Sei sulla pagina 1di 3

Formati di file Forensics

Molti programmi di informatica forense, in particolare le suite all-in-one, utilizzare i propri formati di file
per memorizzare le informazioni.
Contenuto
1 formati di file indipendenti
o 1.1 AFF
o 1.2 AFF4
o 1.3 gfzip (zip forense generico) formato di file
o 1.4 Raw Formato immagine
2 formati di file di programma-Specific
o 2.1 formato di file immagine Encase
o Di 2.2 iLook Investigator IDIF, IRBF, e formati IEIF
o ProDiscover formato di file immagine del 2,3 ProDiscover famiglia
o Sgzip Format 2.4 di PyFlag
o 2.5 Rapid Action Imaging dispositivo (RAID) s 'Formato
o Format 2.6 di SafeBack
o Format 2.7 di SDi32
o 2.8 Formati di SMART
o 2.9 I programmi con un formato di file specifico
Formati file Indipendenti
Questi formati di file sono stati sviluppati indipendentemente da qualsiasi pacchetto forensics specifico.
AFF
I dettagli completi del format e una implementazione di lavoro possono essere scaricati
dal http://www.afflib.org/
AFF4
AFF4 una riprogettazione completa del formato AFF. AFF4 orientata verso grandi corpus di
immagini. dotato di una scelta dei formati binari come Zip, Zip64 e semplici directory. Stoccaggio pu
essere fatto utilizzando HTTP normale, cos come l'imaging direttamente a un server HTTP centrale
utilizzando WebDAV. Il formato include il supporto per le mappe - che sono a zero trasformazioni copia
dei dati - ad esempio, invece di memorizzare una copia nuova di un file scolpito abbiamo appena
memorizzare la mappa dei blocchi assegnati a questo file. Questo rende banale per tagliare
un'immagine in molti modi diversi senza spese di magazzinaggio (per esempio: tritare un'immagine di
memoria nei vari spazi di indirizzamento dei processi, estrarre flussi TCP da un file PCAP senza spese
di copia o estrarre tutti i file da un file system con nessuna copia). AFF4 supporta anche la crittografia e
l'immagine della firma. Fusibile supporto AFF4 per presentare le immagini in modo trasparente ai clienti.
gfzip (zip forense generico) formato di file
Gfzip mira a fornire un formato aperto per il completo forensi 'files' compressi 'e' firmati 'immagine del
disco di dati. Immagini disco non compressi possono essere utilizzate allo stesso modo dd immagini
sono, come gfzip utilizza dati primo pi ultimo progetto. Gfzip utilizza multi livello SHA256 digerire
guardie integrit basati invece di SHA1 o deprecato MD5 algoritmo. Utente fornito meta-dati
incorporato in una sezione dei meta-dati all'interno del file. Una caratteristica molto importante che gfzip
concentra sulla estesamente l'uso di dati firmati e sezioni di meta-dati che utilizzano certificati X509.
Raw Formato immagine
Questo formato una copia RAW bit per bit dell'originale. E 'spesso accompagnata da meta-dati
memorizzati in formati diversi.
Formati dei file di programma-Specific
Tali formati sono stati sviluppati per l'utilizzo con uno specifico programma forense. A volte possono
essere utilizzati con altri programmi i cui autori hanno esplicitamente reverse-engineering del
software. Altre volte non possono.
Formato Encase file immagine
Forse lo standard de facto per le analisi forensi in applicazione della legge, di Guidance
Software EnCase forense utilizza un formato chiuso per le immagini. Questo formato fortemente
basato su Expert Witness Formato di compressione di ASR dati. Di EnCase Evidence formato (. E01) Il
file contiene un bitstream fisica di un disco acquisita, preceduto da un colpo di testa "Caso Info",
intrecciata con checksum (Adler-32) per ogni blocco di 64 settori (32 KB), e seguita da un pi di pagina
contenente un MD5 hash per l'intero flusso di bit. Contenute nell'intestazione sono la data e l'ora di
acquisizione, il nome di un esaminatore, osserva l'acquisizione, e una password
opzionale; l'intestazione conclude con il suo checksum.
Non solo il formato comprimibile, anche consultabile. La compressione block-based, e tabelle di
salto e di "puntatori a file" sono mantenuti nell'intestazione del formato o tra i blocchi "per migliorare la
velocit". Le immagini disco possono essere divisi in pi file di settore (ad esempio, per l'archiviazione di
CD o DVD).
Fino alla versione 5 di EnCase i file segmentati potrebbero essere non pi grandi di 2 GB. Questa
restrizione stata rimossa con un lavoro intorno ai 31-bit valori di offset nella versione 6 di EnCase.
Il formato limita il tipo e la quantit di metadati che pu essere associato a un'immagine. EWF estesa
(EWF-X) definito dal progetto libewf offre un lavoro in giro per questa restrizione specificare un nuovo
header e (digerire) sezione hash utilizzando stringa XML per memorizzare i metadati. Questi file EWF-X
E01 sono compatibili con EnCase e permettono di memorizzare pi metadati.
