电子取证基础 – 作者:qq499101180

特点：客观性、合法性、关联性

与应急响应区别：响应发现问题，取证收集证据。

计算机硬件

内存 ROM RAM

闪存 Flash

外存——移动硬盘、U盘、存储卡、TF卡 、光盘

机械硬盘

硬盘的物理容量为:柱面X磁头X扇区（sector）X512KB

内存卡

如果插入电脑，不显示，但是通电，可以拆开U盘，买同款，或者同款芯片切换，另一种方法是PC-3000直接读取闪存

固态硬盘

出现问题：更换sata信号及电源连接器

电子取证如果进水，可以进行风干然后对nand闪存芯片进行数据抢修恢复取证。

传输效率

单位 位（bit）/秒或字节（byte）/秒

常见接口：1 IDE 基本被淘汰

2 SCSI 服务器树莓派上常见，cpu占用率低，传输效率比ATA接口快

3 Serial ATA 串行方式传输数据

4 SAS 新一代SCSI和SATA相同

5 USB 支持热插拔、扩展性能好

网络基础

分类

作用范围分为：1广域网（WAN）2城域网(MAN) 3 局域网(LAN)

网络拓扑：总线结构、星性结构、环状结构

网络体系结构

1 OSI 分为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层

2 TCP/IP 网络访问层、互连层、传输层、应用层

网络协议

1TCP 三次握手

2 UDP协议

为了在给定的主机上能识别多个目的地址，同时允许多个应用程序在同一台主机上工作并能独立地进行数据包的发送和接收，设计用户数据报协议UDP。

UDP使用底层的互联网协议来传送报文，同IP一样提供不可靠的无连接数据包传输服务。它不提供报文到达确认、排序、及流量控制等功能。

UDP Helper可以实现对指定UDP端口广播报文的中继转发，即将指定UDP端口的广播报文转换为单播报文发送给指定的服务器，起到中继的作用。

多用于控制器、监控器、分布控制器

3 IP协议

IP是Internet Protocol（网际互连协议）的缩写，是TCP/IP体系中的网络层协议。设计IP的目的是提高网络的可扩展性：一是解决互联网问题，实现大规模、异构网络的互联互通；二是分割顶层网络应用和底层网络技术之间的耦合关系，以利于两者的独立发展。根据端到端的设计原则，IP只为主机提供一种无连接、不可靠的、尽力而为的数据包传输服务

IP地址是用来识别网络上的设备，因此，IP地址是由网络地址与主机地址两部分所组成。[2]

网络地址

网络地址可用来识别设备所在的网络，网络地址位于IP地址的前段。当组织或企业申请IP地址时，所获得的并非IP地址，而是取得一个唯一的、能够识别的网络地址。同一网络上的所有设备，都有相同的网络地址。IP路由的功能是根据IP地址中的网络地址，决定要将IP信息包送至所指明的那个网络。[2]

主机地址

主机地址位于IP地址的后段，可用来识别网络上设备。同一网络上的设备都会有相同的网络地址，而各设备之间则是以主机地址来区别。[2]

由于各个网络的规模大小不一，大型的网络应该使用较短的网络地址，以便能使用较多的主机地址；反之，较小的网络则应该使用较长的网络地址。为了符合不同网络规模的需求，IP在设计时便根据网络地址的长度，设计与划分IP地址。[2]

五种地址等级

在设计IP时，着眼于路由与管理上的需求，因此制定了5种IP地址的等级。不过，一般最常用到的便是A、B、C类这三种等级的IP地址。5种等级分别使用不同长度的网络地址，因此适用于大、中，小型网络。IP地址的管理机构可根据申请者的网络规模，决定要赋予哪种等级。

传统IP地址的运行方式，由于以等级来划分，因此称为等级式的划分方式。相对的，后来又产生了无等级的划分方式，也就时CIDR。

本机地址127.0.0.1 0.0.0.0

主机号为0的IP地址从来不分配给任何-一个单个的主机号为0，例如，202.112.7.0就是–个典型的C类网络地址，表示该网络本身。[2]

