САЩ
Department of JusticeOffice of Justice P810 Seventh Street NwEric H Holder, JMary Lou Leary Действащ помощник-прокурор GeneraGreg Ridgeway Действащ директор, Национален институт на правосъдието други публикации и продукти oOffice of Justice ProgramsSafer Neighborhoods
Само първите 268, 435, 456 сектора (12&GB) на устройство, по-голямо от 128GB, се изпълняват в средата на Windows 2000 (DA-08-DCOs е поради ограниченията на Windows 2000 за работа с устройства, изискващи 8 бита адресиране Това не е проблем с инструмента; този резултат е отбелязан, за да бъде запознат читателят с последствията2 Избор на тестови случаи Тестовите случаи, използвани за тестване на инструменти за създаване на изображения на дискове, са дефинирани в Aeassertions за цифрови данни и план за тестване версия 10 За тестване на инструмент са избрани тестови случаи от документа testPlan въз основа на функциите, предлагани от инструмента Не всички тестови случаи или testssertions са подходящи за всички инструменти
Има основен набор от базови случаи (DA-06, DA-0d DA-08), които са изготвени за всеки тестван инструмент Функциите на инструмента ръководят избора на допълнителни тестови случаи Ако даден инструмент прилага дадена функция, тогава тестовите случаи са свързани с това функция се изпълняват Таблица 1 изброява функциите, избрани за тестване и свързаните testases, избрани за изпълнение Таблица 2 изброява функциите, които не са избрани за тестване и поддържаните тест/Baso Опционални FeatureCases, избрани за изпълнение06,07&08Грешка при четене по време на придобиване09Създаване на клонинг от изображение файл14&17Превключване на целево устройство13Създаване на неподравнен клонинг от цифров източник 02Създаване на съкратен клонинг от физическо устройство04възможност 2 пропуснати тестови случая Неподдържани варианти на опция Пропуснати (неизпълнени)Създаване на подравнени клонинги по цилиндри21&23Недостатъчно място за файл с изображение Device vo генератор на грешки05,11& ;18 Попълнете излишъка сектори на устройство за клониране&23Създаване на клонинг от подмножество на файл с изображение 16Попълване на излишни сектори при придобиване на клониране Откриване на повредено (или променено) изображение Някои тестови случаи имат вариантни форми за приспособяване на параметри в рамките на тестово твърдение. Тези вариантни форми са предназначени да покриват параметри, които могат да варират в рамките на tesassertthe acquterface към изходното устройство (Src-AIMarch 2013X-Ways Forensics 148
типът на придобития цифров източник(DS)обект, следването(XE)и последователността, при която секторите са скрити на устройство. Допълнителни параметри, които варираха между тестови случаи и вариации на тестови случаи, бяха типове изчислен алгоритъм за хеширане, размер на сегмента на файл с изображение, използване на хардуерен блокер за запис и вида на използвания хардуерен блокер за запис Следните интерфейси за достъп до източник бяха тествани ata28 atA48 SAtA28 SATA4SCSI FW и usB Те са отбелязани като вариации на тестови случаи dA-O1 DA-06 DA-08 и dA-14 Следните цифрови източници бяха тествани: дялове (FAT12, FAT16, FAT32, FAT32X, NTFS), компактна флаш памет (CF) и флаш устройство (Thumb) Има две разновидности на FAT 32 и на двата FAT 32 кода на дялове OXOB (FAT32) и OXOC (FAT32Xe, отбелязани като разновидности при теста случаи da-02 и DA-07Хардуерни блокери за запис бяха използвани в определени варианти на da-o1 DA-02 DA-07DA-08 и dA-09 тестов случай3 Резултати от тестово твърдениеТестовото твърдение е проверимо твърдение за едно условие след actiperformed by theder test, тестов случай обикновено проверка на твърдения след изпълнението на тествания инструмент тестовите твърдения се дефинират и свързват с тестови случаи в Твърденията на инструмента за цифрови данни и план за тестване Версия 10 таблица обобщава резултатите от теста за всички тестови случаи по твърдение Колоната labeledAssertions Tested дава текста на всяко твърдение
