USA
Ministerstvo spravedlnosti Úřad spravedlnosti P810 Seventh Street NwEric H Holder, JMary Lou Leary Asistent právního zástupce GeneraGreg Ridgeway Úřadující ředitel, Národní institut spravedlnosti další publikace a produkty Úřadu spravedlnosti Programy Bezpečnější sousedství
V prostředí Windows 2000 je spuštěno pouze prvních 268, 435, 456 sektorů (12&GB) disku většího než 128 GB nástroje arele (DA-08-DCOs je kvůli omezením systému Windows 2000 pro zpracování disků vyžadujících 8bitové adresování Nejedná se o problém s nástrojem, tento výsledek je uveden proto, aby si byl čtenář vědom následků2 Výběr testovacího případuTestovací případy používané k testování nástrojů pro zobrazování disků jsou definovány v Digitální data Aeassertions a testovací plán verze 10 K testování nástroje jsou vybrány testovací případy z dokumentu testPlan na základě funkcí nabízených nástrojem Ne všechny testovací případy nebo testy jsou vhodné pro všechny nástroje
Existuje základní sada základních případů (DA-06, DA-0d DA-08), která je přizpůsobena pro každý testovaný nástroj Funkce nástroje vedou výběrové další testovací případy Pokud daný nástroj implementuje danou funkci, pak testovací případy s ní souvisí. funkce jsou spuštěny Tabulka 1 uvádí funkce vybrané pro testování a propojené testázy vybrané pro provedení Tabulka 2 uvádí funkce, které nebyly vybrány pro testování, a test/základní podporované Volitelné případy funkcí vybrané k provedení06,07&08Chyba čtení během získávání09Vytvoření klonu z obrazu file14&17Přepínání cílového zařízení13Vytvoření nezarovnaného klonu z digitálního zdroje 02Vytvoření zkráceného klonu z fyzického zařízení04možné 2 vynechané testovací případyNepodporováno Volitelné případy funkcí Vynecháno (neprovedeno)Vytvořit cylindrové zarovnané klony&ufficient file58 vo13 Chyba k dispozici pro soubor5Fi13 přebytek sektory na klonovacím zařízení&23Vytvořte klon z podmnožiny obrazového souboru16Vyplňte přebytečné sektory při akvizici klonu Zjištění poškozeného (nebo změněného) obrázkuNěkteré testovací případy mají variantní formy pro přizpůsobení parametrů v rámci testovacího tvrzení Tyto varianty jsou navrženy tak, aby pokryly parametry, které se mohou lišit v rámci tesasse připojte acqqterface ke zdrojovému disku (Src-AIMarch 2013 X-Ways Forensics 148
typ získaného digitálního zdrojového (DS) objektu, potomka (XE) a záření, ve kterém jsou sektory na jednotce skryty. Další parametry, které se mezi testovacími případy a variacemi testovacího případu lišily, byly typy vypočítaného hashového algoritmu, velikost segmentu obrázku, použití hardwarového blokování zápisu a typ použitého hardwarového blokování zápisu Následující rozhraní pro přístup ke zdroji byla testována ata28 atA48 SATA4SCSI FW a usB Tyto jsou uvedeny jako variace testovacích případů dA-O1 DA-06 DA-08 a dA-14 Následující digitální zdroje byly testováno: oddíly (FAT12, FAT16, FAT32, FAT32X, NTFS), kompaktní flash (CF) a flash disk (palec) Existují dvě varianty FAT 32 obou kódů oddílů FAT 32 OXOB (FAT32) a OXOC (FAT32Xe označené jako variace v testu případy da-02 a DA-07Hardwarové blokátory zápisu byly použity v určitých variantách testovacího případu da-o1 DA-02 DA-07DA-08 a dA-093 Výsledky testovacího tvrzeníTestovací tvrzení je ověřitelné prohlášení o jedné podmínce po Aktiprovozovaný tímto testem, testovací případ obvykle kontrola tvrzení po provedení nástroje v rámci testovacích tvrzení jsou definována a propojena s testovacími případy v nástroji Digital Data Acquisition Tool Assertions and Test Plan verze 10 shrnuje výsledky testů pro všechny testovací případy podle tvrzení Sloupec labeledAssertions Tested uvádí text každého tvrzení
