|
当您第一次启动新版本的Backtrack 4时,您可能已经注意到了GRUB菜单与以往略有不同.
那么这个”Start BackTrack Forensics”的选项是关于什么的呢?
Live CDs 和电子取证长期以来,在进行电子取证时,由于各种原因,不允许对物证磁盘进行写操作,因此linux live启动光盘发挥了很大的作用.当配置了不自动挂载驱动器,并且知道如何挂载时,一张Linux Live启动光盘将会是一个完美的软件写操作拦截器.鉴于Linux Live启动光盘可以实现这样的功能,电子取证时使用Linux Live启动光盘能在任何情况下都不改变被取证物磁盘里的文件.
过去,Backtrack不能用于电子取证,因为Backtrack会自动挂载可识别的分区和可用的swap分区.这可能会导致物证被严重破坏,例如改变最后一次挂载分区的次数,改变磁盘上的数据,等等.
现在不同了!BackTrack4 Live启动光盘增加了安全取证模式启动选项.这是个很棒的消息,因为Backtrack是非常流行的livecd启动光盘,而且它唾手可得.
How?那么,让我们一探究竟.司法取证专员取证时比较注重细节,非常谨慎,那我们怎么知道用BackTrack来进行电子取证是否安全呢?
首先BackTrack 4 Live CD基于Casper,Casper根本没有包含自动挂载文件系统的脚本.系统初始化脚本在电子取证模式启动时被修改以使BackTrack 4不会自动寻找或使用可用的swap分区.所有的这类脚本都被从系统中移除.
验证为了测试这个功能,我们已经在各种硬件配置上用这个启动模式启动.每次测试,我们算出取证前的系统磁盘快照的MD5值,然后用电子取证模式启动,确认过文件系统或swap分区没有被使用,然后在系统上做取证操作,关闭系统算出取证后的系统磁盘快照的MD5值,对比两个快照的MD5值,每次测试得到的结果都是MD5值一致的,这证明了磁盘没有被改动过.
那么你能相信BackTrack 4可以用于电子取证了吗?好吧,您可以自己验证一下.
耳听为虚,眼见为实.在您使用它之前请自己核实一下.我们期待您得出的结果和我们一致, 您会发现BackTrack 4是个强大的工具箱. (如果您的结果有问题,请尽快告诉我们您的测试 过程的细节.您的操作过程才是问题所在.)
用法当您用BackTrack进行电子取证时, 请确认不要让它在无人监管的情况下启动. BackTrack的默认启动项是标准启动项, 如果您有可用的swap分区它会自动挂载. 启动的时候将会有一段延迟时间,以便让您有足够的时间来选择启动模式.
还有,请牢记,这是个Linux发行版.我们强烈建议您在使用前先熟悉Linux的操作,或者以前有过使用其它Linux Live启动盘做过电子取证的经验.
另外,请务必试试BackTrack 4中附加的电子取证工具,我们专注于镜像的附加和工具分类,但如果您发现自己喜欢的电子取证工具没有在附加列表中,请联系我们,我们会考虑把它加到列表里.
|
|