SF T 0105-2021 存储介质数据镜像技术规程.pdf

1、 ICS 35.240 CCS L60 SF 中 华 人 民 共 和 国 司 法 行 政 行 业 标 准 SF/T 0105 2021 存储介质 数据镜像 技术规程 Code of practice for forensic imaging of storage media 2021 - 11 - 17 发布 2021 - 11 - 17 实施 中华人民 共和国 司 法部 发 布 SF/T 0105 2021 I 目 次 前言 . II 1 范围 . 1 2 规 范性 引用 文件 . 1 3 术 语和 定义 . 1 4 缩 略语 . 1 5 仪 器设 备 . 2 6 镜 像获 取程 序 . 3

2、 7 过 程要 求 . 3 8 记 录内 容 . 6 参考文 献 . 7 SF/T 0105 2021 II 前 言 本文件 按照GB/T 1.1 2020 标 准化 工作 导则 第1 部分： 标准 化文 件的 结构 和起草 规则 的 规 定 起草。 请注意 本文 件的 某些 内容 可能涉 及专 利。 本文 件的 发布机 构不 承担 识别 专利 的责任 。 本文件 由 司 法鉴 定科 学研 究院 提 出。 本文件 由 司 法部 信息 中心 归口。 本文件 起草 单位 ： 司 法鉴 定科学 研究 院、 公安 部第 三研究 所、 上海 市人 民检 察院、 厦门 市美 亚柏 科 信息股 份有 限公

3、司、 厦 门 市兴百 邦科 技有 限公 司。 本文件 主要 起草 人： 李岩 、 施少 培、 郭 弘、 吴松 洋、 高峰、 徐志 强、 孙 奕、 卢启 萌、 曾 锦华、 杨恺 、 李致君 、张 辉极 、刘 善军 、胡壮 。 SF/T 0105 2021 1 存 储介质 数据镜像 技术规 程 1 范围 本文件 规定 了 存 储介 质数 据镜像 获取 的仪 器设备 、 程序 、 过程 要求 和记 录内容 。 本文件 适用 于司 法鉴 定/ 法 庭科学 领域 中存 储介 质数 据镜像 的获 取 和 使用 。 2 规范性 引用 文件 下列文 件中 的内 容通 过文 中的规 范性 引用 而构 成本 文件

4、必 不可 少的 条款 。 其 中 ， 注日 期的 引用 文件 ， 仅该日 期对 应的 版本 适用 于本文 件； 不注 日期 的引 用文件 ， 其 最新 版本 （包 括所有 的修 改单 ） 适 用 于 本 文件。 GA/T 14762018 法庭 科 学远程 主机 数据 获取 技术 规范 3 术语和 定义 下列术 语和 定义 适用 于本 文件。 源 source 镜像获 取过 程的 输入 数据 、存储 介质 或电 子设 备。 目标 target 镜像获 取过 程的 输出 文件 或存储 介质 。 镜像文 件 image file 从数据 源复 制生 成的 ，可 重新构 建数 据源 数据 比特 流的

5、一 个或 一组 目标 文件 。 坏块 bad block 存储介 质中 由物 理故 障导 致的无 法读 取的 数据 区域 。 合理填 充 benign fill 在镜像 获取 过程 中， 当数 据 源特定 数据 区域 无法 读取 时， 或 目标 存储 介质 存在 多 余数据 存储 区域 时， 向镜像 文件 （3.3 ） 或者 目 标存储 介质 对应 的数 据存 储区域 填充 指定 数据 的过程 。 注： 填充的指定数据可以是二进制全0 、 二进制全1 或者 “BADBLOCK ” 等显著标示该数据不是来自数据源的文本内容 ， 以避免与其他数据产生混淆 。 在线镜像 获取 live image

