电子取证之DD文件仿真

一、电子取证介绍

1、引言

电子取证是指利用计算机软硬件技术，以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。

2、证据文件格式

位对位镜像:全盘或分区镜像文件

• E01
• Ex01
• DD/Raw Image(原始数据镜像)
• AFF
• Smart

特定数据镜像:逻辑证据文件

• L01
• Lx01
• AD1

虚拟磁盘

• VMDK
• VHD
• VHDX
• VDI

3、文件特点

E01证据文件

• 支持无损压缩，精确镜像源介质中的数据;
• 可记录证据制作过程相关信息;
• 支持对源盘进行哈希计算并将其记录在证据文件内部;
• 支持证据文件的密码保护;
• 符合司法规范，通过美国法庭验证。

Ex01文件

• 支持对数据块的加密(AES 256)，支持采用密码或非对称密钥(公钥/私钥)方式对证据文件进行保护;
• 压缩方法上不需要具体指定某一种压缩方法,压缩功能只提供“启用”和“禁用”。

DD文件

• 兼容性较强，多数取证分析工具均支持该格式;
• 对原始数据进行获取，不经过压缩，速度快。

二、镜像仿真

1、软件准备

（1）FTK Imager

FTK Imager是款由AccessData制作的镜像制作软件，它是免费的一款软件，可以实现多种格式的镜像文件创作，可挂载镜像，创建镜像文件。支持E01、DD、L01、DMG、VMDK、VHD、AD1等几十种镜像格式，使用过程中几乎没有遇到挂在不了的镜像格式。支持获取当前内存镜像、获取受保护的文件，例如直接获取当前系统的注册表文件。

下载地址：https://accessdata.com/product-download/

（2）VMware Workstation Pro

VMware Workstation Pro 是行业标准桌面 Hypervisor，使用它可在 Windows 或 Linux 桌面上运行 Windows、Linux 和 BSD 虚拟机。现在个人版使用是免费的。

下载地址：https://support.broadcom.com/group/ecx/productdownloads?subfamily=VMware Workstation Pro

2、镜像挂载

打开FTK Imager软件，选择菜单File->Image Mouting...

选择需要挂载的DD文件（这里是windows10的全盘镜像），并选择挂载方式为可读可写方式。

点击Mount，发现计算机会出现几个盘符，这样就可以直接访问了

3、仿真

以管理员身份打开Vmware软件，新建虚拟机，选择自定义

选择稍后安装操作系统

选择的对应的系统

选择固件类型，一般Win7以后的系统选UEFI，旧版的系统选BIOS，可以根据磁盘挂载的情况来定，有EFI分区的就是UEFI

磁盘类型，一般选择SATA

这里选择物理磁盘

选择设备

一般，正常的话就能运行对应的操作系统了

三、镜像转换

有时候会发现挂载DD文件的时候会出现多块磁盘的情况，这样直接选其中一个硬盘（磁盘2），系统是无法启动的

为了兼容性，也可以将DD文件转换为VMDK虚拟机磁盘，首先需要安装qemu的工具，windows版、Linux版本均可以。

下载地址：https://www.qemu.org/download/

windows版qemu装好后在安装目录有qemu-img.exe文件，转换命令如下

qemu-img.exe convert -pO vmdk image.dd image.vmdk

转换好后，同样新建虚拟机，使用现有的磁盘，选中刚才转换的image.vmdk

下一步之后就可以正常启动了，VMDK格式会实时修改文件VMDK内容，而FTK Imager挂载的不会修改DD文件的内容，注意做好备份。

四、参考文档

https://www.forensics-wiki.com