两次取证,U盘、SD卡全部卡死,打算好好学一下,这篇文章包括U盘、SD卡取证、还有镜像内存取证。
U盘取证
U盘文件系统分析
首先我们来看一下分别在本机与U盘上建立两个内容一样的文件它们有什么不一样。
发现这两个相同的文件即使大小相同都是9B,但是他们所占字节不同。这就是因为,文件存储是按照簇为单位进行存储的两个盘的文件系统里面的簇是不一样大的,而文本文档他需要最少占用一个簇。test2所在U盘的他一个簇为16字节。
文件系统簇的概念:簇是分配给文件的最小存储单元。由一定数量的连续扇区组成的,这些扇区可以是物理上或者逻辑上连续的。当向磁盘中存写一个文件时,操作系统往往会根据磁盘中的空闲簇,将文件分布不连续的段空间上,形成链式存储结构,并把段与段之间的连接信息保存在FAT中,以便操作系统读取文件时,能够准确地找到各段的位置并正确读出。
簇与扇区:扇区是磁盘最小的物理存储单元,但由于操作系统无法对数目众多的扇区进行寻址,所以操作系统就将相邻的扇区组合在一起,形成一个簇,然后再对簇进行管理。每个簇可以包括2、4、8、16、32或64个扇区。显然,簇是操作系统所使用的逻辑概念,而非磁盘的物理特性。
操作系统引导扇区:OBR(OS Boot Record,操作系统启动目录)通常位于每个分区(partition)的第一个扇区,是操作系统可直接访问的位置,由高级格式化程序产生。OBR通常包括一个引导程序和一个被称为BPB参数块的本分区参数记录表,参数视分区大小、操作系统的类别而不同。引导程序的主要作用是判断本区根目录前两个文件是否为操作系统的引导文件,如果是,就把第一个文件读入内存,并把控制权交给该文件。BPB参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数、分配单元(也成为簇)的大小等重要参数。