网络号为0的IP地址是指本网络上的某台主机。例如如果一台主机(IP地址为202.112.7.13)接收到一个IP报文，它的目的地址中网络号部分为0，而主机号部分与它自己的地址匹配(即IP地址为0.0.0.13)，则接收方把该IP地址解释成为本网络的主机地址，并接收该IP数据报。[2]

0.0.0.0代表本主机地址。网络上任何主机都可以用它来表示自己。

win下 查看IP地址方法

ipconfig ipconfig/all

适配器

linux下ifconfig 或者ip addr 或者配置文件

保留地址

一、127.0.0.1

127是一个保留地址，该地址是指电脑本身，主要作用是预留下作为测试使用，用于网络软件测试以及本地机进程间通信。在Windows系统下，该地址还有 一个别名叫 “localhost”，无论是哪个程序，一旦使用该地址发送数据，协议软件会立即返回，不进行任何网络传输，除非出错，包含该网络号的分组是不能够出现 在任何网络上的。

二、10.*.*.*，172.16.*.*――172.31.*.*，192.168.*.*

上面三个网段是私有地址，可以用于自己组网使用，这些地址主要用于企业内部网络中，但不能够在Internet网上使用，Internet网没有这些地址 的路由，而使用这三个网段的计算机要上网必须要通过地址翻译(NAT)，将私有地址翻译成公用合法的IP地址。一些带宽路由器或是其它的网络设备，往往使 用192.168.1.1作为缺省的地址，由于私有个人网络不会与外部互连，所以可以使用随意的IP地址，保留这三个网段的IP 地址使其使用，是为了避免以后接入公网时引起地址混乱。

三、0.0.0.0

严格意义上来说，0.0.0.0已经不是真正意义上的ip地址了。它表示的是这样一个{}，所有不清楚的主机和目的网络。这里的不清楚是指在本机的路由表 里没有特定条目指明如何到达。对本机来说，它就是一个收容所，所有不认识的三无人员，一律送进去。如果你在网络设置中设置了缺省网关，那么windows 系统就会自动产生一个目的地址为0.0.0.0的缺省路由。

四、255.255.255.255

受限制的广播地址，对本机来说，这个地址指本网段内(同一个广播域)的所有主机，该地址用于主机配置过程中IP数据包的目的地址，这时主机可能还不知道它 所在网络的网络掩码，甚至连它的IP地址也还不知道。在任何情况下，路由器都会禁止转发目的地址为受限的广播地址的数据包，这样的数据包仅会出现在本地网 络中。

五、224.0.0.0—239.255.255.255

这是一组组播地址，需要注意它与广播地址的区别，其中224.0.0.1特指所有的主机，224.0.0.2特指所有的路由器，224.0.0.5指所有 的OSPF路由器地址，224.0.0.13指PIMV2路由器的地址。另外从 224.0.0.0――224.0.0.255只能用于局域网中路由器是不会转发的，239.0.0.0――239.255.255.255是私有地址 (与192.168. *.*功能一样)，224.0.1.0—238.255.255.255可以用于Internet上。如果你的主机开启了IRDp(Internet路由 发现协议，使用组播功能)功能，那么你的主机路由表中应该会有这样的一条路由。

六、169.254.*.*

如果你的主机使用了DHCP功能自动获得一个ip地址，那么当你的DHCP服务器发生故障或响应时间太长而超出系统规定的一个时间，windows系统会为你分配这样一个地址。如果你发现你的主机ip地址是个诸如此类的地址，很不幸，十有八九是你的网络不能正常运行了.

