2024年4月26日发(作者:)

.1 证据文件

计算机法证中,经常遇到的一个名词就是证据文件。

很多的案例中,调查人员往往会对一块或者几块磁盘进行操作。例如,有些案件中,

离婚夫妇往往要求把对方的笔记本计算机进行镜像并诉讼;警察部门会到毒贩的家中对嫌

疑人使用的计算机进行取证;外资企业会对违反公司规定的员工进行内部调查和审计,需

要将员工公司使用的计算机数据进行调查。这种情况下,最常见的做法就是由专业人员对

目标计算机硬盘进行一个位对位的复制,可以采用复制到一个文件的方法,也可以将硬盘

数据复制到另外一块硬盘中。

证据文件将以单独文件或连续分段文件的形式,就存储介质的所有扇区进行精确复制

并保存的一种文件格式。由于采用了位对位的复制方法,因此证据文件与嫌疑硬盘数据完

全一致。证据文件有压缩和非压缩两种形式。国内也经常称证据文件为证据镜像文件,或

简称镜像文件。

证据固定即将嫌疑计算机或存储介质的数据进行获取的过程。证据固定必须符合严格

的操作规范,并且需要由具有专业资质的人员使用专业的数据获取工具进行,同时证据文

件格式还要符合法庭接受的标准。

常用的证据文件格式主要有DD镜像格式、EnCase软件E01镜像格式(也称做Expert

Witness证据文件格式)和KFF镜像格式。目前,国际法庭普遍接受上述前两种证据文件

格式。如果需要考虑固定的证据有效,建议采用这两种格式。

同时,为了保证证据文件真实有效,获取证据同时需要利用特定哈希算法(例如MD5

算法)计算并验证证据文件的哈希值。虽然MD5算法被我国科研人员证实为存在漏洞,

但至今各国法庭仍然普遍接受MD5验证值,因此调查人员仍然可以采用MD5算法对证据

文件的进行计算并验证。实践中,需要妥善记录、保存原始的哈希值、校验值,以备法庭

指派的第三方机构重新验证,确保证据文件的有效性。

3.1.1 DD镜像格式

DD镜像是目前被最广泛使用的一种镜像格式,也称成原始格式(RAW Image)。DD

镜像的优点是兼容性强,目前所有磁盘镜像和分析工具都支持DD格式。此外,由于没有

压缩,镜像速度较快。

DD镜像最主要的问题就是非压缩格式,镜像文件与原始证据磁盘容量完全一致。即

便原始证据磁盘仅有很少的数据,也一样需要同样的磁盘容量。很显然,解决DD镜像容

量大问题最好的方法就是采用数据压缩,例如gzip或bzip2。但是这种压缩方式带来的问

题是无法正常访问压缩文件中的数据,因为法证工具需要像访问真实硬盘的文件系统一样

访问镜像文件,而普通压缩软件压缩后的DD镜像必须首先解压缩才能够使用。

DD镜像的另一个问题就是对元数据的记录问题。DD镜像是对嫌疑硬盘进行位对位的

复制方法,因此生成的镜像文件中没有保存额外信息的空间。因此,例如硬盘序列号、调

查员姓名、镜像地点等信息必须保存在镜像文件之外的单独文件.TXT文件中。由于这些信

息没有被保存在镜像文件内部,就有可能出现丢失或与其他硬盘信息混淆的情况。

3.1.2 EnCase镜像格式

E01是法证分析工具 EnCase的一个证据文件格式,较好地解决了DD镜像的一些不