借助Win Hex进行取证调查.docVIP

用WinHex 进行取证调查 本文介绍如何使用 WinHex这个数据恢复和检测工具来提取和保护数字证据。由于人们都经常需要恢复丢失的数据；或者也许会怀疑员工有违法行为发生，因此硬盘的检测非常重要。 不论是你希望将恢复或检测过的数据作为法庭证据来惩罚违法职员还是仅供自己使用，应该选择一个优秀的取证工具和技术来恢复数据并保证其能成为证据使用。我推荐用户使用WinHex，这是由德国的X-Ways Software Technology AG公司推出的产品。 WinHex是什么? WinHex是一款高级的十六进制编辑工具，它包含了强大的数据恢复和分析能力。价格为139美，与专业的数据取证软件的价格（美元）相比，确实非常便宜，但是WinHex的功能却一点也不输给后者。比如具有简单的用户界面，可以检测Raid磁盘阵列，并且是在法律中指定的可以被法庭用于数字证据检测的工具。当然，对于我们大家来说，基本不需要这么昂贵的解决方案。 数字证据 不论是为了有效地恢复数据还是为了保证调查的有效性，你都应该遵循以下由计算机取证顾问给出的几点原则： 注意以下原则所针对的证据都是不会因电脑断电而丢失的。 尽可能快的获取包含可疑数据的设备。冻结证据越快，你越有可能从中检索到有用的证据。 不要超越你的法律权限取证。你也许有权利封锁员工工作用的电脑，但是当你有任何怀疑时，最好先向律师咨询。 当你获取了可疑的硬盘后，要防止任何操作系统对其上的数据进行任何修改或覆盖。尤其是存储在自由空间、交换文件空间或者空余空间的数据。 不要用可疑硬盘启动，也不要运行其上的任何软件或将任何数据保存在可疑硬盘上。你应该在其它硬盘上启动程序，将可疑磁盘的数据进行备份，并将分析数据保存在其它磁盘或媒介上。 生成原始磁盘的hash 码，如果有可能，还可以使用专业的时间戳服务。 对于包含可疑数据的磁盘进行精确的，逐扇区的拷贝（克隆）。 使用hash 码校验克隆后的数据，确保克隆的准确性。 分析和收集数据。记录所作的分析工作。当然，这一切都是针对克隆的磁盘所作的。在分析数据时，你应该使用某些程序（比如WinHex）来分析磁盘并在不改变文件创建日期和其他文件信息的前提下进行拷贝工作。 你也可以针对文件生成hash 码，校验这个hash 码可以保证源文件与拷贝出的文件是相同的。 按需求打印相应的数据。 可移动磁盘：庭审的一大挑战 目前电脑都可以快速连接外部硬盘驱动器，各种接口的连接设备都有，从便宜的 USB2.0到比较昂贵的IEEE 1394（火线）外置硬盘盒，都是很容易买到的产品。 从取证的角度来说，最大的问题是基于Windows的操作系统在接入外部存储设备后，会自动在其上写入数 据，而不是完全以只读形式加载外部设备。举个例子，当一个外置硬盘加载到系统中，Windows 会首先对 其进行检测，如果外置硬盘上没有回收站文件夹，系统就会自动建立一个。然后根据操作系统的不同，不论是FAT或NTFS文件系统都会写入不同的信息。如果没有特殊的磁盘拷贝硬件（比如Guidance Software公司的 USB Write-PROtect 等产品) 来支持只读形式的加载方式, 那么外置硬盘中的可疑数据就没有足够的可靠性了。 假设你对数据的分析不需要那么专业，那么也许你可以接受上面提到的数据写入的问题。下面几个建议可以帮助你最小化由于加载硬盘带来的数据改变： 在加载外置硬盘前，先关掉所有向硬盘写入数据的程序，比如Norton Protected Recycle Bin。 通过Windows 2000 的计算机管理工具删除驱动器盘符来卸载硬盘（之后也许你需要重新启动一次）。这样做之后，外置硬盘将不会显示在 Windows Explorer 中，但是WinHex 还可以访问这个磁盘（因为WinHex 是通过BIOS访问硬件的）。 创建Hash Hash 码可以说是数据文件的指纹。它可以用来表明两份或者多份数据是否是完全一致的。这种判断是完全 有根据的，因为两个不同的数据文件具有相同的Hash 码的概率相当相当低，这就好像是两个完全不同的人 拥有相同的DNA 一样，几乎不可能出现。 法庭上所认可的Hash 码一般是采用MD5 (128位), 以及SHA (160 位)演算出来的。WinHex 可以计算这两种形式的 hash 码，并可以采用其它文件验证形式，比如校验和(8,16, 32, 64位), 循环冗余校验(16 和32 位)，256位的 SHA，以及 PSCHF (256 位)等校验形式。 Hash 码要比校验和更具有安全性，这是因为理论上讲，犯罪份子可以修改可执行文件，并通过修改其中的 无用数据生成与原可执行文件完全相同的校验和。不过据研究计算机安全的人士，如编写 Computer Forensics 一