USA
Ministerstvo spravedlnosti Úřad spravedlnosti P810 Seventh Street NwEric H Holder, JMary Lou Leary Asistent právního zástupce GeneraGreg Ridgeway Úřadující ředitel, Národní institut spravedlnosti další publikace a produkty Úřadu spravedlnosti Programy Bezpečnější sousedství
est výsledků pro nástroj Digital Data Acquisition ToolTool TesteFTK Imager CLISoftwarová verze: 290 DebianDebian Live 604 a Ubuntu 10 04 LtsvironmentAddress384 South 400 West Suite 200Lindon ut 84042 USA5410801-7065support DatacessacsLI siultA v29 Debian je navržen tak, aby tvrdě kopíroval a obnovoval disky a další sekundární úložiště Používá rozhraní příkazového řádku Debianu k vytvoření obrazu, klonování a obnově získaných dat Kromě případu, kdy byl vytvořen obraz disku s vadnými sektory (testovací případ DA-09), nástroj získal všechny sektory testovacího média kompletně aA-17 které měří, jak se nástroj chová, když cílové médium nemá dostatek místa pro klonování nebo úlohu obnovení, nástroj selhal při zobrazení zprávy oznamující, že cílový disk má nedostatečné mezery 3 1 a 3 2 pro další podrobnosti o testovacích případech da-04
da-17 a da2 Výběr testovacího případuTestovací případy používané k testování nástrojů pro zobrazování disků jsou definovány v Digital Data Acquisition ToAssertions a testovací plán verze 0 Testování testovacích případů nástroje z dokumentu tesPlan na základě funkcí nabízených nástrojem Ne všechny testovací případy nebo testy jsou vhodné pro všechny nástroje Existuje základní sada základních případů (např. DA-06 a DA-07), které se spouštějí pro každý testovaný nástroj Vlastnosti nástroje vedou výběrdalší testovací případy Pokud daný nástroj obsahuje funkci, pak je testlinked k tomu jsou testovatelné funkce ftK Imager cli v29 Debian a následně testované případy vybrané pro spuštění Tabulka 2 uvádí funkce, které nejsou k dispozici v ftKImager cli v29 Debian a testovací případy, které nebyly vykonányTabulka 1 vybrané testovací případyPodporované Volitelné FeatureCases Vybrané pro spuštěníVytvoření klonu a nezarovnané dl01Create klon z digitálního zdroje 2. května 2013 119FTK Imager CLI 290 Debian
ed optionaCases Selected for EVytvoření zkráceného klonu z fyzického zařízení0406&Chyba čtení d09Vytvoření souboru obrázku ve více než jednom formátudostatečné místo pro soubor obrázku14&17Detekce poškozeného (nebo změněného) souboru obrázku 24&25Převedení souboru obrázku z jednoho formátu toNepodporované Případy volitelných funkcí vynechány (neprovedeny) K dispozici generátor chyb zařízení 10&Vytvořte obraz disku se skrytými sektory 08Přepnutí klonu cílového zařízení z podmnožiny souboru obrazu 16Vyplňte přebytečné sektory na klonu akvizicenadbytečné sektory na klonovacím zařízení22&23Některé testovací případy mají různé formy pro přizpůsobení parametrů v rámci testovacích tvrzení Tyto variace pokrývají rozhraní akvizice ke zdrojovému médiu, typ získaného digitálního objektu a formát souboru obrázku Následující zdrojová rozhraní byla testována USB, ATA28, ATA48, FW, SATA28SATA48 a scsi, tyto jsou uvedeny jako variace na testDA-O1 a DA-OByly testovány následující typy digitálních zdrojů: oddíly (FAT16, FAT32, NTFS, EXTEXT4), kompaktní flash (CF) a flash disk (Thumb) Tyto typy digitálních zdrojů jsou uvedeny jako variace testovacích případů da-02 a da-07Nástroj podporuje následující typy obrazových souborů: SMART ew-compressed, E0nd encrypted Tyto byly testovány jako alternativní formáty obrazových souborů a jsou označeny jako3 Výsledky podle testovacího tvrzeníTestovací tvrzení je ověřitelné prohlášení o jediném stavu po provedení akce Jedno provedení nástroje v rámci testovacích testovacích tvrzení jsou definována a propojena srovnává výsledky testů pro všechny testovací případy pomocí tvrzení
