1. 引入

数字取证的一个场景,手机损坏后,通过USB拷贝出来一个usbimage.dd文件,这是一个二进制image文件,该如何查看内部有哪些文件呢?

要解决这个问题,就需要用到 数字取证(digital forensic)的工具。

首先,在windows上安装AutoPsy,但并不能扫描出什么东西。做了一些尝试后,发现在linux下用foremost效果不错。所以简单记录下过程。

2. 步骤

  1. 做好备份,正如参考2中提到的

usbimage.dd.dd image is a bit to bit copy of the original USB drive. It’s good practise to make an image/copy of the device for further analysis and keep the original USB drive for evidence

  1. 用file命令查看文件
xxxxxxx $ file usbimage.dd
usbimage.dd: x86 boot sector, code offset 0x58, OEM-ID "MSDOS5.0", reserved sectors 6140, Media descriptor 0xf8, heads 255, hidden sectors 64, sectors 3866816 (volumes > 32 MB) , FAT (32 bit), sectors/FAT 29698, reserved3 0x800000, serial number 0xac4f0498, unlabeled

可以看到这是一个磁盘的内容文件。

  1. 安装 foremost

网上查的很多安装方式,比如用apt(yum)等都失败了。所以从源码自己编译安装比较好:

从参考1处,获取 foremost 源码,然后make安装:

git clone https://github.com/raddyfiy/foremost.git
cd foremost
make
make install
  1. 使用 foremost 对 usbimage.dd 进行恢复
foremost usbimage.dd

命令使用很简单,等待几分钟后,恢复的结果会输出到output文件夹,我们看一下文件夹中都有哪些内容:

xxxxxxx $ ll output/
total 324
-rw-rw-r-- 1 example-user example-user 177057 May 23 16:43 audit.txt
drwxrwxr-- 2 example-user example-user     26 May 23 16:42 avi
drwxrwxr-- 2 example-user example-user   4096 May 23 16:42 bmp
drwxrwxr-- 2 example-user example-user    166 May 23 16:42 dll
drwxrwxr-- 2 example-user example-user     26 May 23 16:42 exe
drwxrwxr-- 2 example-user example-user  32768 May 23 16:42 gif
drwxrwxr-- 2 example-user example-user   8192 May 23 16:42 htm
drwxrwxr-- 2 example-user example-user  20480 May 23 16:42 jpg
drwxrwxr-- 2 example-user example-user     26 May 23 16:42 mpg
drwxrwxr-- 2 example-user example-user   4096 May 23 16:42 ole
drwxrwxr-- 2 example-user example-user     66 May 23 16:42 pdf
drwxrwxr-- 2 example-user example-user  20480 May 23 16:42 png
drwxrwxr-- 2 example-user example-user     26 May 23 16:42 ppt
drwxrwxr-- 2 example-user example-user     86 May 23 16:42 wav
drwxrwxr-- 2 example-user example-user     86 May 23 16:42 zip

看文件夹的名字(avi, bmp, jpg, pdf),就知道恢复出来哪些数据了。

其中 audit.txt 中详细记录了各个文件名及其大小。

3. 总结

foremost是linux下用于恢复文件的工具,能对dd,Safeback,Encase等工具提取出来的image文件进行恢复。

如果用图形化的Autopsy来做取证,还能看到更多比如email之类的信息,当然这又是另一个话题了。

4. 参考

  1. foremost及其安装:https://github.com/raddyfiy/foremost
  2. USB Drive Forensic Analysis with Kali Linux. https://medium.com/@sebnemK/usb-drive-forensic-analysis-with-kali-linux-57d0ef475c9b

使用foremost对磁盘镜像文件做数字取证相关推荐

  1. SM2SM4实现字符串和文件的数字信封(不限制文件大小)

    相比于以前的实现方式,处理了文件超过堆内存限制的文件做数字信封.现在的支持任何大小的数字信封.速度的话基本上1G的文件加密在50s秒左右! 上期的数字信封SM4工具类如果文件太大会报 OutOfMem ...

  2. 【转载】什么是数字取证(Digital forensics)?