操作系统

Windows目录结构

├—WINDOWS

│ ├—system32（存放Windows的系统文件和硬件驱动程序）

│ │ ├—config（用户配置信息和密码信息）

│ │ │ └—systemprofile（系统配置信息，用于恢复系统）

│ │ ├—drivers（用来存放硬件驱动文件，不建议删除）

│ │ ├—spool（用来存放系统打印文件。包括打印的色彩、打印预存等）

│ │ ├—wbem（存放WMI测试程序，用于查看和更改公共信息模型类、实例和方法等。请勿删除）

│ │ ├—IME（用来存放系统输入法文件，类似WINDOWS下的IME文件夹）

│ │ ├—CatRoot（计算机启动测试信息目录，包括了计算机启动时检测的硬软件信息）

│ │ ├—Com（用来存放组件服务文件）

│ │ ├—ReinstallBackups（电脑中硬件的驱动程序备份）

│ │ ├—DllCache（用来存放系统缓存文件。当系统文件被替换时，文件保护机制会复制这个文件夹下的文件去覆盖非系统文件）

│ │ ├—GroupPolicy（组策略文件夹）

│ │

│ ├—system（系统文件夹，用来存放系统虚拟设备文件）

│ ├—$NtUninstall$（每给系统打一个补丁，系统就会自动创建这样的一个目录，可删除）

│ ├—security（系统安全文件夹，用来存放系统重要的数据文件）

│ ├—srchasst（搜索助手文件夹，用来存放系统搜索助手文件，与msagent文件夹类似）

│ ├—repair（系统修复文件夹，用来存放修复系统时所需的配置文件）

│ ├—Downloaded Program Files（下载程序文件夹，用来存放扩展IE功能的ActiveX等插件）

│ ├—inf（用来存放INF文件。INF文件最常见的应用是为硬件设备提供驱动程序服务，不建议删除其中文件）

│ ├—Help（Windows帮助文件）

│ ├—Config（系统配置文件夹，用来存放系统的一些临时配置的文件）

│ ├—msagent（微软助手文件夹，存放动态的卡通形象，协助你更好地使用系统。若觉得没有必要，可直接删除）

│ ├—Cursors（鼠标指针文件夹）

│ ├—Media（声音文件夹，开关机等wav文件存放于此）

│ ├—Mui（多语言包文件夹，用来存放多国语言文件。简体中文系统中这个文件夹默认是空的，但不建议删除此文件夹）

│ ├—java（存放Java运行的组件及其程序文件。不建议删除其中文件）

│ ├—Web

│ │ ├—Wall*****（存放桌面壁纸的文件夹）

│ │

│ ├—addins（系统附加文件夹，用来存放系统附加功能的文件）

│ ├—Connection Wizard（连接向导文件夹，用来存放“Internet连接向导”的相关文件）

│ ├—Driver Cache（驱动缓存文件夹，用来存放系统已知硬件的驱动文件）

│ │ └—i386（Windows操作系统自带的已知硬件驱动文件，可删除以节省空间）

│ ├—TEMP（系统临时文件夹，其中内容可以全部删除）

│ ├—twain_32（扫描仪相关）

│ ├—AppPatch（应用程序修补备份文件夹，用来存放应用程序的修补文件）

│ ├—Debug（系统调试文件夹，用来存放系统运行过程中调试模块的日志文件）

│ ├—Resources（系统资源文件夹，用来存放系统SHELL资源文件，就是我们在桌面上所看到的主题）

│ │ └—Themes（桌面主题都存放于此，可删除无用主题）

│ ├—WinSxS（存储各个版本的Windows XP组件，减少因为DLL文件而引起的配置问题）

│ ├—ime（输入法信息）

│ ├—PCHealth（用来存放协调、配置和管理计算机正常运行的文件）

│ │ └—HelpCtr（帮助和支持）

│ │ ├—Binaries（我们常用的msconfig就在这里哟）

│ ├—Offline Web Pages（脱机浏览文件存放于此）

│ ├—Prefetch（预读取文件夹，用来存放系统已访问过的文件的预读信息(此信息是系统在访问时自动生成的新信息)，以加快文件的访问速度，其扩展名为“PF”。可以将此文件夹中的文件删除）

│ ├—ShellNew

│ ├—Fonts（字体文件夹。要安装某种字体只需将字体文件复制到该目录下即可）

│ ├—pss（用来备份系统启动配置文件的，一般对“Boot.ini”、“System.ini”和“Win.ini”三个文件进行备份，扩展名为“backup”。如果系统原有的这三个文件损坏的话，可以从这里进行恢复。不建议删除）

