数字取证中的Linux平台与取证图像格式解析
1. 开源与商业取证软件对比
在数字取证领域,商业软件供应商能为其软件的正常运行提供一定程度的可辩护性和保障。部分法医公司甚至愿意在法庭上为其软件产品得出的结果作证。而在免费的开源社区中,对于所开发的软件,没有明确的责任主体,软件以“原样”提供,使用者需自行承担风险。显然,开源软件并非适用于所有情况,在很多场景下,它更适合用于教育目的,展示事物的工作原理,而非作为专业商业取证软件的可行替代品。
2. Linux内核与存储设备
传统的Unix系统(Linux继承了其理念)将系统中的一切都视为文件,文件类型包括普通文件、目录、块设备、字符设备、命名管道、硬链接和软/符号链接(类似于Windows中的LNK文件)。对于法医调查人员来说,在检查工作站上,连接的可能包含法医证据的目标磁盘的块设备文件是关注重点。
2.1 内核设备检测
Unix和Linux系统有一个特殊的目录/dev,用于存储与内核识别的设备相对应的特殊文件。早期的Unix和Linux系统需要手动(使用mknod命令)或通过脚本(MAKEDEV)在/dev目录中创建设备文件。随着即插即用硬件的出现,devfs应运而生,它能自动检测新硬件并创建设备文件。为了更好地与用户空间脚本和程序交互,udev被开发出来并取代了devfs。如今,udev已被合并到s