Sloupec označený Testy uvádí počet testovacích případů, které používají dané tvrzení Sloupec označený Anomálie udává číslo oddílu v této zprávě, kde jsou diskutovány jakékoli pozorované anomálie. AnomalAM-01 Nástroj používá přístupové rozhraní SRc-ai pro přístup k digitaSourceAM-02 Získává digitální zdroj DSAM-03 Nástroj se spouští v exekučním prostředí XEAM-04 Pokud je zadáno vytvoření klonu, nástroj vytvoří klon souboru 13digitalAM-05 If image file vytvoření je zadáno, nástroj vytvoří obraz 25soubor na souborovém systému typu FSAM-06 Všechny viditelné sektory jsou získány z digitálního zdroje35LAM-07 Všechny skryté sektory jsou získávány z digitálního zdroje březen 2013 X-Ways Forensics 148
AM-0S Všechny sektory získané z digitálního zdroje jsou získány/-sts AnomalyAssertions testovánoAM-09 Pokud se při čtení z vybraného digitálního zdroje vyskytnou nevyřešené chyby, nástroj upozorní uživatele na typ chyby a umístění v rámci digitálního zdrojeAM-10 Pokud při čtení z vybraného dochází k nevyřešeným chybám, nástroj používá benigní vyplnění cílového objektu nepřístupných datAO-01 Pokud nástroj vytvoří soubor obrázku, data reprezentovaná 2AO-04 Pokud nástroj vytváří soubor obrázku a existuje na cílovém zařízení obrazu není dostatek místa pro uložení obrazového souboru, upozorní uživateleAO-05 Pokud nástroj vytvoří vícesoubor požadované velikosti, pak 2jednotlivé soubory nesmějí být větší než požadovaná velikostAO-10 Pokud není dostatek místa k obsahovat všechny soubory vícesouborového obrazu, a pokud je podporováno přepínání cílového zařízení, obraz pokračuje na jiném požadovaném zařízení, klon je vytvořen během získávání digitálního zdrojeAO-12 Na požádání je vytvořen klon ze souboru obrazuAo-13 A klon je vytvořen pomocí přístupového rozhraní DSt-Al k zápisu klonovacího zařízení
AO-14 Pokud je vytvořen nezarovnaný klon, každý sektor zapsaný do thelone je přesně zapsán na stejnou adresu disku na klonu, který sektor zabírá na digitálním zdrojiAO-17 Pokud je to požadováno, žádné přebytečné sektory na cílovém zařízení klonu 12 nejsou upravenAO-19 Pokud není dostatek místa pro vytvoření úplného klonu, vytvoří se zkrácený klon pomocí všech dostupných sektorů clorAO-20 Pokud je vytvořen zkrácený klon, nástroj upozorní uživatele, že informace o AO-23 jsou přesně zaznamenány v souboru protokoluAO-24 Pokud se nástroj spouští ve forenzně bezpečném exekučním prostředí, digitální zdroj se změnil akvizicíTabulka 4 Tvrzení nebyla testována Tvrzení nebyla testovánaAO-02 Pokud je zadán formát souboru obrázku, nástroj vytvoří soubor obrázku ve specifikovanémAo-03 Pokud dojde k chybě při zápisu obrázku soubor, nástroj uživatele upozorní březen 2013 X-Ways Forensics 148