Sloupec označenýAssertions Tested uvádí text každého tvrzení Sloupec označený Tests uvádí květen 2013FTK Imager CLI 290 Debian
počet testovacích případů, které používají dané tvrzení Sloupec označený anomálie udává číslo sekce v této zprávě, kde se diskutuje o všech pozorovaných anomáliích DSAM-03 Nástroj se spouští v prováděcím prostředí XE
M-04 Pokud je zadáno vytvoření klonu, nástroj vytvoří klon 14M-05 Pokud je zadáno vytvoření souboru obrázku, nástroj vytvoří imageAM-06 Všechny viditelné sektory jsou získány z digitálního zdroje3232AM-08 Všechny získané sektory z digitálního zdroje jsou získányAM-09 Pokud se při čtení z vybraného2digitálního zdroje vyskytnou nevyřešené chyby, nástroj upozorní uživatele na typ chyby a umístění v rámci digitálního zdrojeAM-10 Pokud nevyřešené chyby při čtení z digitálního zdroje, nástroj použije benigní výplň v cílovém objektu soubor inimage je stejný jako data získaná příliš nted AO-O1 Pokud nástroj vytvoří soubor obrázku, data reprezentujíAO-02 Pokud je zadán formát souboru obrázku, nástroj vytvoří soubor obrázku 3soubor zadaný formátAO -04 Pokud nástroj vytváří soubor s obrázkem a na cílovém zařízení s obrázkem je k dispozici prostor pro uložení souboru obrázku, požadovaná velikost obrázku AO-05e pak všechny jednotlivé soubory nesmí být větší než požadovaná velikostAo-06 Pokud nástroj provádí integritu souboru obrázku zkontrolovat soubor s obrázkem, který se od vytvoření souboru nezměnil, nástroj máAO-07 Pokud nástroj provede kontrolu integrity souboru obrázku u souboru obrázku, který se od vytvoření změnil, nástroj upozorní uživatele, že soubor obrázku byl změněnoAo-08 Pokud nástroj provádí kontrolu integrity obrazového souboru u obrazového souboru, který byl od vytvoření souboru změněn, nástroj jej upozorní na dotčený lokační cílový obrazový soubor v jiném formátu, získaná data reprezentovaná v cílovém obrazovém souboru jsou stejná jako získaná data ve zdrojiLAO-1l Na vyžádání se vytvoří klon během akvizice a14. května 2013FTK Imager CLI 290 Debian
Tvrzení TestovanéTesty Anomálnídigitální zdrojLAO-12 Na požádání je vytvořen klon z imaAO-13Areated pomocí přístupového rozhraní DST-Al k zápisu do klonového zařízení je vytvořen nezarovnaný klon, každý sektor zapsaný do jediného je přesně zapsán na stejnou adresu disku na klonu thatedAO-17 Pokud je to požadováno, žádné přebytečné sektory na cílovém zařízení klonu 16nejsou upravenyAO-19 Pokud je pomocí všech dostupných sektorů klonAO-20 vytvořen thace pro vytvoření úplného neunkovaného klonu Pokud je vytvořen zkrácený klon, nástroj upozorní uživatelAO-23 Pokud jsou důležité informace, pak formace přesně zaznamenány v souboru protokoluAO-24 Pokud se nástroj provádí ve forenzně bezpečném provedení33, digitální zdroj se nezmění acTdvě testovací tvrzení platí pouze za zvláštních okolností Tvrzení AO-22 je zaškrtnuto které vytvářejí blokové hashe Tvrzení Ao-24 je kontrolováno pouze v případě, že je nástroj vybaven v běhovém prostředí, které nemění připojená úložná zařízení, jako je MS-DOS. V normálním provozu se k ochraně zdrojová jednotka Tabulka 4 uvádí tvrzení, která nebyla obvykle testována, protože nástroj nepodporuje některé volitelné funkce, např.