│ ├—Registration（注册文件夹，用来存放用于系统COM+或者其他组件注册的相关文件。不建议删除这里的文件）

│ └—Downloaded Installations（存放一些使用Windows Installer技术的安装程序，主要用来对程序进行修复等操作）

├—Documents and Settings

│ ├—Default User

│ │ ├—Application Data（通用应用程序数据文件夹。此处存放着已经安装的一些应用程序的专用数据）

│ │ ├—桌面

│ │ ├—Favorites（收藏夹）

│ │ ├—NetHood（网络共享目录）

│ │ ├—My Documents（我的文档）

│ │ ├—PrintHood（打印共享目录）

│ │ ├—Recent（最近打开的文档）

│ │ ├—SendTo（鼠标右键发送到）

│ │ ├—「开始」菜单

│ │ ├—Templates（模板文件夹，可能有Word、Excel等的模板文件）

│ │ └—Local Settings

│ │ ├—Application Data

│ │ └—Temp（临时文件目录。在系统和软件的运行过程中产生的临时文件就存放在于此。需定期清理）

│ │ └—Temporary Internet Files（Internet临时文件夹。需定期清理）

│ ├—All Users（所有用户文件夹，这里的更改对所有用户有效）

│ └—Administrator（系统管理员帐户的文件夹）

├—Program Files

│ ├—Common Files（共享的应用程序文件存放于此）

│ ├—Internet Explorer（IE浏览器）

│ ├—ComPlus Applications（COM+ 组件的配置和跟踪，一般为空）

│ ├—Windows Media Player（WINDOWS媒体播放器）

│ ├—WindowsUpdate（用于Windows的升级，可删除）

│ ├—InstallShield Installation Information

│ ├—Uninstall Information（存放软件卸载信息，删除后可能导致部分软件无法卸载）

├—wmpub（windowsmedia service的目录）

├—boot（一键还原等软件的文件夹）

├—Inetpub（IIS文件夹）

├—Downloads(Flashget默认下载文件夹)

├—System Volume Information(系统还原文件夹)

Linux系统目录结构

/

root，存放root用户的相关文件

home，存放普通用户的相关文件

bin，存放常用命令的目录，如vi，su

sbin，要具有一定权限才可以使用命令

mnt，默认挂载光驱和软驱的目录

etc，存放配置的相关文件

var，存放经常变化的文件，如网络连接的sock文件 、日志

boot，存放引导系统启动的相关文件

usr，安装一个软件的默认目录，相当于windows下的program files

proc，这个目录是一个虚拟的目录，它是系统内存的映射，访问这个目录来获取系统信息

srv ，service缩写。该目录存放一些服务启动之后需要提取的数据

sys，这是linux2.6内核的一个很大的变化，该目录下安装了2.6内核中新出现的一个文件系统

tmp，这个目录是用来存放一些临时文件的

del，类似于windows的设备管理器，把所有的硬件用文件的形式存储

media，系统提供该目录是为了让用户临时挂载别的文件系统的，我们可以将外部的存储挂载在/mnt/上，然后进入该目录就可以查看里面的内容了。

opt，这是给主机额外安装软件所摆放，如安装oracle数据库就可放到该目录下默认为空。

selinux，selinux是一种安全子系统，它能控制程序只能访问特定文件。

MAC OS目录结构

/bin 传统unix命令的存放目录，如ls，rm，mv等。

/sbin 传统unix管理类命令存放目录，如fdisk，ifconfig等等。

/usr 第三方程序安装目录。

/usr/bin, /usr/sbin, /usr/lib，其中/usr/lib目录中存放了共享库（动态链接库）.