Tvrzení netestovánoAO-06 Pokud nástroj provádí kontrolu integrity souboru obrázku u souboru obrázku, který se od vytvoření souboru nezměnil, nástroj upozorní uživatele, že soubor obrázkuAo-07 Pokud nástroj provádí soubor obrázku kontrola integrity u souboru s obrázkem, který byl od vytvoření souboru pozměněn, nástroj upozorní uživatele, že soubor s obrázkem má Ao-08 Pokud nástroj provede kontrolu integrity souboru s obrázkem u souboru obrázku, který byl od vytvoření souboru změněn, nástroj upozorní uživatele na dotčená umístěníAo-09 Pokud nástroj převede zdrojový soubor obrázku z jednoho formátu na cílový soubor obrázku v jiném formátu, získaná data reprezentovaná v cílovém souboru obrázku jsou stejná jako vytvořený požadovaný klon zarovnaný s daty, každý sektor v souvislém rozsahu sektorů, ve kterých je zdroj přesně zapsán na stejnou adresu disku na klonovacím zařízení vzhledem k začátku rozsahu, jako je sektor obsazený na původním digitálním zdroji Rozsah definovaný tak, aby byl buď připojený nebo sektory, ne součást připojitelného oddílu Extended oddíly, které mohou obsahovat připojitelné oddílyL i nepřidělené sektory, nejsou připojitelné oddílyAO-16 Pokud je specifikována podmnožina obrazu nebo akvizice, je naklonována celá podmnožinaAO-18 Na požádání se do nadbytečných sektorů klonuAo zapíše benigní výplň -21 Pokud během vytváření klonu dojde k chybě zápisu, nástroj upozorní uživateleA0-22sted nástroj vypočítá hashe bloku fod velikost bloku během uzamčení získaného z digitálního zdroje3
1 Změny metadat během obnovy nebo systému klonování mohou nastat, když obraz logické jednotky FAT32 nebo NTFS U souborových systémů FAT32 obvykle neexistují více než tři sektory se změnami, složitější ntfs může mít více než 200 sektorů metadat, alespoň jedna změněna ( DA-02-CF DA-02-F32 DA-02nade operačním systémem Někdy lze změnám zabránit odebráním zařízení bez dodržení normálního postupu vypnutí3 2 Získání HPa a dcoNástroj neodstraní HPA ani DCO Nástroj ano nezískat sektory skryté pomocí HPA nebo dco v dariacích testovacího případu DA-08-DCO, DA-08-AtA28 a da08-ATA48 K odstranění HPA lze použít samostatný nástroj X-ways Replica Nástroj zobrazí následující vyskakovací okno je detekován windan hpa nebo dco březen 2013 X-Ways Forensics 148
Překrytí X-Ways ForensicsAconfguration [DOK3 3 Logická akvizice oddílu NTFS Osm nepoužitých sektorů na konci oddílu obsahujícího systém souborů NTFS není požadováno (DA-07-NTFS) Oddíl má 27, 744, 192 sektorů, ale nástroj získává pouze27744 184 sektorů skposledních osm sektorů Posledních osm sektorů souborového systému však není použito k tomu, aby obsahovalo žádná uživatelská data. Osm sektorů je vynecháno, protože uživatel zvolil nástroj pro získání logického disku místo fyzického disku Pokud je vybrán fyzický disk, všechny sektory oddílu, který by měl být získán. To se netýká toho, aby si čtenář uvědomil rozdíl mezi výběrem logického vS, fyzické akvizice3
4 Získání 48bitového adresového disku z Windows 2000Pouze prvních 268, 435, 456 sektorů disku, který vyžaduje 48bitové adresování (tj. larg08-DCO) Windows 2000 by neměl být používán k získávání disků větších nan 12G8 (DA než 128 GB) získané, pokud je nástroj spuštěn v prostředí Windows 200035 Získání chybných sektorůNástroj umožňuje specifikaci řady sektorů, které se mají přeskočit při chybném výkonu sektoru, ale některé čitelné sektory jsou získány při použití funkce přeskočení (DA-09-FW, DA -09-FW-XP a DA-09-USBng Prostředí Testy byly provedeny v laboratoři nist cftt Tato část popisuje testovací počítače dostupné pro testování pomocí podpůrného softwaru a poznámky k dalšímu testovacímu hardwaru41 Testovací počítače Byly použity tři testovací počítačeFreddy, Frank a Joe má následující konfiguraci Základní deska Intel Desktop D865GB/D865PERC (s řadičem ATA-6 IDE na desce)BIOS VOBF86510A86A0053P13Adaptec SCSI BIOS V3100Intel@B Pentium M 4 cpu 3 4Ghz2577972Way01 RAMchs