, vytvoření cylindrického klonuTable 4 Assertions Not TestedAssertions Not testedAM-07 Všechny skryté sektory jsou získány z digitálního zdrojeAO-03 Pokud dojde k chybě při zápisu obrazového souboru, nástroj upozorní uživateleAo-10 Pokud je dostatek místa pro uložení všechny soubory přepínání ae a ifdestination zařízení jsou podporovány, obraz pokračuje na jiném zařízeníAO-15 Pokud je vytvořen zarovnaný klon, každý sektor v souvislém rozsahu sektorů je zdroj přesně zapsán na stejnou adresu disku na klonovacím zařízení vzhledem k umění rozsahu jako sektor obsazený na původním digitálním zdroji Rozsah sektorů je definován buď jako připojitelný oddíl nebo souvislá sekvence sektorů, které nejsou součástí rozšiřitelného oddílu Rozšířené oddíly, které mohou obsahovat jak připojitelné oddíly, tak nepřidělené sektory, nelze připojit partitionsAO-16 Pokud je specifikována podmnožina obrazu nebo akvizice, je celá podmnožina klonována květen 2013FTK Imager CLI 290 Debian
Tvrzení netestovánoAo-18 Pokud je požadováno, je do nadbytečných sektorů klonuAo-21 zapsána benigní výplň. Pokud dojde k chybě zápisu během vytváření klonu, nástroj na to upozorní uživatele, nástroj vypočítá hodnoty hash bloku pro zadanou velikost bloku během akvizice pro každý blok získaný z digitálního zdroje3 1 Vytváření zkrácených klonůTestovací případ DA-04 měřil chování FrK Imager cli v29 Debianu, když byl požádán o získání fyzického zařízení do zkráceného klonu Testovací případ DA-17 testoval chování předcházení zkrácených klonů z obrazových souborů V obou případech nástroj neinformoval uživatele, že byl vytvořen zkrácený klon Testy skončily bez jakékoli zprávy informující uživatele, že cílový disk byl menší než zdroj Nástroj během operace klonu nezaznamenává informace o průběhu na obrazovku ani do souboru Objeví se že funkce protokolování zpráv u nástroje je omezena rozsahem pouze na pořizování snímků3 2 Vadný sektor Při klonování disku s vadnými sektory, testovací případ DA-09, nástroj zastavil akvizici v prvním vadném sektoru Uživateli nebylo zasláno žádné upozornění4 Testovací prostředíTesty byly spuštěny v laboratoři nist cftt Tato část popisuje vybrané teS, počítače dostupné pro testování, použití podpůrného softwaru a poznámky k dalšímu testování hardwar4
1 Spustit
ion EnvironmentTento nástroj byl spuštěn v prostředích debian Live 60 4 a Ubuntu 10 04 Lts42 Test Computers Ke spuštění nástroje byly použity dva počítače: DeathStar a FrankDeathStar má následující konfiguraciTCP Custom buProcessor Intel Core 15-25003 3GHZCDRWIDVDBIOS1 Verze 1 ASUS2fran10 Verze Konfigurace D800Processor Intel Pentium 4 340 GHZZASSEMBLY, Floppy Drive, 144M, 35-2013Of 119ftk Imaser CLI 290 Debiang cdrwidvBios Verze BF8651043 Podpora softwarového balíčku programů na podpůrná testovací analýza 20, použita FS-tst, byla použita, použita FS-tst, použito, FS-THEADETHTEADED: wwwcfttnistgov/diskimaging/fs-tst20zi4 4 Vytvoření testovacího disku Existují tři způsoby, jak lze pevný disk použít v testovacím případu nástroje: jako zdrojovou jednotku, která je nástrojem zobrazena, jako jednotku médií, která obsahuje soubory s obrázky vytvořené testem nástroje , nebo jako cílová jednotka, na které testovaný nástroj vytvoří klon jednotky Kromě operačního systému nástroje pro formátování jednotky se k nastavení testovací jednotky používají také některé nástroje (disku a diskhash) z balíčku fs-TST. Jednotky se řídí stejným obecným postupem, ale existuje několik kroků, které se mohou lišit v závislosti na potřebách jednotky. sektorové bajty jsou nastaveny na konstantní hodnotu výplně jedinečná pro každou jednotku Hodnota výplně je zaznamenána v souboru protokolu nástroje pro mazání disku2 Jednotka může být naformátována s oddíly, jak je požadováno pro váš testovací případ3