Колоната, означена с Тестове, дава броя тестови случаи, които използват даденото твърдение. Колоната, означена с Аномалия, дава номера на този раздел в този отчет, където се обсъждат всички наблюдавани аномалии. Вижте раздел 2 за обсъждане на среда за изпълнение на интерфейса за достъп до източник и цифров източник. Тествани твърдения на Таблица 3. Тествани твърдения. Тествани тестове. AnomalAM-01 Инструментът използва интерфейс за достъп SRc-ai за достъп до digitaSourceAM-02 Получава цифров източник DSAM-03 Инструментът се изпълнява в среда за изпълнение XEAM-04 Ако е указано създаване на клонинг, инструментът създава клонинг на 13digitalAM-05 If файл с изображение създаването е посочено, инструментът създава изображение 25файл на файлова система тип FSAM-06 Всички видими сектори са получени от цифровия източник35LAM-07 Всички скрити сектори са придобити от цифровия източник март 2013 г. X-Ways Forensics 148
AM-0S Всички сектори, придобити от цифровия източник, са придобити/-sts AnomalyAssertions tested AM-09 Ако възникнат неразрешени грешки при четене от избрания цифров източник, инструментът уведомява потребителя за типа на грешката и местоположението в рамките на цифровия източник AM-10 Ако възникнат неразрешени грешки при четене от избрания инструментът използва доброкачествено запълване на обекта на местоназначението на недостъпните данниAO-01 Ако инструментът създава файл с изображение, данните, представени от 2AO-04 Ако инструментът създава файл с изображение и има недостатъчна скорост на устройството за местоназначение на изображението, за да съдържа файла с изображението, ще уведоми потребителяAO-05 Ако инструментът създаде множество файлове с искан размер, тогава 2индивидуалните файлове не трябва да са по-големи от заявения размерAO-10 Ако няма достатъчно място за съдържа всички файлове на многофайлово изображение и ако се поддържа превключване на целево устройство, изображението се продължава на друго поискано устройство, клонинг се създава по време на придобиване на цифров източникAO-12 Ако бъде поискано, клонинг се създава от файл с изображениеAo-13 A клонирането се създава с помощта на интерфейс за достъп DSt-Al за запис на устройството за клониране
AO-14 Ако се създаде неподравнен клонинг, всеки сектор, записан на thelone, се записва точно на същия дисков адрес на клонинга, който секторът е заемал в цифровия източникAO-17 Ако бъде поискано, всички излишни сектори на целево устройство за клониране 12 не се modifiedAO-19 Ако няма достатъчно място за създаване на пълен клонинг, съкратеният клонинг се създава, като се използват всички налични сектори на clorAO-20 Ако се създаде съкратен клонинг, инструментът уведомява потребителя AO-23, информацията е точно записана в лог файла AO-24 Ако инструментът се изпълнява в криминалистично безопасна среда за изпълнение, цифровият източник се променя от придобиването. Таблица 4 Твърдения не са тествани Твърдения не са тестваниAO-02 Ако е посочен формат на файл с изображение, инструментът създава файл с изображение в посочения Ao-03 Ако възникне грешка при запис на изображението файл, инструментът уведомява потребителя март 2013 г. X-Ways Forensics 148
Твърдения не са тестваниAO-06 Ако инструментът извършва проверка на целостта на файл с изображение на файл с изображение, който не е бил променян след създаването на файла, инструментът трябва да уведоми потребителя, че файлът с изображениеAo-07 Ако инструментът извършва файл с изображение проверка на целостта на файл с изображение, който е бил променен след създаването на файла, инструментът трябва да уведоми потребителя, че файлът с изображение има Ao-08 Ако инструментът извърши проверка на целостта на файл с изображение на файл с изображение, който е бил променен след създаването на файла, инструментът трябва да уведоми потребителя за засегнатите местоположенияAo-09 Ако инструментът преобразува изходен файл с изображение