Encase v7 Physical Disk Emulator (PDE) module &VFC介紹
一、Encase v7 Physical Disk Emulator (PDE) module介紹(1/5)
- PDE,翻譯為實體磁碟模擬,顧名思義,就是將已經製作完成的證物檔,經由軟體模擬成連接本機的唯讀硬碟來進行分析。
- 在Encase中,有另一個模組和PDE的功能很像,叫做VFS(Virtual File System),翻譯為虛擬檔案系統,其功能為將證物檔模擬成本機的唯讀離線網路磁碟,然後經由Windows內建的Windows Explorer來檢視它。
- 補充:虛擬檔案系統是作業系統的檔案系統虛擬層,在其下是實體的檔案系統。主要功用在於讓上層的軟體,能夠用單一的方式,來跟底層不同的檔案系統溝通。在作業系統與之下的各種檔案系統之間,虛擬檔案系統提供了標準的操作介面,讓作業系統能夠很快的支援新的檔案系統 from wikipedia[1]。
一、Encase v7 Physical Disk Emulator (PDE) module介紹(1/5)
PDE,翻譯為實體磁碟模擬,顧名思義,就是將已經製作完成的證物檔,經ㄍ由軟體模擬成連接本機的唯讀硬碟來進行分析。
- 在Encase中,有另一個模組和PDE的功能很像,叫做VFS(Virtual File System),翻譯為虛擬檔案系統,其功能為將證物檔模擬成本機的唯讀離線網路磁碟,然後經由Windows內建的Windows Explorer來檢視它。
- 補充:虛擬檔案系統是作業系統的檔案系統虛擬層,在其下是實體的檔案系統。主要功用在於讓上層的軟體,能夠用單一的方式,來跟底層不同的檔案系統溝通。在作業系統與之下的各種檔案系統之間,虛擬檔案系統提供了標準的操作介面,讓作業系統能夠很快的支援新的檔案系統 from wikipedia[1]。
一、Encase v7 Physical Disk Emulator (PDE) module介紹(2/5)
在有以下分析的需求時,會使用到這兩個模組:
- 有時候某些分析不容易在Encase的環境下執行,或者Encase不支援,或者我們僅僅想要針對特定檔案或數據做分析,使用Encase以外的分析工具會更迅速或方便時。
- 經由作業系統的支援呈現原始證物內含的檔案系統、目錄結構、系統環境及設定、程式及執行過程、檔案內容等,毋須將證物檔回存至額外的儲存空間來做這件事。
- 比較特定程式執行前後在記憶體、檔案、系統設定上的差異。
一、Encase v7 Physical Disk Emulator (PDE) module介紹(3/5)
整個證物檔
模擬成本機實體磁碟
轉換成VM開機(使用Live View)
分析
證物檔內的實體磁碟、分割、資料夾
模擬成唯讀網路磁碟
分析
PDE
VFS
一、Encase v7 Physical Disk Emulator (PDE) module介紹(4/5)
| 相異處 | PDE | VFS |
|---|---|---|
| 分析 目的 |
將證物檔模擬成一顆實體硬碟,再將該實體硬碟製作成VM來開啟 | 將證物檔模擬成一顆網路磁碟,再於作業系統下開啟該網路磁碟內含檔案或程式 |
| 支援檔案系統 | 視作業系統(Windows)的支援性而定 | 所有EnCase支援的檔案系統(FAT、Ext2、Ext3、HFS等) |
| 可否用VMware轉成VM | 可以 | 不可以 |
| Windows Explorer可看到內容 |
看不到檔案系統的細節,只能看到現存的檔案 | 可以看到檔案系統的細節(如Unlocated區、MFT表等) |
| 可否看到Encase恢復的磁碟分割 | 不可 | 可 |
需要使用PDE模組來進行分析的情況:
- 需掃描存在證物檔內的惡意軟體或病毒時
- 需追蹤系統開機或程式載入記憶體及指令執行流程時
- 需要進行系統還原點的鑑識時
一、Encase v7 Physical Disk Emulator (PDE) module介紹(5/5)
VFC的功能與特色[2]:
- 能直接將dd或e01格式的映像檔直接轉成VM並開機,讓調查人員在不破壞原始證物,利用映像檔於虛擬環境中重新創建原電腦作業系統環境,進行數位鑑識。
- 能直接將已開啟物理防寫之硬碟當成VM開機(boot a physical with write block)
- 能Bypass Windows用戶帳戶的密碼。
- 使用VFC開機後可進行動態分析、記憶體dump等程序。
- 能支援32位元及64位元Windows 2000、Windows 2003、XP到Windows 7的每一個版本的Windows作業系統執行。
- 可以支援系統還原點倒回的鑑識。
- 支援解析GPT格式的磁碟分割
二、VFC介紹(1/6)
證物檔
模擬成本機實體磁碟
轉換成VM開機(使用Live View)
分析(需使用第三方工具)
證物檔、開啟物理防寫的實體硬碟
分析(內建或VMware工具)
PDE
VFC
二、VFC介紹(2/6)
直接轉換成VM開機
不需要模擬成本機磁碟
VFC操作截圖[3]
二、VFC介紹(3/6)
二、VFC介紹(4/6)
二、VFC介紹(5/6)
二、VFC介紹(6/6)
三、其他PDE工具或相類分析方法(1/2)
1.利用工具製作VMDK檔案
SIFT:在Linux環境下利用SANS提供的鑑識工具包SIFT內建指令
1.open a terminal window 2.sudo su 3.mkdir /mnt/ewf1 4.mount_ewf.py (Encase Image file path) /mnt/ewf1 5.qemu-img convert /mnt/ewf1/(encase image file name) -O vmdk (give_a_name).vmd
三、其他PDE工具或相類分析方法(2/2)
四、參考資料來源
- https://zh.wikipedia.org/zh-tw/虛擬檔案系統
- http://www.vfc.uk.com/index.php?route=product/product&product_id=53
- http://md5.uk.com/md5/downloads/VFC_User_Guide_v2.pdf
- http://forensicswiki.org/wiki/Virtual_machine
- https://www.sumuri.com/product/paladin-for-linux-2/