6、acquisition 在 电子 设备 运行 状态 下， 以其中 的存 储介 质、 分区 （卷） 为源 （3.1 ） 的镜 像 获取过 程。 4 缩略语 下列缩 略语 适用 于本 文件 。 SF/T 0105 2021 2 ATA 高级 技术 附件 （Advanced Technology Attachment ） BIOS 基本 输入 输出 系统 （Basic Input/Output System ） DCO 设备 配置 覆盖 区（Device Configuration Overlay ） FC 光 纤通 道（Fiber Channel ） HPA 主机 保护 区（Host Protec

7、ted Area ） IDE 集成 磁盘 电子 接口 （Integrated Drive Electronics ） iSCSI 基 于因 特网 的小 型 计算机 系统 接口 （Internet Small Computer System Interface ） PCIe 外设 组件 互连 快线 （Peripheral Component Interconnect Express ） RAID 独立 磁盘 冗余 阵列 （Redundant Array of Independent Disks ） SAS 串行 小 型 计算 机系 统 接口（Serial Attached SCSI ） SATA

8、 串行 高级 技术 附件 （Serial Advanced Technology Attachment ） SCSI 小型 计算 机系 统接 口（Small Computer System Interface ） S.M.A.R.T. 自 我监 测、 分 析及报 告技 术 （Self-Monitoring Analysis and Reporting Technology ） TPM 可信 平台 模块 （Trusted Platform Module ） USB 通用 串行 总线 （Universal Serial Bus ） 5 仪器设 备 硬件 存储介 质数 据镜 像获 取 和 使用所 涉

9、及 的硬 件设 备包 括但不 限于 ： a) 电子数 据 鉴 定专 用计 算机 ； b) 存储介 质 复 制设 备 ； c) 存储介 质只读 设 备； d) 多功能 只读 读卡 器； e) 存储介 质诊 断检 测设 备； f) 故障硬 盘修 复设 备； g) 光盘修 复设 备； h) 免拆机 硬盘 复制 工具 ； i) 计算机 绕密 取证 工具 ； j) 存储介 质转 接接 口及 数据 线； k) 分线器 ； l) 系统引 导盘 ； m) 网络设 备； n) 数码照 相机/物 证翻 拍仪 ； o) 数码摄 像机 。 软件 存储介 质数 据镜 像获 取 和 使用所 涉及 的软 件工 具包 括但不

10、 限于 ： a) 只读 软 件； b) 具备镜 像获 取功 能的 软件 ； c) RAID 阵列 重组 工具 ； d) 完整性 校验 值计 算工 具； e) 内存获 取软件 ； f) 内存数 据分 析软 件； g) 镜像文件 格 式转 换工 具； h) 镜像挂 载工 具； i) 屏幕录 像软 件。 SF/T 0105 2021 3 6 镜像获 取程 序 常规镜 像获 取方 式 常规镜 像获 取方 式一 般遵 循以下 程序 ： a) 将源存 储介 质从 所在 电子 设备上 断开 ； b) 准备目 标存 储介 质并 对其 进行清 洁性 检查 ； c) 将源存 储介 质及 目标 存储 介质连 接至

11、检验 设备 ，并 采取只 读措 施防 止改 变源 存储介 质数 据； d) 读取源 存储 介质 的数 据， 逐比特 复制 到镜 像文 件或 目标存 储介 质； e) 校验镜 像文 件或 目标 存储 介质的 数据 完整 性。 免拆机 镜像 获取 方式 不满足 常规 镜像 获取 方式 条件时 ，可 选用 以下 方式 进行免 拆机 镜像 获取 ： a) 在线镜像 获 取方 式： 使用 电子设 备 运 行中 的操 作系 统环境 获取 镜像 ； b) 引导获 取方 式 ： 使 用系 统 引导盘 启动 电子 设备 ， 挂 载源存 储介 质和 目标 存储 介质后 获取 镜像 ； c) 网络获 取方 式： 通

