【镜像取证篇】听说你还分不清镜像的源盘哈希和镜像文件的哈希？

【镜像取证篇】听说你还分不清镜像的源盘哈希和镜像文件的哈希？

听说你还分不清镜像的源盘哈希和镜像文件的哈希？镜像的两层防护，镜像的源盘哈希、镜像文件的哈希傻傻分不清—【蘇小沐】

1、实验环境

（一）DD镜像和E01镜像对比

1、FTK Imager制作DD镜像和E01镜像的哈希对比

使用FTK Imager制作同一U盘的DD镜像和E01镜像，制作完成后比对。

镜像结果：制作DD镜像文件的哈希和FTK Imager校验的源盘哈希值一致！

镜像结果：制作E01镜像文件的哈希和FTK Imager校验的源盘哈希值不一致！

那么问题来了，为什么E01镜像文件的哈希值和FTK Imager校验的源盘哈希值不一致！

（二）DD和E01镜像不同点

1、DD和E01镜像内容

在镜像校验结果中，我们可以看到DD镜像里面只显示有MD5和SHA1的哈希校验，而E01镜像中多了"已存储的验证散列"值。这就是为什么E01镜像和DD镜像不同的原因之一。

E01镜像特殊之处就在于其镜像的内部可以存储有选填的证据项信息（案件编号、证据编号、唯一描述、检查员、备注，全部都是非必填项），以及源盘序列号、调查员姓名、哈希值等元数据元素，而且还可以根据需要设置不同的镜像压缩级别（默认压缩级别数为6）。

如果发现镜像文件的哈希不一样，不要急着否定源数据被污染了，应该第一时间检验"镜像的源盘"显示的哈希是否一样，如果一样就是原始的！！！

如果发现镜像文件的哈希不一样，不要急着否定源数据被污染了，应该第一时间检验"镜像的源盘"显示的哈希是否一样，如果一样就是原始的！！！

如果发现镜像文件的哈希不一样，不要急着否定源数据被污染了，应该第一时间检验"镜像的源盘"显示的哈希是否一样，如果一样就是原始的！！！

镜像其实就是源盘数据的两重防护措施，对外防护自身，对内守护内心！！！所以一开始文章标题我有写另外一个名字的，就是"镜像的两种防护"！！！哈哈，题外话。

2、X-Ways Forensics测试E01镜像

【备注：FTK Imager目前只支持MD5和SHA1的哈希校验，如果使用的是其他软件制作的E01镜像并校验了SHA256等之外的哈希值，则FTK Imager校验是不会显示其它哈希校验值的】

比如同样使用实验U盘作为源盘，通过X-Ways制作一个E01镜像，校验值选择MD5和SHA256，结果如下。

使用FTK Imager计算X-Ways的源盘哈希，发现SHA1散列处无"已存储的验证散列"。说明了源盘未校验有SHA1校验值，但可能有其他校验值，只是FTK Imager无法显示或者无法校验而已。

（三）案件镜像建议

如果是监控视频硬盘，尤其是长时间运行的监控，比较建议采用DD镜像。如果只是短时间运行的视频监控，其周期远小于覆盖周期，则可采用E01镜像，便于节约存储空间。（具体请根据自身案件情况来！！！）

原因一：因为监控一般采用循环覆盖的方式，对于长时间运行的视频监控制作E01镜像并不会造成多大的空间压缩，反而容易拖慢制作镜像的速度。

原因二：视频编码格式本身也是一种压缩格式，E01再压缩的空间也不大。直接DD镜像速度和分析速度也更有利一些。

1、【题外话】

虽然这MD5、SHA1两种算法已经被破解，现在都推荐使用SHA256及以上算法，但实际操作中，想伪造碰撞哈希也不是一件容易的事情。感兴趣的可以看历史文章密码学部分记录。

当然，不会出现哈希连号这种事情就是了！！！

总结

书写片面，纯粹做个记录，有错漏之处欢迎指正。

公众号回复关键词【FTK】自动获取资源合集。

【声明：欢迎转发收藏，个人创作不易，喜欢记得点点赞！！！转载引用请注明出处，著作所有权归 [蘇小沐] 所有】

【注：共享资源收集于官网或互联网公开材料，仅供学习研究，如有侵权请联系删除，谢谢！】

【往期精彩回顾】

关注我，了解更多取证知识，别忘了点赞+在看哦！****

本文转自 https://mp.weixin.qq.com/s/KuSKIVUcEFpij7GjRjxqWw，如有侵权，请联系删除。