от един формат в целеви файл с изображение в друг формат, получените данни, представени в целевия файл с изображение, са същите като създадения клонинг, подравнен с данни, всеки сектор в рамките на непрекъснат участък от сектори - източникът е точно записан на същия дисков адрес на устройството за клониране спрямо началото на участъка като сектора, зает в оригиналния цифров източник Участък от дефиниран да бъде или монтиране на сектори, а не част от монтируем дял Разширен дялове, които могат да съдържат както монтируемиL дялове, така и неразпределени сектори, не са монтируеми дяловеAO-16 Ако е посочено подмножество от изображение или придобиване, цялото подмножество се клонираAO-18 При поискване се записва доброкачествено запълване в излишните сектори на клонингAo -21 Ако възникне грешка при запис по време на създаване на клониране, инструментът уведомява потребителя A0-22sted инструментът изчислява хешове на блокове за размера на блока по време на заключване, получен от цифровия източник3
1 Промени в метаданните по време на възстановяване или клониране на система може да възникнат, когато изображение на логическо устройство FAT32 или NTFS. За файловите системи FAT32 обикновено няма повече от три сектора с промени, по-сложните ntfs може да имат повече от 200 сектора с метаданни, променен поне един bvte ( DA-02-CF DA-02-F32 DA-02nade от операционната система Понякога промените могат да бъдат предотвратени чрез премахване на устройството без следване на нормалната процедура за изключване3 2 Придобиване на HPa и dco Инструментът не премахва HPA или DCO Инструментът направи не придобива сектори, скрити от HPA или dco в тестови случаи DA-08-DCO, DA-08-AtA28 и da08-ATA48 Отделен инструмент, X-ways Replica, може да се използва за премахване на HPA Инструментът показва следния изскачащ прозорец windan hpa или dco е открит март 2013 г. X-Ways Forensics 148
X-Ways ForensicsAconfguration наслагване [DOK3 3 Логическо придобиване на NTFS дял Осем неизползвани сектора в края на дял, съдържащ NTFS файлова система, не се придобиват (DA-07-NTFS) Дялът има 27 744 192 сектора, но инструментът придобива само27744 184 сектора skпоследните осем сектора Въпреки това, последните осем sectoNT файлова система не се използват, за да съдържат потребителски данни Осемте сектора са пропуснати, тъй като инструментът, избран от потребителя, придобива логическото устройство, а не физическото устройство. Ако е избрано физическото устройство, всички сектори на дяла трябва да бъде придобит. Това не е свързано с това, че това е резултат, за да накара читателя да разбере разликата между избора на логически vS, физическо придобиване3
4 Придобиване на 48-битово адресно устройство от windows 2000 Само първите 268, 435, 456 сектора на устройство, което изисква 48-битово адресиране (т.е. larg08-DCO) Windows 2000 не трябва да се използва за придобиване на устройства, по-големи от 12G8 (DAот 128GB) получен, ако инструментът се изпълнява в среда на windows 200035 Придобиване на дефектни сектори Инструментът позволява спецификацията на редица сектори за пропускане при дефектна производителност на сектора, но някои четливи сектори се придобиват, когато се използва функцията за пропускане (DA-09-FW, DA -09-FW-XP и DA-09-USBng EnvironmeТестовете бяха проведени в лабораторията на nist cftt Този раздел описва тестовите компютри, налични за тестване, с помощта на софтуера за поддръжка и бележки относно друг тестов хардуер41 Тестови компютри Използвани са три тестови компютъра Freddy, frank и JOE имат следната конфигурация на десктоп на десктоп D865GB/D865PERC (с ATA-6 IDE на борда на контролера) BIOS VOBF86510A86A0053P13ADAPTEC SCSI BIOS V3100INTEL@B Pentium M 4 CPU 3 4GHZ257722KB RAMMARC
SONY DVD RW DRU-530A, ATAPI CD/DVD-ROM устройство 44 MB flots за сменяем ide твърд диск dri Два слота за сменяеми sata твърди дискове Два sl