12、过 网络 访问或 挂载 源存 储介 质获 取镜像 ； d) 外 部 加载 获 取方 式： 将 源存 储 介质 所 在的 电子 设 备作 为 外部 存 储介 质连 接 至 检验 设备 获 取 存 储介质 镜像 。 示例： 部分型号的苹果计算机可在启动时设置为目标磁盘模式，连接至另一台苹果计算机后获取镜像。 7 过程要求 准备阶 段 7.1.1 发现与 识别 存储 介质 7.1.1.1 检材为 电子 设备 时， 可通 过以下 一种 或多 种方 法发 现与识 别 源 存储 介质 ： a) 检查电 子设 备上 的存 储介 质接口 ， 寻找 内置 或外 接 的源存 储介 质 。 应 关注 的 接口包 括

13、但 不限 于 以下类 型： 1) IDE 接 口； 2) SATA 接口 及其 衍生 接口 （MicroSATA 、mSATA 等） ； 3) SCSI 接口 ； 4) SAS 接 口； 5) FC 接 口； 6) 火线（FireWire ）接 口（1394A 、1394B）； 7) USB 接口 （USB-A、USB-B 、USB-C） 及其 衍生 接口 （mini-USB 、Micro-USB 等 ）； 8) M.2 接 口； 9) U.2 接 口； 10) PCIe 接口 ； 11) 雷雳（Thunderbolt ）接口； 12) 厂商专 有接 口（ 如苹 果计 算机固 态硬 盘接 口）

14、 。 b) 通过BIOS 、操 作系 统和 RAID 控 制器 等界 面 检 查并 识 别 连接 至电 子设 备的 存储 介质； c) 检查并 识别 基于 iSCSI 协 议的网 络存 储介 质。 7.1.1.2 识别具 有特 定关 联性 的存 储介质 组合 形态 （ 如 RAID 、混合 存储 等） 。 7.1.2 判断存 储介 质状 态 7.1.2.1 可通过 读 取S.M.A.R.T. 信息 、 辨识 存储 介质 运转声 音等方 法 ， 或 通过 制造商 或第三 方提 供 的 存储介 质诊 断检 测工 具初 步判断 源存 储介 质状 态， 状态分 类及 分类 原则 如下 ： a) 正常：

15、 没有 坏块 ，或 未检 测出异 常； b) 稳定损 坏 ： 数 据区 域有 坏块 ， 多 次读 取时 坏块 位置 不变 ， 且 读取 过程 中跳 过坏 块不 会降低 性能 ； SF/T 0105 2021 4 c) 不稳定 损坏 ： 数 据区 域 有 坏块， 多次 读取 时坏 块位 置不稳 定， 或读 取过 程中 会出现 明显 性能 下 降、持 续报 错或 异响 ； d) 无法读 取 ： 全部 数据 区域 均无法 读取 。 7.1.2.2 包含 源 存储介 质的 电子设 备处于 运行状 态时 ， 如需 断开电 源 ，应 先确 认 源存 储介质 的 加密 情 况。 7.1.3 选择镜像 获取

16、方式 7.1.3.1 满足以 下全 部条 件时 ，适 用常规 镜像 获取 方式 ： a) 源存储 介质 便于 从所 在电 子设备 移除 或断 开； b) 源存储 介质 具有 通用 数据 接口； c) 源存储 介质 具备 只读 条件 。 7.1.3.2 满足以 下一 个或 多个 条件 时，适 用免 拆机 镜像 获取 方式： a) 断电或 关机 可能 导致 数据 源无法 访问 ； b) 源存储 介质 不便 于拆 卸； c) 源存储 介质 加密 ，且 不具 备独立 解密 条件 （如 受 TPM 和 Apple T2 等 硬件 加 密芯片 保护 的 磁 盘 ）； d) 源 存 储介 质 具有 特殊 的

