磁盘镜像工具测评报告
1、什么是镜像文件?
镜像文件是指写入了原始存储介质中的所有数据的文件,它的特征是与原始介质中的字节完全一致。镜像文件是一个完整的复制品,包含了一个操作系统、应用程序、配置文件以及其他相关的数据和文件,可以被用来部署相同的系统和软件,并配置到一个或多个计算机中,从而达到快速批量部署的目的。在软件开发和运维领域中,镜像文件也常被用来创建虚拟机镜像,容器镜像或者服务器镜像。这些镜像文件可以被用来快速创建以及部署环境,从而提高了软件开发和运维的效率。在数字取证领域,镜像是保护并提取证据的一种有效方式。在电子数据取证过程中,保护数据在法律意义上的完整性是非常关键的,而创建镜像就是一种非常有效的保护方式,它在保护原始数据的完整性的同时,将可能的错误限定在了证据副本上。
2、镜像文件的格式有哪些?
镜像文件的格式一般分为两种:原始格式和专有格式。原始格式镜像文件是一种最基本的镜像文件格式,它一种将整个文件系统打包成一个文件,按照磁盘原样位对位复制而没有压缩的格式,最广泛使用的原始格式是DD格式;专有格式是指某些专业镜像工具自己专有的镜像格式,如E01,Ex01,X-Ways Forensics CTR等等。
DD镜像一般以.dd、.001为后缀为主。
| 优缺点 | 说明 |
|---|---|
| DD镜像优点 | DD镜像的优点是兼容性强,目前所有磁盘镜像和分析工具都支持DD格式。镜像制作速度较快。 |
| DD镜像缺点 | 没有压缩,镜像文件与原始证据磁盘容量完全一致。即便原始证据磁盘仅有很少的数据,也一样需要同样的磁盘容量。(在正常情况下,存镜像的盘需要大于镜像,否则如果有缓存且原始盘和存储盘一样大,就不能存进去) |
E01和EX01是电子数据取证分析工具EnCase的证据文件格式。国内外的取证软件大体上都支持E01镜像的制作。一般是.E01、.e01后缀。EX01格式用Encase 7的发行版替换了.E01格式。新格式提供了高级安全功能,如AES256密钥对或密码加密、LZ压缩,以及MD5或SHA-1哈希的选项。X-Ways Forensics CTR则是X-Ways Forensics的文件格式。
此外,比较常见的文件格式还有ISO、VMDK、Docker、IMG、DMG、NRG等等,简单介绍如下表所示。
| 文件格式 | 说明 |
|---|---|
| ISO | ISO镜像文件是一种标准的光盘映像格式,被广泛用于光盘制作和光盘备份。ISO格式的镜像文件可以通过光盘制作软件或者虚拟光驱软件进行挂载和读取; |
| VMDK | VMDK镜像文件是一种虚拟机磁盘映像格式,常用于虚拟机的存储和备份。VMDK格式的镜像文件可以被不同的虚拟化平台支持,例如VMware、VirtualBox等; |
| Docker | Docker镜像文件是一种轻量级的容器映像格式,用于打包和分发Docker容器。Docker镜像文件由多个层组成,每个层都包含一个文件系统的快照。通过这种方式,Docker可以快速创建和运行容器; |
| IMG | IMG镜像文件是一种通用的磁盘映像格式,可以用于存储完整的磁盘分区、文件系统或者操作系统。IMG格式的镜像文件可以通过虚拟机软件或者磁盘映像工具进行挂载和读取; |
| DMG | DMG镜像文件是一种Mac OS X系统中常用的磁盘映像格式,用于存储和分发Mac应用程序和数据。DMG格式的镜像文件可以通过Mac OS X操作系统自带的磁盘映像工具进行挂载和读取; |
| NRG | NRG镜像文件是Nero光盘刻录软件所使用的专有光盘映像格式,用于创建和备份光盘。NRG 格式的镜像文件可以通过 Nero 光盘刻录软件进行挂载和读取。 |
对镜像文件格式整理如下表所示。
| 序号 | 镜像后缀名 | 镜像文件类型 | 备注 |
|---|---|---|---|
| 1 | .aff | 高级取证格式文件 | AFF |
| 2 | .dd、.001、.raw、.bin | 原始镜像文件 | RAW |
| 3 | .dmg | DMG镜像文件 | DMG |
| 4 | .e01、.ex01 | Encase镜像文件(EWF、EWF2) | EWF |
| 5 | .gho | GHOSTE镜像文件 | GHO |
| 6 | .img、.dvd | Clone CD镜像文件 | IMG |
| 7 | .iso | CD/DvD镜像文件 | ISO |
| 8 | .l01、.lx01 | 逻辑镜像文件 | L01 |
| 9 | .s01 | SMART Images | S01 |
3、目前可用的磁盘镜像工具。
| 名称 | 版本 | 厂家 | 软件概述 |
|---|---|---|---|
| 猎痕镜像大师 | V5.0.3 | 武汉天宇宁达科技有限公司 | 提供创建镜像,镜像重组,磁盘克隆,文件拷贝,文件解析,内存镜像等功能,并且有数据校验和选择压缩级别功能 |
| O&O Disk Image Server | 17 | O&O software | O&O DiskImage将允许您对单个驱动器(分区/卷)进行映像。这能够将系统驱动器和数据驱动器相互分开。如果数据丢失,则只需恢复数据驱动器。无需还原整个计算机。 |
| X-Ways Forensics | 20.5 | X-Ways Software Technology AG | X-Ways Forensics基于WinHex hex和磁盘编辑器,是高效工作流程模型的一部分,计算机取证检查员共享数据并与使用X-Ways Investigator的调查员协作。 |