SONY DVD RW DRU-530A, jednotka ATAPI CD/DVD-ROM 44 MB paměti pro vyměnitelný pevný disk driDva sloty pro vyměnitelné jednotky pevného disku SATADva sl
ots pro vyměnitelný pevný disk scsi42 Podpůrný software Byl použit balíček programů na podporu testovací analýzy, FS-TST Release 20 Software lze získat z http://wwwcfttnistgov/diskimaging/fs-tst20zip4 3 Vytvoření testovacího disku Existují tři způsoby, jak lze použít pevný disk v testovacím případu nástroje: jako zdroj řízený thafiles disku s nástroji vytvořenými během testování nebo jako cílový disk, na kterém testovaný nástroj vytvoří klon zdrojové jednotky Kromě nástrojů pro formátování jednotky operačního systému jsou k dispozici některé nástroje (wipe a diskhash) z balíčku FS-TST se používají k nastavení testovací jednotky Chcete-li nastavit jednotku médií, je jednotka naformátována pomocí jednoho z podporovaných souborových systedia jednotka může být použita v několika testovacích případech Nastavení většiny zdrojových jednotek se řídí stejným obecným postupem , ale existuje sedm kroků, které se mohou lišit v závislosti na potřebách testovacího pouzdra, disk je naplněn známými daty programem diskwipe z FS-TST Program Diskwipe zapíše adresu sektoru do každého sektoru v C/H/S i lBaormat The zbytek bajtů sektoru je nastaven na konstantní hodnotu výplně unique forach driveHodnota výplně je zaznamenána v souboru protokolu nástroje pro čištění disku Jednotka může být naformátována pomocí partit3 Volitelně může být nainstalován operační systém4 Sada referenčních hodnot hash je vytvořena nástroj FS-tST diskhash Patří sem hashe jak shal, tak mds Kromě úplných hashů disku hash každého artitionu možná5 Pokud je disk určen pro testy skryté oblasti (Da-08), lze vytvořit HPa, dco nebo obojí. Nástroj diskhash je pak se používá k výpočtu referenční hodnoty hash pouze pro viditelné sektory jednotky Zdrojové jednotky pro DA-09 jsou vytvořeny tak, že na jednotce je konzistentní sada chybových činitelů Každá z těchto zdrojových jednotek je inicializována vymazáním disku a jejich chybné sektory jsou aktivovány. každý z těchto zdrojových disků, druhý disk potom jako chybný sektorový disk, ale bez vadných sektorů, slouží jako referenční disk pro obrazy vytvořené z vadného disku. Pro nastavení cílového disku je disk naplněn známými daty programem FS. -TST Partitions mohou být vytvořeny, pokud test z imasogical získá březen 2013 X-Ways Forensics 148
4 4 Analýza testovací jednotky U testovacích případů, které vytvářejí klon fyzického zařízení (např. DA-Ol a DA-04), se cílová jednotka porovnává se zdrojovou jednotkou s programem diskemp z balíčku TST. klon logického zařízení (tj. oddíl, např. DA-02 a DA-20), cílový oddíl se porovná se zdrojovým oddílem pomocí programu partcmp Pro cíl vytvořený z anfile (např. DA-14) se cíl porovná pomocí buď diskcmp (pro klony fyzického zařízení) nebo partcmpor partilones), do zdroje, který byl získán pro vytvoření souboru bitové kopie Bothdiskemp a partemp poznamenají rozdíly mezi zdrojem a cílem Pokud je cíl větší než zdroj, pak jsou nadbytečné cílové sektory kategorizovány jako buď, nerušený (stále obsahující vzor výplně napsaný diskwipeero vyplněný nebo změněný na něco jiného