Volitelně lze nainstalovat operační systém4 Sada referenčních hodnot hash je vytvořena nástrojem FS-tST diskhash. Patří mezi ně hash shal i mds Kromě hodnot hash celé jednotky lze vypočítat také hodnoty hash každého artitionu5 Pokud je jednotka určena pro skryté mohou být vytvořeny plošné testy (DA-08), HPA, DCO nebo obojí, nástroj diskkhash se pak používá k výpočtu referenčních hashů z viditelných sektorů disku Zdrojové disky pro DA-09 jsou vytvořeny tak, aby existovala konzistentní sada vadných disků. z těchto zdrojových jednotek je inicializováno mazáním disku a jejich vadné sektory jsou aktivovány Pro každou z těchto zdrojových jednotek je duplicitní jednotka s442 Jednotka médiíPro nastavení jednotky médií je jednotka naformátována pomocí jednoho z podporovaných systémů souborů Aayest case4 43 Cílová jednotkaPro nastavení cíle disk, disk je naplněn známými daty programem pro stírání disku FS-TST Oddíly mohou být vytvořeny, pokud testovací případ zahrnuje obnovu z imageMay 2013of 119FTK Imager CLI 290 Debian
45 Analýza testovacího diskuPro testování, že vytvořené zařízení, např. DA-O1 DA-04 atd., je cílový disk porovnán se zdrojovým diskem s programem diskcmp z balíčku TST, pro testovací případy, které vytvářejí klon logického zařízení, tj. oddíl , např. DA-02, DA-20 atd., je cílový oddíl porovnán se zdrojovým oddílem pomocí programu partcmp. vytvořte soubor obrázku
Bo Cmpdediskcmp a partcmp poznámky rozdíly mezi zdrojem a cílem Pokud je cíl větší než zdroj, je naskenován a přebytečné cílové sektory jsou klasifikovány jako buď nerušené (stále obsahující vzor výplně zapsaný diskwipe) nulově vyplněné nebo změněné na něco elsePro testovací případ DA-09, který zobrazuje disk se známými vadnými sektory, se program ana-bad používá k porovnání referenčního disku s vadným sektorem s klonovanou verzí vadného sektoru.Pro testovací případy, jako jsou DA-06 a DA-07, jakákoliv akvizice hash vypočítaný v rámci testu je porovnán s referenčním hashem zdroje, aby se ověřilo, že zdroj je na testovacích jednotkách jednoduchý a přesný. Testování využívá několik testovacích disků od různých dodavatelů Disky jsou identifikovány externím štítkem, který se skládá z dvoumístného hexadecimálního čísla hodnota a volitelný tag, např. g25-SATA, Kombinace hexadecimální hodnoty a tagu slouží jako jedinečný identifikátor pro každý disk. sektory, které jsou naplněny zdrojem a cílovými místy na cíli, který je větší než původní zdroj5 Výsledek testuHlavním předmětem zájmu pro interpretaci výsledků testu je stanovení shody testovaného nástroje testujeme tvrzení, Vyhodnocuje se shoda s každým tvrzením testovaným daným testovacím případem prozkoumáním pole Log Highlights v testovací zprávě51Results Report Tabulka KeyTheng představuje vysvětlení každé části podrobností testu v sekci52. Části Tester Name, Test Host, Test Date, Drives, Source Setup a Log highlights pro každý testovací případ jsou vyplněny úryvky. převzato ze souborů protokolu vytvořených testovaným nástrojem a nástroji fs-tST, které byly spuštěny na podporu nastavení testovacího případu První řádek ID testovacího případu, název a verze nástroje shrnutí testovaného případu z Digital Data Acquisition Tool května 2013FTK Imager CLI 290 Debian
Nejlepší výsledky za rok 2013 pro digitální pořizování dat TooFTK Imager cLl 2
90 DebianNcJ242138
N丿Greg Ridgeway jednající ředitel, National Institute of JustiStandards of the nattute of Standards and Teagency Souhlasíte s programy, s úřadem pro oběti trestných činů a s úřadem o
Výsledky testu z května 2013 pro nástroj diData Acquisition ToolK Imager C0 DebianStandards and TechnologyU
S Ministerstvo obchodu