| R-Driver Image | 6.2 | R-Tools技术公司 | R-Drive Image是独特而强大的驱动器映像软件。它即时创建驱动器映像文件,即无需停止Windows。这样的图像可以存储在任何地方,包括各种可移动媒体。它以可变压缩级别压缩图像数据以节省可用空间。它还可以即时恢复磁盘上的此类映像。 |
| Encase Imager | 7.06 | Guidance Software | 使用EnCase Forensic Imager,您可以获取、重新获取证据文件并将其转换为EnCase证据文件,其中包括CRC块检查、哈希值、压缩和加密。EnCase Forensic Imager可以读取和写入当前或旧版EnCase证据文件和EnCase Forensic Imager逻辑证据文件。 |
| FTK Imager | 4.7.1.2 | AccessData | AccessData FTK Imager 是一款免费的数字取证工具,可用于获取和分析电子证据。它可以帮助取证专业人员收集、分析和报告数字证据,以支持调查和法律程序。 |
| 流火镜像大师 | 1.0.1 | 武汉天宇宁达科技有限公司 | 目前的镜像抓取工具很多,但都只能实行单盘抓取,需要人为更换磁盘,然而我们在处理很多案件的时候,尤其是监控视频案例,首先需要对源盘做镜像抓取工作,监控硬盘数量众多,显然目前的镜像抓取工具已经无法满足用户的需求,流火镜像大师最大的优势就是可同时对所有镜像进行抓取,不需要人为换盘。 |
4、对镜像工具测试的环境和标准。
测试环境:
操作系统:Microsoft Windows 11 家庭版
系统型号:Parallels ARM Virtual Machine
系统类型:ARM64-based PC
处理器:Apple Silicon 3.20 GHz (4 个处理器)
主板型号:Parallels ARM Virtual Platform 0.1
测试标准:
测试样本描述:磁盘大小2GB,NTFS文件系统
测试方法:用不同的软件创建目标磁盘的专有格式镜像,记录创建镜像的时间和速率,同时关注加密方式。
5、测试过程和结果。
测试过程:
创建一个2.00GB大小的分区并挂载一些文件作为创建磁盘镜像时的目标磁盘。
- 使用FTK Imager创建磁盘镜像。
-
使用流火镜像大师创建磁盘镜像。
在目标路径生成了DD格式的镜像文件。
求镜像文件的哈希值。
- 使用X-Ways Forensics创建磁盘镜像。
- 使用R-Driver Image创建镜像文件。
测试结果:
在生成的镜像记录文件中,整理数据如下表所示。
| 工具 | 镜像大小 | 镜像格式 | 速度 | 哈希结果 | 工具特点 |
|---|---|---|---|---|---|
| X-Ways Forensics | 2GB | e01 | 6.3 GB/min(创建镜像速度) | MD5校验,校验通过 | 提供MD5、SHA1等校验;提供分割镜像功能;记录的信息丰富;30天试用期 |
| R-Driver Image | 0.70GB | rdr | 用时25s | 校验通过 | 压缩率可调整;提供镜像文件加密;30天试用期;不生成日志文件 |
| FTK Imager | 1.45GB | 001 | 1.45GB/分钟 | MD5校验,SHA1校验,校验通过 | 提供MD5、SHA1校验;免费 |
| 流火镜像大师 | 2.00GB | DD | 26.90GB/s | 校验通过 | 提供MD5、SHA1等校验;免费;功能较单一 |
可以看到,速度最快的是X-Ways Forensics,创建镜像最小的是R-Driver Image,功能最丰富的是X-Ways Forensics。
对功能进行进一步统计。
| 工具 | 分区镜像 | 数据急救 | 虚拟加载 |
|---|---|---|---|
| 流火镜像大师 | 支持 | 支持 | 支持 |
| FTK Imager | 支持 | 不支持 | 支持 |
| X-Ways Forensics | 支持 | 支持 | 支持 |
| R-Driver Image | 支持 | 不支持 | 支持 |
在实际操作中,我们常常只需要对某一分区创建镜像并进行分析,所以分区镜像的功能非常重要,能够很好地提高备份电子证据的效率。我们选择的几款工具都支持这一功能,并且它们生成的镜像文件都能够用于虚拟加载。
其中,X-Ways Forensics能够进行扇区级镜像,流火镜像大师能够在镜像至坏道处做出应对,故这两款工具能够用于数据急救领域。
- 结论
首先,从镜像情况来看,X-Ways Forensics的体验效果是最好的。它能够在创建镜像的过程中,保存镜像、案件、脚本、哈希库等多种文件,便于后续查询检验工作。此外,X-Ways Forensics所出具的报告在国际范围还具有法庭认可性。所以,从专业性和实用性来看,X-Ways Forensics是最好的选择。
不过,X-Ways Forensics的官方售价较高,当我们对创建镜像的要求没有那么高的时候,可以使用一些免费的或者试用期较长的软件作为代替。在我测试的几款工具中,FTK Imager是一个不错的选择。相比流火镜像大师和R-Driver Image,FTK Imager涵盖了更多的功能,而且镜像格式丰富,包含了DD、E01、SMART和AFF,对物理磁盘、逻辑磁盘、磁盘镜像文件、文件夹以及可移动设备都能创建镜像,不过在镜像创建的速度方面稍有劣势。此外,流火镜像大师是完全免费的工具,同时也具有较快的创建速度,也是不错的选择。
支付宝