nástroj může poskytovat funkci pro vymazání přebytečných partitdiskemp a partemp programy hlásí konečný stav přebytečné sektory U oddílu NTFS mohou být metadata zapsána do přebytečných sektorů, přepsání hodnot výplně umístěných diskwipe K určení velikosti se používá speciální postup stav přebytečných sektorů po obnovení oddílu NTfs, jako je testovací případ DA-14-NTFS, je cílová jednotka nejprve vyplněna vzorkem disku a před oddílem je vypočítán hash, cílový po použití nástroje k obnovení oddílu, další hash je vypočítán přes přebytečné sektory cíle, pokud se dva hash shodují, pak žádný z přebytečných sektorů nebyl ovlivněn testem DA-09, který zobrazuje disk se známými vadnými sektory, program anabádoval k porovnání vadného sektorového referenčního disku s klonovaná verze chybných sektorů, jako je dA-06 a DA-0 pořizovací hash vypočítaný v rámci testu, je porovnán s referenčním hashem zdroje, aby se ověřilo, že zdroj byl kompletně a přesně získán45 Komentáře k Test Drivesan externí štítek, který se skládá z 2 číslic Hera ety dodavatelů Jednotky jsou identifikovány podle SATA) Kombinace hexadecimální hodnoty a tagu slouží jako jedinečný identifikátor pro každou jednotku. Dvouciferná hexadecimální hodnota je používána programem Fs-tSt diskwipe jako hodnota výplně sektoruPočet sektorů fs-tsdiskcmp a partcmp které jsou vyplněny hodnotami zdrojové a cílové výplně v cíli, který je větší než původní zdrojová tabulka 5 uvádí použité zdrojové testovací disky Modely a sériová čísla jsou uvedeny podle ata IdEntify zařízení commanTable 5 testovacích disků DriveSerial#Size (sektoryO1-IDEI WDC WD400BB-0OJHCO WD-WMAMC7417100 78165360Březen 201310 z 109X-Ways Forensics 148
Nejlepší výsledky BŘEZEN 2013 pro nástroj pro získávání digitálních dat X-Ways Forensics 14
8NcJ236224
N丿Greg Ridgeway jednající ředitel, National Institute of JustiStandards of the nattute of Standards and Teagency Souhlasíte s programy, s úřadem pro oběti trestných činů a s úřadem o
Březen 2013Výsledky pro digitální data Acquisition Toolays Forensics 14
8andards a Tech
ÚvodJak číst tuto zprávuVýsledky2 Výběr testovacího případu3 Výsledky podle Test Assertion3 1 Změny metadat během obnovy nebo klonování3,2AHPA a dco33 Logické pořízení jednotky NTFS Partitionf 48bitové adresy ze systému Windows 20004 Testování er41 Výsledky testu Col42 Support Software Key588855C1590 Testing Details 01-ATA28ATA28524DA-01-SATA48525DA-01-SCSI526DA-01-USB27DA-02CF529DA-02-F165210DA-02-F32211DA-02-F32X212 DA-02-THUM800
13DA-045214DA-06-Fw5215DA-06-ATA285217DA-06CF5218 DA-06-FLOPPY5219DA-06PART5220DA-06-SATA285221DA-06-SATA48522225DA-046DAUSSCSI522111 25225DA-07F16X-Ways Forensics 148
5226DA-07-F325227DA-07-F32X5228DA-07NTFS5229 DA-O7-THUMB5230DA-08-ATA285231DA-08-ATA485233DA09-ATA5234DA-09-09FW395231 2
38DA-13239DA-14-ATA25240DA-14-ATA485241DA-14CF5242DA-14-F12243DA-14-F165245DA-14F32X5246 DA-14-FLOPPY52452DA-5014SDA-1452DA-5014 485251 DA-14-THUMB5252DA-14-USB5253DA-1X - Ways Forensics 148
úvod Program Computer Forensics Tool Testing (CFTT) je společným projektem Národního institutu spravedlnosti (ND), výzkumného a vývojového ministerstva spravedlnosti USA a laboratoře CFTT pro laické vymáhání norem Národního institutu pro standardy a technologie a laboratoře informačních technologií další organizace, včetně Federal Bureau of Investigation, US Department of Defense Cyber Crime Center, US Internal Revenue Service CriminalProgram a US Departmelomeland Security Bureau of Imigration and Customs Enforcement, US Customsand Border Protection a US Secret Service (USSS) Cíl CFTT vyžaduje vývoj specifikací a testovacích metod pro počítačové forenzní nástroje a následné testování specifických nástrojů proti těmto výsledkům Testy poskytují informace potřebné pro vývojáře ke zlepšení nástrojů, uživatelé činí informovaná rozhodnutí a právnická komunita a další porozumí schopnostem nástrojů CFTT přístup k testování počítačových forenzních nástrojů je založen na testování kvality svaru Specifikace a metody jsou zveřejněny na webové stránce Ftt (http://wwwcfttnist