    数字取证定义 数字取证(Digital forensics),有时也称作"计算机取证",是将科学调查技术应用于数字犯罪和攻击领域的一门学问.它是法律和商业在互联网时代的一个重要体现 ...

  3. 【Autopsy数字取证篇】Autopsy数字取证软件的下载安装与优化配置

    [Autopsy数字取证篇]Autopsy数字取证软件的下载安装与优化配置 Autopsy是一款免费开源的优秀数字取证(Digital Forensics)软件,提供与其他数字取证工具相同的核心功能, ...

  4. 【Autopsy数字取证篇】Autopsy案例创建与镜像分析详细教程

    [Autopsy数字取证篇]Autopsy案例创建与镜像分析详细教程 Autopsy是一款非常优秀且功能强大的免费开源数字取证分析工具.-[蘇小沐] 文章目录 [Autopsy数字取证篇]Autops ...

  5. 数字取证及其检测工具介绍

    分享一下我老师大神的人工智能教程.零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow 数字取证及其检测工 ...

  6. 数字取证技术 :Windows内存信息提取

    数字取证技术 :Windows内存信息提取.后面会花一部分时间,写一些数字取证相关的文章.攻击技术贴多如牛毛,眼下不管是网安,还是安全厂商, 欠缺的是对取证技术的研究. 大致想了一下,主要会从以下几个 ...

  7. 文件魔术数字_如何使用魔术脚手架自动创建文件并节省时间

    文件魔术数字 Before we begin: This article uses JavaScript / Node.js example code, but you can port these ...

  8. parrot linux iso下载,Parrot 4.7 发布,基于Debian的数字取证和隐私保护Linux发行版

    Lorenzo Faletra宣布发布了Parrot 4.7,这是该项目基于Debian的发行套件的新稳定版本,旨在进行渗透测试,数字取证和隐私保护. 仓库变更 正准备集成未来的LTS分支,因此他们决 ...

  9. 2023年中职网络安全竞赛——数字取证调查(新版)attack解析(详细)

    数字取证调查 任务环境说明: 服务器场景:FTPServer20221010(关闭链接) 服务器场景操作系统:未知 FTP用户名:attack817密码:attack817 分析attack.pcap ...

最新文章

  1. 石头剪刀布python代码_我的第一个python程序,石头剪刀布猜拳游戏
  2. c 正则去除a以外的html,正则表达式:去除除SRC以外的HTML属性
  3. java语言中的数据类型_Java语言中关于数据类型的一些总结
  4. 创建数据库连接字符串的快截方法
  5. 第三篇 Entity Framework Plus 之 Query Cache
  6. stm32外部中断_STM32学习笔记 | 电源管理及低功耗设计要点
  7. 手动安装VMware Tools
  8. 基于sklearn的文本特征提取与分类
  9. python罗马数字转换阿拉伯数字_罗马数字与阿拉伯数字转换
  10. 华为服务器型号分类,华为服务器型号介绍
  11. 注释一下blk_update_request函数
  12. C#实战008:Excel操作-创建新的Excel工作表
  13. 管道通信的基本流程和代码
  14. 64位windows系统的PatchGuard
  15. linux 命令:which详解
  16. 《自然-机器智能》:神经形态技术可使大型深度学习网络节能16倍
  17. filezilla源码安装教程(含错误信息解决方案)
  18. chrome linux依赖包,[WebDriver]Linux/Docker下安装Chrome浏览器和ChromeDriver
  19. linux QQ无法显示图片和自定义头像
  20. windows server2012无法安装IIS,提示:安装一个或多个角色、角色服务或功能失败

热门文章

  1. Shamir 秘密共享方案和Feldman可验证的秘密共享方案
  2. 使用360优化修复系统后无法上网的解决方法
  3. sync是同步还是非同步_1588v2,是怎样实现时钟同步的?
  4. 对递归的理解以及怎么写递归程序
  5. 某传奇手游封包和数据分析
  6. Linux中ifconfig命令失效
  7. 开发 Spring 自定义视图和视图解析器
  8. html去控制手机的按键
  9. fish shell使用及安装入门指南
  10. 内网机无法ping通外网机