ots за сменяем scsi твърд диск42 Софтуер за поддръжкаИзползван е пакет от програми за поддръжка на анализ на тестове, FS-TST издание 20. Софтуерът може да бъде получен от http://wwwcfttnistgov/diskimaging/fs-tst20zip4 3 Създаване на тестово устройство Има три начина, по които може да се използва твърд диск в случай на тестване на инструмент: като изходно устройство, управлявано от инструмента, медийно устройство, файлове, създадени от тествания, или като целево устройство, на което тестваният инструмент създава клонинг на изходното устройство. При добавяне към инструментите за форматиране на устройството на операционната система, някои инструменти (diskwipe и diskhash) от пакета FS-TST се използват за настройка на тестово устройство. За да настроите мултимедийно устройство, устройството е форматирано с един от поддържаните файлови системни устройства. Устройството може да се използва в няколко тестови случая Настройката на повечето изходни устройства следва същата обща процедура , но има седем стъпки, които могат да варират в зависимост от нуждите на тестовия случай, устройството се запълва с известни данни от програмата за изтриване на диска от FS-TST Програмата за изтриване на диска записва адреса на сектора във всеки сектор както в C/H/S, така и в lBaormat остатъкът от секторните байтове е настроен на постоянна стойност на запълване, уникална за всеки дискСтойността на запълване се отбелязва в регистрационния файл на инструмента за изтриване на диска Дискът може да бъде форматиран с partit3 По желание може да бъде инсталирана операционна система4 Набор от референтни хешове се създава от инструментът за дискхеш FS-tST Те включват както shal, така и mds хешове В допълнение към хешовете на пълния диск хешовете на всеки артикул може би5 Ако устройството е предназначено за тестове на скрити области (Da-08), може да се създаде HPa, dco или и двете Инструментът за дискхеш е след това се използва за изчисляване на референтни хешове само за видимите сектори на устройството Изходните устройства за DA-09 са създадени така, че да има последователен набор от дефектни фактори на устройството Всяко от тези изходни устройства се инициализира с изтриване на диска и техните дефектни сектори се активират за всяко от тези изходни устройства, второ устройство на tentent като устройство с дефектен сектор, но без дефектни сектори, служи като референтно устройство за изображения, направени от дефектното устройство. За да настроите целево устройство, устройството се запълва с известни данни от програмата за изтриване на диска FS -TST дялове могат да бъдат създадени, ако тестът cот имазогичното придобиване март 2013 г. X-Ways Forensics 148
4 4 Анализ на тестово устройство За тестови случаи, които създават клонинг на физическо устройство (напр. DA-Ol и DA-04), целевият диск се сравнява с изходния диск с програмата diskemp от пакета TST За тестови случаи, които създават клонинг на логическо устройство (т.е. дял, напр. DA-02 и DA-20), целевият дял се сравнява с изходния дял с програмата partcmp. За местоназначение, създадено от файл (например DA-14), местоназначението се сравнява, като се използва или diskcmp(за физически клонинги на устройства), или partcmpor partilones), към източника, който е придобит за създаване на файла с изображение. И diskemp, и partemp отбелязват разлики между източника и местоназначението. Ако местоназначението е по-голямо от източника, тогава излишните целеви сектори се категоризират като, необезпокояван (все още съдържащ шаблона за запълване, написан от diskwipeero, запълнен или променен на нещо друго