govd) k posouzení a komentáři počítačové forenzní komunity Tento dokument obsahuje výsledky testování X-Ways Forensics, verze 148, proti tvrzením digitálního Data ATool a testovacímu plánu veLO, který je k dispozici na webu Cftt (http://wwwcfttnistgov/da-atp-pc-01pdiTest výsledky z jiných nástrojů a metodologie nástroje cftt lze nalézt na webové stránce nijsCFTThttp://wwwniigov/nii/topics/forensics/evidence/digital/standards/cftthtmow k přečtení Tato zpráva je rozdělena do pěti sekcí První část je souhrn z výsledků testovacích běhů a je dostačující pro většinu čtenářů k posouzení vhodnosti nástroje pro zamýšlené použití Zbývající části zprávy popisují, jak byly testy provedeny, diskutují o případných anomáliích, které byly zjištěny, a poskytují dokumentaci podrobností o běhu testovacího případu, které zprávu podporují shrnutí Část 2 zdůvodňuje výběr testovacích případů ze souboru možných případů definovaných v plánu testování pro nástroje Digital DatAcquisition Testovací případy se vybírají obecně na základě funkcí nabízených nástrojem. Část 3 popisuje hlouběji veškeré anomálie shrnuté v první oddíl 4 uvádí hardware a software používaný ke spuštění testovacích případů s odkazy na běh additicase Popis každého testovacího běhu uvádí všechna testovací tvrzení použitá v testovacím případu, očekávané
výsledek a skutečný výsledek Další informace týkající se funkcí a způsobů uXForensicsseethevendorWeb(http://wwwx-ways
combřezen 2013 X-Ways Forensics 148
est Výsledky pro nástroj Digital Data Acquisition Tool TestedforensicsSpuštěná prostředí: windows: 2000 XPX-Ways Software Technology AGAdresa:ⅹ- Ways AG50676 Cologne+49221-4204865mail@x-wayscomWWWhttp:/wwwx-wayscomAlogické případy, kde stcept,alogické výsledky partitimaged nebo zdrojový disk obsahující skryté sektory, byla vytvořena bitová kopie hostitelské chráněné oblasti (HPa) překryvné konfigurace zařízení (dco) Nástroj přesně obnovil vytvořené klony s výjimkou operací klonování nebo obnovy na cermovatelných médiích, kde byly malé změny v metadatech souborového systémuNěkteré čitelné sektory může být záměrně přeskočeno, řízeno nastavením parametrů, aby se zlepšil výkon při získávání disku s vadnými sektory DA-09-FW, DA-09-FW-XP a DA-09-USB) Osm nepoužitých sektorů na konci oddílu obsahujícího není vyžadován souborový systém NT (DA-07-NTFS) Je to proto, že uživatel nástroje zvolil získání logické jednotky namísto fyzické jednotky
Je-li vybrána fyzická jednotka, měly by být získány také sektory oddílu Toto je poznámka k výsledku nástroje, aby si čtenář uvědomil rozdíly mezi výběrem alogického a fyzického pořízení Nástroj nezískává žádné sektory skryté pomocí HPA nebo DCO Nicméně skryté sektory jsou viditelné a poté získají dříve skryté sektory (DA-f takeXWays lze znovu použít přesunout hpaDCOATA28, DA-08-ATA48 a DA-08-DCO) změny mohou být provedeny operačním systémem v systému souborů metadataFAT32 nebo NTFSe (DA-02CF DA-02-F32 DA-02-F32X DA-14-CF DA-14-F32 DA-14-F32X a DA14-NTFS) Nástroj nemá žádnou kontrolu nad těmito změnami březen 20133 z 109X-Ways Forenzní 148