acquire”→“Create Logical Evidence file”即可开始制作逻辑证据文件。本案例中勾选了“.disk”目录下的5个文件制作逻辑证据文件。如下图所示。

制作逻辑证据文件
制作逻辑证据文件

4.2设置逻辑证据参数

制作逻辑证据文件,需要设置的参数比制作证据文件稍微少一些,但这些参数比制作证据文件时更难理解。

保存位置等设置项

保存位置等设置项
保存位置等设置项
  • Name
    设备名。默认也是逻辑证据文件文件名。
  • Case Number
    案件编号。
  • Evidence Number
    证据编号。
  • Examiner Name
    检验人员姓名。这是必填项。
  • Note
    备注信息。
  • Add to existing evidence file
    追加到现有证据文件。将选中的文件添加都现存的某个逻辑证据文件,勾选此项后上面的信息无法填写。
  • Output Path
    输出路径。逻辑证据文件保存路径。

文件信息

文件信息
文件信息
  • Source
    数据源。显示将要制作逻辑证据文件的文件的来源。
  • Files
    文件。显示将要制作逻辑证据文件的文件的数量及总大小。
  • Target folder within Evidence File
    证据文件中的目标文件夹。可选项,未填写时,所有文件直接保存在逻辑证据文件中,填写后,文件保存在逻辑证据文件中的对应文件夹中。
  • Include contents of files
    包括文件内容。如果不勾选,创建的逻辑证据文件中不包括文件内容部分,只包括属性等部分内容,适用于大文件且不关心文件内容本身。
  • Include contents of folder objects
    包括文件夹内容。
  • File in use
    被占用的文件。
  • Lock file when completed
    完成后锁定文件。勾选后生成的逻辑证据文件不可追加新内容。
  • Include original extents
    包括原始位置信息。勾选后,生成的记录文件中会包含文件的物理位置、物理扇区等信息。

上面这部分选项可以根据实际需要勾选。

逻辑证据格式

逻辑证据格式
逻辑证据格式
  • Evidence File Format
    逻辑证据文件格式。可以选择L01或Lx01。
  • Entry Hash
    文件哈希。可以选择是否计算机勾选文件(或文件夹)的MD5值。
  • Compression
    压缩。可以选择镜像文件是否压缩。
  • File Segment Size(MB)
    分段大小。和制作证据文件时候的用法一致。
  • Encryption
    加密。仅对Lx01格式有效,可以对数据部分进行加密。

本案例中,逻辑证据格式选择了L01,名称填写了“disk目录文件”,案件编号填写了“20180616001”,证据编号填写了“20180616001-000-002”,操作人员填写了我的名字“胡壮”,备注信息填写了“重要文件”,“Target folder within Evidence File”填写了“disk目录文件”,镜像保存路径选择了D盘根目录,文件相关的设置全部勾选。

4.3逻辑证据文件包含的内容

制作好了逻辑证据文件,回到EnCase Imager的证据列表界面,将D盘的“disk目录文件.L01”拖到EnCase Imager窗口然松开鼠标,即可将将制作的逻辑证据文件添加到EnCase Imager。为了方便待会进行对比,才次将测试优盘添加到证据列表(制作完证据文件后最初添加进证据列表中的优盘已经被证据文件thumb.E01替代了)。如下图所示。

添加逻辑证据文件到EnCase Imager
添加逻辑证据文件到EnCase Imager

通过观察,对比上文中加载的证据文件截图,可以发现逻辑证据文件是没有整个数据部分的哈希值的,也无法无法记录诸如原始设备的序列号等信息。

同时勾选证据列表中的证据文件“thumb”、逻辑证据文件“disk目录文件”及磁盘编号为“14”的优盘,然后点击“OPEN”按钮,同时加载三个证据项目进行浏览。如下图所示。

同时打开多个证据
同时打开多个证据

点击证据“thumb”第一分区的“.disk”目录左边的遍历按钮(正方形勾选框左边的五边形),然后按住Ctrl键不放,接下来点击证据“disk目录文件”的“disk目录文件”和证据“14”第一分区“.disk”目录录左边的遍历按钮,同时在右边的列表面板列出三个目录中的文件。如下图所示。

同时浏览多个目录文件
同时浏览多个目录文件

接下来分别比较“thumb\C\.disk\casper-uuid-generic”、“disk目录文件\disk目录文件\casper-uuid-generic”及“14\C\.disk\casper-uuid-generic”三个文件。如下图所示。

thumb\C\.disk\casper-uuid-generic
thumb\C\.disk\casper-uuid-generic
disk目录文件\disk目录文件\casper-uuid-generic
disk目录文件\disk目录文件\casper-uuid-generic
14\C\.disk\casper-uuid-generic
14\C\.disk\casper-uuid-generic

通过对比,证据文件中的“casper-uuid-generic”和另外两个证据中的对应文件相比多了File Acquired时间,而逻辑证据文件中的“casper-uuid-generic”和另外两个证据中的对应文件相比则多了MD5值。另外一个出不明显的地方是,逻辑证据文件中保存的文件无法查看文件在文件系统的路径,而证据文件则不存在此问题。

5.总结

EnCase Imager的功能基本相当于没有插加密狗或导入授权证书文件的EnCase,但是EnCase可以使用条件及过滤器对文件进行筛选。和其他镜像工具不不同,EnCase Imager虽然支持浏览本地磁盘会镜像文件中的文件,且浏览的时候可以直接显示部分删除的文件,但EnCase Imager仅支持查看文件的目录结构及各项属性,不支持对文件进行任何操作,包括文件的预览及导出。

EnCase Imager制作的镜像文件中,保存的元数据比其他镜像工具要多,例如磁盘的型号、序列号,包括FTK Imager在内的大部分镜像工具制作镜像时都不会保存。

本文仅仅是蜻蜓点水般地介绍了EnCase Imager的基本功能,算是抛砖引玉,诸如内存镜像、镜像还原、哈希计算、EnScript等功能,大家可以自己去摸索。

标签: EnCase, Imager, 镜像

添加新评论