/etc. 标准unix系统配置文件存放目录，如用户密码文件/etc/passwd。此目录实际为指向/private/etc的链接。

/dev 设备文件存放目录，如何代表硬盘的/dev/disk0。

/tmp 临时文件存放目录，其权限为所有人任意读写。此目录实际为指向/private/tmp的链接。

/var 存放经常变化的文件，如日志文件。此目录实际为指向/private/var的链接。

/Applications 应用程序目录，默认所有的GUI应用程序都安装在这里；

/Library 系统的数据文件、帮助文件、文档等等；

/Network 网络节点存放目录；

/System 他只包含一个名为Library的目录，这个子目录中存放了系统的绝大部分组件，如各种framework，以及内核模块，字体文件等等。

/Users 存放用户的个人资料和配置。每个用户有自己的单独目录。

/Volumes 文件系统挂载点存放目录。

/cores 内核转储文件存放目录。当一个进程崩溃时，如果系统允许则会产生转储文件。

/private 里面的子目录存放了/tmp, /var, /etc等链接目录的目标目录

Android系统目录结构

Android系统编译后生成三个映像文件，都是用cpio打包，gzip压缩的。

• ramdisk.img     文件系统，包含/system, /data, /bin等目录。kernel启动时负责初始化。

• system.img      系统包和库文件，挂载到/system目录

• userdata.img    用户数据，挂载到/data目录

• Android系统目录结构

• /init                     系统启动文件

• /system

• • app系统应用安装目录

  • bin  常用的系统本地命令（二进制），大部分是toolbox的链接（类似于嵌入式Linux中的busybox）

  • etc            系统配置文件，如hosts

  • font字体目录

  • framework    Java平台架构核心库，jar包和odex优化的文件

  • lib系统底层共享库，.so库文件

  • xbin              不常用的系统管理工具，相当于linux的/sbin

  • media

• • audio　　铃声，提示音等音频文件， .ogg

• • notifications    通知

  • ui                   界面

  • alarms            警告

  • ringtones        铃声

• • usr                用户文件夹

• • keychars

  • keylayout

  • share

  • srec        配置

  • ……

• • vendor

  • build.prop      系统设置和变更属性

• /etc  –>  /system/etc

• /vendor –> /system/vendor

• /dev                       存放设备节点文件

• /proc全局系统信息

• /data用户软件和各种数据

• • local/tmp　临时目录，无权限要求

  • app普通程序安装目录

  • system

• • location     其中的location.gps记录最后的坐标，LocationManager.getLastKnownLocation()数据来自此处

• • data

• • <package_name>

• • files  Context.getFilesDir() ，Context.openFileOutput() 获取的目录，应用安装目录下

  • cacheContext.getCacheDir()  获取的目录，应用安装目录下，系统会自动在内存不足或目录大小达到特定数值时自动清理。

  • shared_pref        Context.getSharedPreferences() 建立的preferences文件（xml）存放目录

• • anr                应用发生ANR（Applicaiton is Not Responding）时，Android将问题点的堆栈写入到traces.txt文件中

  • location

• • gps       GPS location provider配置

• • property        其中persist.sys.timezone记录系统时区

• /sdcard –>/storage/emulated/legacy         SD卡的FAT32文件系统挂载到此目录

• • Android

• • data

• • <package_name>应用的额外数据，应用卸载时自动删除。

• • filesContext.getExternalFilesDir()获取的目录。设置->应用->具体应用详情-> 清除数据  操作对象就是这个目录。

  • cache    Context.getExternalCacheDir()获取的缓存目录。设置->应用->具体应用详情-> 清除缓存  操作对象就是这个目录。

lost+found

yaffs文件系统固有的，类似回收站的文件夹。

ODEX

从apk中提取出来的可运行文件，即原apk中classes.dex通过dex优化生成的一个单独存放的dex文件。启动应用时不需要再从apk包中提取dex，速度更快。还可以删除apk包中的dex减少体积。缺点是体积变大，而且升级某个给Odex的应用可能会出现问题。

ios系统目录结构

/Applications：存放所有的系统APP和来自于Cydia的App，不包括StoreApp。

/Developer：如果一台设备链接XCode后被指定为调试用机，XCode就会在iOS中生成这个目录，其中会含有一些调试需要的工具和数据

/Library：存放一些提供系统支持的数据，其中/Library/MobileSubstrate下存放了所有基于CydiaSubstrate的插件

/System/Library：iOS文件系统中最重要的目录之一，存放大量系统组件。

• /System/Library/Frameworks和/System/Library/PrivateFrameworks：存放iOS中各种framework，其中出现在SDK文档里面的只是冰山一角，还有数不清的功能等待我们开发。

• /System/Library/CoreServices里的SpringBoard.app：iOS桌面管理器(类似于Windows里的explorer)，是用户与系统交流的最重要的中介