инструмент може да предостави функция за изтриване на излишъка partitdiskemp и partemp програмите отчитат крайното състояниеизлишните сектори За NTFS дял метаданните могат да бъдат записани в излишните сектори, презаписвайки стойностите за запълване, поставени от diskwipe Използва се специална процедура за определяне на състояние на излишни сектори след възстановяване на NTfs дял, като например тестов случайDA-14-NTFS целевото устройство първо се запълва с образец с изтриване на диска, след това, преди дяла, се изчислява хеш.след като инструментът се използва за възстановяване на дяла, друг хешът се изчислява върху излишните сектори на местоназначението, ако двата хеша съвпадат, тогава нито един от излишните сектори не е бил променен от toFor тестов случай DA-09, изобразяващ устройство с известни дефектни сектори, програмата използва анабада, за да сравни дефектното секторно референтно устройство с клонираната версия на дефектните сектори като dA-06 и DA-0acquisition хеш, изчислен от тествания се сравнява с референтния хеш на източника, за да се провери дали източникът е придобит напълно и точно наследственост на доставчиците Дисковете се идентифицират от SATA) Комбинацията от шестнадесетична стойност и етикет служи като уникален идентификатор за всяко устройство Двуцифрената шестнадесетична стойност се използва от програмата за изтриване на диска Fs-tSt като стойност за запълване на сектора fs-tsdiskcmp и partcmp броят сектори които са запълнени със стойности за попълване на източника и местоназначението на местоназначение, което е по-голямо от оригиналния източник. Таблица 5 изброява използваните тестови дискове на източника. Моделите и серийните номера са изброени според командата на устройството ata IdEntify. Таблица 5. тестови дискове. DriveSerial#Size (секториO1-IDEI WDC WD400BB-0OJHCO WD-WMAMC7417100 78165360 март 2013 г. 10 от 109X-Ways криминалистика 148
Резултати от МАРТ 2013 г. за инструмента за придобиване на цифрови данни X-Ways Forensics 14
8NcJ236224
N丿Greg Ridgeway, изпълняващ длъжността директор, National Institute of JustiStandards of the nattute of standards and teagency Agreethe offPrograms, whichclЮвенално правосъдие и превенция на престъпността, службата за жертвите на престъпления и службата за
Март 2013 г. Резултати за инструменти за събиране на цифрови данни Криминалистика 14
8стандарти и техн
Въведение Как да прочетете този отчет Резултати 2 Избор на тестов случай 3 Резултати от тестово твърдение 3 1 Промени на метаданни по време на възстановяване или клониране 3,2AHPA и dco33 Логическо придобиване на NTFS дял f 48-битово адресно устройство от Windows 20004 Тестване er41 Тест Кол42 Софтуер за поддръжка88888990045C51 Доклад за резултатите от теста Ключ52 Подробности за теста 521DA- 01-ATA28ATA28524DA-01-SATA48525DA-01-SCSI526DA-01-USB27DA-02CF529DA-02-F165210DA-02-F32211DA-02-F32X212 DA-02-THUM8024652
13DA-045214DA-06-Fw5215DA-06-ATA285217DA-06CF5218 DA-06-FLOPPY5219DA-06PART5220DA-06-SATA285221DA-06-SATA485222DA-06-SCSI5223DA-06-USB5224DA-07F 125225DA-07F16X-Ways Криминалистика 148
5226DA-07-F325227DA-07-F32X5228DA-07NTFS5229 DA-O7-THUMB5230DA-08-ATA285231DA-08-ATA485233DA09-ATA5234DA-09FW5235DA-09FWXP58135237DA-09-USB5 2
38DA-13239DA-14-ATA25240DA-14-ATA485241DA-14CF5242DA-14-F12243DA-14-F165245DA-14F32X5246 DA-14-FLOPPY5247DA-14NTFS5249DA14-SATA285250DA-14-S ATA485251 DA-14-THUMB5252DA-14-USB5253DA-1X -Начини Криминалистика 148
въведение Програмата за тестване на инструменти за компютърна криминалистика (CFTT) е съвместен проект на Националния институт на правосъдието (ND), изследователската и развойна дейност на Министерството на правосъдието на САЩ и Службата за прилагане на стандартите на Националния институт за стандарти и технологии и лабораторията за информационни технологии CFTT, подкрепена от други организации, включително Федералното бюро за разследване, Центъра за кибер престъпления на Министерството на отбраната на САЩ, Наказателната програма на Службата за вътрешни приходи на САЩ и Бюрото за сигурност на Департамента Меломеланд на САЩ за имиграция и митническо правоприлагане, Митническа и гранична защита на САЩ и Тайните служби на САЩ (USSS) Целта на CFTTs изисква разработване на спецификации и методи за тестване на инструменти за компютърна криминалистика и последващо тестване на специфични инструменти спрямо тези. Резултатите от тестовете предоставят информацията, необходима на разработчиците за подобряване на инструментите, на потребителите да направят информиран избор и на правната общност и други, за да разберат възможностите на инструмента CFTT подходът за тестване на компютърни криминалистични инструменти се основава на тестване на качеството на заваръчните шевове. Спецификациите и методите са публикувани на уебсайта на Ftt (http://wwwcfttnist