Anche se alcuni hanno decodificato il formato per amor di compatibilit, guidances estensioni al formato
rimane chiuso.
ILook Investigator IDIF, IRBF, e IEIF formati s '
ILook Investigator v8 e il suo omologo-Disk Imaging, IXimager , offrono tre proprietarie, formati
autenticati immagine: compressi (IDIF), non compressi (IRBF), e crittografati (IEIF). Anche se alcuni
dettagli tecnici sono resi pubblici, la documentazione in linea di IXimager fornisce alcuni spunti: IDIF
"comprende meccanismi di protezione per rilevare le modifiche dal soggetto dell'immagine sorgente al
modulo di uscita" e sostiene "la registrazione delle azioni dell'utente entro i confini di tale evento;" IRBF
simile a IDIF tranne che le immagini disco sono lasciati non compresso; IEIF, nel frattempo, ha detto
crittografati immagini.
Per la compatibilit con iLook Investigator v7 e altri strumenti forensi, IXimager consente la
trasformazione di ciascuno di questi formati in formato raw.
ProDiscover della famiglia ProDiscover formato di file immagine
Utilizzato da tecnologia Pathways ProDiscover famiglia di strumenti di sicurezza, il formato di file
immagine ProDiscover si compone di cinque parti: a 16 byte di intestazione file immagine, che
comprende un numero di firme e la versione per un'immagine; una immagine 681 byte Dati testata, che
contiene metadati fornito dall'utente sull'immagine; Dati di immagine, che comprende un unico blocco di
dati non compressi o una matrice di blocchi di dati compressi; un array di blocchi compressi dimensioni
(Se i dati dell'immagine , infatti, compresso); e I / O registrare gli errori che descrive gli eventuali
problemi durante l'acquisizione dell'immagine.
Anche se abbastanza ben documentato, il formato non estensibile.
PyFlag s ' sgzip Formato
Supportato da PyFlag , un "forense e Analisi dei Log GUI" iniziato come un progetto del Dipartimento
della Difesa australiano, sgzip una variante seekable del formato gzip. Comprimendo blocchi (di
32KB, per impostazione predefinita) individualmente, sgzip permette immagini disco da ricercare per
parole chiave senza essere completamente decompresso. Il formato non associare metadati con le
immagini. In aggiunta al suo formato sgzip, PyFlag pu anche leggere e scrivere il formato Expert
Witness Compressione e AFF.
Dispositivo Azione Rapid Imaging (RAID) s 'Formato
Anche se relativamente piccolo dettaglio tecnico a disposizione del pubblico, dispositivo Rapid Action
Imaging DIBS USA (RAID) offre ", costruito nel [sic] il controllo di integrit" e deve essere progettato per
creare una copia identica in formato raw di un disco su un altro. La copia pu quindi "essere inserito in
una workstation forense".
SafeBack Format s '
SafeBack, un'utilit basata su DOS progettato per creare copie esatte di interi dischi o partizioni, offre
un formato "auto-autenticazione" per le immagini, per cui SHA256hash vengono memorizzate insieme ai
dati per garantire l'integrit di quest'ultimo. Anche se alcuni dettagli tecnici sono comunicati al pubblico,
gli autori di SafeBack affermano che il software "salvaguarda i valori SHA256 memorizzati
internamente".
SDi32 Format s '
Software di imaging progettato per essere utilizzato con hardware di blocco in scrittura, SDi32 di Vogon
International in grado di fare copie identiche di dischi su nastro, disco, o un file, con CRC32 opzionale
e MD5 impronte digitali. Le copie vengono memorizzate in formato raw.
SMART Formati s '
SMART , una utility software per Linux progettata dagli autori originali di Expert Witness (venduto sotto il
nome di EnCase), pu memorizzare immagini disco come sequenze di bit puri (compressi o non
compressi), e anche in Expert Witness Formato di compressione di ASR dati . Le immagini memorizzate
in quest'ultimo formato possono essere memorizzati come file singolo o in pi file di segmento, ciascuna
delle quali consistono in una intestazione di 13 byte standard seguito da una serie di sezioni, ciascuna
di tipo "header", "volume", "tavolo "," next ", o" fatto ". Ogni sezione comprende relativa stringa tipo, uno
spostamento alla sezione successiva, le sue dimensioni a 64 bit, padding, e un CRC, oltre ai dati o
commenti effettivi, se applicabile 64-bit. Anche se la sezione "intestazione" del formato supporta le note
a forma libera, un'immagine pu avere soltanto un tale sezione (solo il primo file di segmento).
I programmi con un formato di file specifico
Diversi programmi in grado di leggere diversi formati di file, ma non hanno i propri formati proprietari.