/User：用户目录，实际指向/var/mobile。

• /var/mobile/Media/DCIM下存放照片

• /var/mobile/Media/Recordings下存放录音文件

• /var/mobile/Library/SMS下存放短信数据库

• /var/mobile/Library/Mail下存放邮件数据

• /var/mobile/Containers存放StoreApp

其中App的可执行文件在bundle与App中的数据目录分别存放在/var/mobile/Containers/Bundle和/var/mobile/Containers/Data两个不同的目录下。

数据知识

常识

低级格式化是将磁盘内容重新清空，恢复出厂时的状态，划分出的磁道和柱面，再将磁道划分为若干个扇区，每个扇区又划分出标识部分ID、间隔区GAP和数据区DATA、设置交叉因子等。低级格式化能在DOS、Windows NT、linux系统下完成。也可在自写的汇编指令下进行，低级格式化只能整盘进行，硬盘出厂都是经过低格的，实际使用不到万不得已不要使用低格。低级格式化对硬盘有损伤，如果硬盘已有物理坏道，则低级格式化会更加损伤硬盘，加快报废。低格的时间漫长，比如320G硬盘低格可能需要20小时或更多。

高级格式化清除数据（对数据写删除标记），检查扇区，重新初始化引导信息；初始化分区表信息。可以在DOS等操作系统上进行，只能对分区操作。高级格式化只是存储数据，但如果存在坏扇区可能会导致长时间磁盘读写。在DOS下可能有分区识别问题。使用Format命令格式化不会自动修复逻辑坏道，如果发现有坏道，最好使用SCANDISK或WINDOWS系统的磁盘检查功能、还有其它第三方软件进行修复或隐藏，逻辑坏道既可以通过磁盘检查也可以通过低格解决，这取决于是扇区的哪个部分出现了错误。

快速格式化是一种高级格式化，是根据一定的分区格式对磁盘进行标记，并生成引导区信息，初始化空间分配表，标注逻辑坏道等[2]。只删除文件分配表；不检查扇区损坏情况。它可以在MS-DOS等操作系统上进行，快速格式化只能对分区操作。快速格式化也只是存储数据。另外，快速格式化的磁盘在DOS下可能有分区识别问题。部分操作系统没有快速格式化命令。

未分配空间，是指计算机系统内有大量的未分配空间,其多数保存有各种各样的数据.这些数据很多时候不是人为隐藏的而是被操作系统”遗弃”的数据.

分区结构

1分类 MBR硬盘分区、动态硬盘分区、GPT分区、Solaris、APM分区,常用为MBR分区

主引导程序 偏移地址 0H-1BDH

硬盘分区表 偏移地址 1BEH-1FDH

结束标志 55 AA 偏移地址 1FEH-1FFH

MBR硬盘通过分区进行管理，及主分区、扩展分区、非dos分区。

主分区 在mbr分区表只有64字节

文件系统

1 FAT文件系统 DOS/WINDOWS

分为 1dbr区 2fat区 3 fdt分区 4data区

2 NTFS 文件系统

数制

1十进制

2二进制

3八进制

4十六进制

数制间转换：https://tool.oschina.net/hexconvert/

获取

镜像文件取证。

数字检验

数据固定

hash比对，数据的同一性认定。

数据过滤

1 文件名、扩展名、缩略名、摘要、访问、修改、创建时间、逻辑大小、物理大小、路径、原始路径、哈希、文件签名

2 基于关键词和通配符的文件过滤

3 基于哈希的文件的过滤

数据搜索

1字节顺序

2编码与解码

常用编码1ascii 2 unicode、ucs、utf 3url

3关键词搜索（字符串匹配、正则表达式“grep”）

数据恢复

1软件恢复（diskguner、winhex等）

物理修复

1固件修复

2物理故障修复

数据分析

1数字时间

GMT = UTC

时区 中国时间为GMT+8

2系统时间

3文件时间

网络数据分析（wireshark、科来等）

密码破解

开机密码

压缩包密码

office密码

星号密码

浏览器密码等

来源：freebuf.com 2021-01-31 20:10:30 by: qq499101180