govd) за преглед и коментар от общността на компютърната криминалистика Този документ е резултат от тестване на X-Ways Forensics, версия 148, спрямо твърденията на инструмента за цифрови данни и плана за тестване veLO, достъпен на уебсайта Cftt (http://wwwcfttnistgov/da-atp-pc-01pdiTest резултатите от други инструменти и методологията на инструмента cftt могат да бъдат намерени на уеб страницата на nijsCFTT http://wwwniigov/nii/topics/forensics/evidence/digital/standards/cftthtmow, за да прочетете този отчет. Този доклад е разделен на пет раздела. Първият раздел е обобщение от резултатите от тестовите изпълнения и е достатъчен за повечето читатели, за да оценят пригодността на инструмента за тогавашна целева употреба. Останалите раздели на доклада описват как са проведени тестовете, обсъждат всички аномалии, които са били открити, и предоставят документация за изпълнение на тестови случаи, подробности, които подкрепят доклада резюме Раздел 2 дава обосновка за избора на тестови случаи от набора от възможни случаи, дефинирани в тестовия план за инструментите за придобиване на цифрови данни Тестовите случаи се избират като цяло въз основа на функциите, предлагани от инструмента Раздел 3 описва по-задълбочено всички аномалии, обобщени в първият раздел Раздел 4 изброява хардуера и софтуера, използвани за изпълнение на тестовите случаи с връзки към изпълнение на additicase. Описанието на всяко тестово изпълнение изброява всички тестови твърдения, използвани в тестовия случай, очакваното
резултат и действителният резултат За повече информация, отнасяща се до функциите и uX-waysForensicsseethevendorWebsite(http://wwwx-ways
com март 2013 г. X-Ways криминалистика 148
est Results for Digital Data Acquisition ToolTool TestedforensicsRun среди: windows: 2000 XPX-Ways Софтуерна технология AGAddress:ⅹ- Ways AG50676 Cologne+49221-4204865mail@x-wayscomWWWhttp:/wwwx-wayscomResults stcept за случаите, където има, логичен NTFS partitimaged или изходно устройство, съдържащо скрити сектори, Host Protected Area (HPa) ofDevice Configuration Overlay (dco), беше изобразено Инструментът възстанови, създаде точно клонинги, с изключение на операциите за клониране или възстановяване на cermovable носители, където имаше малки промени в метаданните на файловата система Някои четими сектори може да бъде умишлено пропуснат, контролиран от настройка на параметри, за подобряване на производителността по време на придобиване на устройство с дефектни сектори DA-09-FW, DA-09-FW-XP и DA-09-USB) Осем неизползвани сектора в края на дял, съдържащ не се изисква NT файлова система (DA-07-NTFS) Това е така, защото потребителят на инструмента е избрал придобиване на логическото устройство, а не на физическото устройство
Ако е избрано физическото устройство, алсекторите на дяла трябва да бъдат придобити. Това е бележка към инструмента, резултатът е отбелязан, за да накара читателя да разбере разликите между избора на логично срещу физическо придобиване. Инструментът не придобива никакви сектори, скрити от HPA или DCO Въпреки това скритите сектори са видими и след това придобиват предишните скрити сектори (DA- f takeXWays може да се използва повторно, преместете hpaDCOATA28, DA-08-ATA48 и DA-08-DCO) могат да бъдат направени малки промени от операционната система във файловата система metadataFAT32 или NTFSe(DA-02CF DA-02-F32 DA-02-F32X DA-14-CF DA-14-F32 DA-14-F32X и DA14-NTFS) Инструментът няма контрол върху тези промени март 2013 г. на 109X-Ways Криминалистика 148