ObsahJak číst tuto zprávuShrnutí výsledků2 Výběr testovacího případu3 Výsledky podle testovacího tvrzení31 Vytváření zkrácených klonovacích sektorů41 Prováděcí prostředí43 Podpora softwaru44 Vytvoření testovací jednotkyzdrojová jednotka442 Jednotka média777888889443 Cílová jednotka45 Analýza testovací jednotky46 DAATA21DA1DA-ATA-Výsledky testu Key502ATA-122 Testovací disky5051 48523DA -01-FW5
24DA-01-SATA2825DA-01-SATA481926 DA-OI-SCS2128DA-02CF9 DA-02-EXT0 DA-02-EXT42 DA-O2-NT5213 DA-02-THUMB5214DA-040521,06DA-045621,06DA-040521 06-SATA28455219A-06-SATA4845220DA-06-SCSI221DA-06-USBA-07-CEA-07-EXT3224DA-07-EXT4
25DA07-F165226DA07-F325,227DA07-NT5228 DA-O7-THUMB5229DA-095230DA-10E70A-10-E015232DA-10-S0l5233DA-122333DA-1223334DA-1223334DA-1223334DA-1222334DA-1223334DA-1222334DA-095230DA-10E70A 8DA-14-E040DA-14- EXDA-14F165242DA-14F3252
43244DA-14NT99%524DA-14-S015,2,46DA-14-SATA285247A-14-SATA481025248DA-14-SCSI5249 DA-14-THUMB5250DA-14-USB26DA2DA526DA-024ED 2E06DA-26- D2S0DA-26-E012E5259DA26-E012S015260DA-26-S012D1172615262DA26-S012E0l
Úvod Program Computer Forensics Tool Testing (CFTT) je společným projektem Nationale (N), ministerstva pro vnitřní bezpečnost (DHS) a Nationalf Standards and Technology Law Enforcement Standards Office (OLES) a Laboratoře informačních technologií (ITL ) CFTT podporují další organizace, včetně Federálního úřadu pro vyšetřování, Centra pro počítačovou kriminalitu amerického ministerstva obrany, programu USRevenue Service pro kriminální zločiny a Ministerstva pro vnitřní bezpečnost Úřadu pro imigraci a celní prosazování, USA pro cla a ochranu hranic a USSecret Service Cílem programu Cftt je poskytnout měřitelnou záruku výzkumníkům a dalším použitelným uživatelům, že použité nástroje forenzního vyšetřování poskytují přesné výsledky K tomu je zapotřebí vývoj specifikací a testovacích metod pro počítačové forenzní nástroje a následné testování konkrétních nástrojů podle těchto specifikací Výsledky testů poskytují vývojářům informace potřebné ke zlepšení nástrojů, uživatelů učinit informovaná rozhodnutí a právnická komunita a další porozumět možnostem nástrojů Přístup CFTT k testování počítačových forenzních nástrojů je založen na uznávaných metodologiích pro testování kvality conod Specifikace a testovací metody jsou zveřejněny na webu Cftt (http://wwwcfttnistgov/) ke kontrole a komentáři ze strany počítačové forenzní komunity Tento dokument uvádí výsledky testování FTK Imager CLI 2
90_Debian proti theCfttWebsite (http://wwwcfttnistgov/da-atp-pc-0lpDfTest výsledky z jiných nástrojů lze nalézt na webové stránce Nw pro testování forenzních nástrojů pro počítačové forenzní nástroje http://wwwoipusdoigov/nij/topics/technology/electronic-crime/cftthtlow k přečtení této zprávyTato zpráva je rozdělena do pěti sekcí První část je shrnutím výsledků testovacích běhů Tato část většině čtenářů stačí k posouzení vhodnosti nástroje pro zamýšlené použití Zbývající části zprávy popisují, jak byly testy provedeny prodiskutujte veškeré anomálie, na které jste narazili, a poskytněte dokumentaci podrobností o běhu testovacího případu, které podporují shrnutí zprávy. Část 2 poskytuje zdůvodnění pro výběr testovacích případů ze sady možných případů definovaných v plánu testování pro Digital Testovací případ je obecně vybrán na základě funkcí Offertheection 3 popisuje hlouběji veškeré anomálie shrnuté v první části Část 4 uvádí hardware a software používaný ke spuštění testovacích případů s odkazydalší informace o použitých položkách Část 5 obsahuje popis každého spuštění testovacího případu Popis každého testovacího běhu uvádí všechna testovací tvrzení použitý v testovacím případě
Ověřený výsledek a skutečný výsledek si prosím přečtěte v dokumentaci dodavatele k použití květen 2013FTK Imager CLI 2
90 Debian