17、 数据 接 口或 特 殊的 数据 组 成方 式 等， 使 用常 规 镜像获取 方 式无 法 获 得 完整数 据。 7.1.4 连接 检 验设 备 7.1.4.1 将存储 介质 从电 子设 备断 开前， 宜记 录电 子设 备接 口与存 储介 质的 对应 关系 。 7.1.4.2 宜选用 存储 介质 原有 接口 连接 至 检验 设备 。 示例： 安装于 USB 接口硬盘盒 内的SATA 接口硬盘宜选择SATA 接口 连接。 7.1.4.3 对于存 在多个 接口 的存储 介质或 电子设 备， 宜选用 传输带 宽和稳 定性 高的接 口连接 至检验 设 备 。 7.1.4.4 源存储 介质或 电子 设备

18、接 口无法 直接被 检验 设备支 持 时， 应选用 经过 稳定性 及兼容 性验证 的 转接接 口及 数据 线进 行转 换 。 7.1.4.5 使用分 线器 扩展 接口 时 ， 宜选用 独立 供电 的分 线器 。 7.1.4.6 具备只 读条件 的， 应采取 只读措 施，避 免改 变源存 储介质 数据； 不具 备只读 条件的 ，应对 镜 像获取 过程 进行 录像 。 7.1.4.7 检验设 备运行 过程 中应确 保全程 持续稳 定供 电，并 关闭自 动休眠 、屏 幕保护 程序等 可能产 生 干扰的 功能 或程 序 。 7.1.5 确定 镜 像目 标 7.1.5.1 镜像获 取前 ，应 确保 目标

19、 存储介 质或 存储 目标 镜像 文件的 位置 有充 足的 可用 空间 。 7.1.5.2 镜像目 标的格 式及 压缩、 分段、 加密等 特性 的选择 可 根据 镜像源 、存 储位置 、检验 设备情 况 以及后 续检 验要 求确 定 。 各类存 储介 质 的 镜像 获取 7.2.1 磁介质 硬 盘 7.2.1.1 若磁盘 存 在ATA 加密 ，应 先移除 加密 。 7.2.1.2 若检验 要求 关注 隐藏 数据 ，应 对 隐藏 区域 进行 处理 （如移 除HPA 和 DCO ）。 7.2.2 固态硬 盘 宜采取 避免 或抑 制TRIM 指令 的方 式获 取镜 像， 具体 方法包 括但 不限 于

20、： a) 禁用检 验设 备自 动挂 载分 区（卷 ）的 功能 ； b) 使用具 备禁 用自 动挂 载功 能的引 导盘 以引 导获 取方 式获取 镜像 ； c) 使用工 厂访 问模 式(Factory Access Mode) 获取 镜像 ； SF/T 0105 2021 5 d) 执行特 定的 系统 命令 。 7.2.3 USB 闪 存盘 7.2.3.1 若读取 过程 中遇 到坏 块， 应断电 后重 新加 电， 或重 置 USB 闪存 盘所 连接 的 USB 总线 。 7.2.3.2 不宜将 源存 储介 质与 目标 存储介 质连 接至 同 一 USB 分线器 。 7.2.4 存储卡 连接至 适

21、配 的只 读读 卡器 ， 参照USB 闪存 盘 获 取镜 像 。 7.2.5 光盘 7.2.5.1 非染料 层刮 花、 磨损 ，或 盘片不 平整 ，影 响读 取时 ，应先 进行 修复 。 7.2.5.2 对于多 区段 光盘 ，获 取镜 像时应 包含 所有 区段 。 7.2.6 RAID RAID 可 采用 以下 方法 之一 获取镜 像： a) 对于已 挂载 状态 的 RAID ， 以整个 卷为 源获 取镜 像 ； b) 使用引 导启 动方 式， 加 载RAID 驱动 后， 采取 只读 措 施获 取RAID 卷 镜像 ； c) 记录磁 盘排 列顺 序、RAID 类型和 条带 大小 等 RAID

22、配置 信息 后， 获取 RAID 中的 每个成 员盘 的 镜像。 7.2.7 混合存 储 对于非RAID 方 式 组 成 的 混 合 存 储 （ 如 苹 果Fusion Drive 、微软Storage Spaces 和 英特尔Optane Memory 等） ，可 采用 以下 方式获 取镜 像： a) 采用免 拆机 获取 方式 ，以 混合存 储中 的卷 为源 获取 镜像； b) 分别获 取每 个成 员盘 的镜 像，再 对数 据进 行重 组。 7.2.8 小型存 储系 统 使 用 在 线镜 像 获取 方 式时， 在 不 影响 数 据可 用 性的情 况 下 宜停 用 镜像 获 取过程 中 可 能

23、修 改 磁盘 数 据的服 务（ 如数 据库 ）。 7.2.9 远程服 务器 7.2.9.1 对于远 程服 务器 中的 源存 储介质 ，可 按 照GA/T 14762018 中的 4.6 要 求， 以网络 获取 方 式 获取镜像 。 7.2.9.2 对于云 端系 统， 可从 云服 务提供 商的 管理 界面 下载 镜像。 加密存 储介 质处 理 若源存 储介 质存 在全 盘加 密或部 分加 密， 可采 用以 下 一种 或多 种方 法处 理 ： a) 对于运 行状 态的 电子 设备 ， 将处于 解 密状 态的 存储 介质、 分区 （卷 ） 作 为镜 像 源， 进 行在 线 镜 像获取 ； b) 对于

24、运 行状 态的 计算 机设 备， 可获 取 其 物理 内存 的 镜像后 ， 分析 、 提 取解 密 密钥 ， 也 可通 过系 统命令 或绕 密工 具导 出解 密密钥 ； c) 使用委 托人 提供 的解 密口 令或解 密密 钥 ； d) 在其他 存储 介质 、电 子设 备或纸 质材 料上 查找 解密 口令或 解密 密钥 。 损坏存 储介 质处 理 7.4.1 当源存 储 介质 存在 磁头故 障、电 路板故 障、 外电路 故障、 晶振损 坏、 电机故 障或固 件损坏 等 非 数据存 储区 硬件 故障 ，造 成存储 介质 的数 据无 法读 取 时， 宜先 修复 硬件 故障 ，再获 取镜 像。 7.4

25、.2 当源存 储介质 存在 磁盘或 闪存芯 片坏块 、盘 片划痕 、磁头 读数据 性能 弱或磁 存储信 息弱等 数 据 存储区 的硬 件故 障， 造成 存储介 质稳 定损 坏或 不稳 定损坏 时， 可尝 试直 接获 取镜像 。 SF/T 0105 2021 6 7.4.3 获取稳 定损坏 存储 介质的 镜像时 ，可定 位并 跳过存 储介质 的损坏 区域 ，对未 损坏的 数据区 域 进 行镜像 。 7.4.4 获取不 稳定损 坏存 储介质 的镜像 时，在 综合 评估后 可选用 以下策 略中 的一种 或多种 方法定 位 存 储介质 的损 坏区 域， 对未 损 坏的 数据 区域 进行 镜像 ： a)

26、 绕过BIOS 和操 作系 统使 用 ATA 指令 读取 ； b) 禁用坏 块自 动重 映射 ； c) 逆向读 取； d) 跳过定 长区 域； e) 硬件复 位（ 如重 新加 电） ； f) 调整每 次读 取的 块大 小及 超时时 间； g) 多次读 取。 7.4.5 对于数 据区 域不 能完 整读 取的存 储介 质， 应采 用分 段 校验， 确保 可读 取数 据区 域 的数据 完整 性； 无法读 取的 数据 区域 在镜 像中应 被合 理填 充 。 8 记录内 容 存储介 质镜 像获 取过 程记 录宜包 含以 下内 容： a) 案件信 息（ 如案 件编 号和 案件名 称等 ）； b) 源存储

27、介质 或电 子设 备的 品牌、 型号 及 序 列号 等信 息 ； c) 源存储 介质 或电 子设 备送 检时的 性状 ； d) 源存储 介质 或电 子设 备 的 照片； e) 源存储 介质 或电 子设 备的 唯一性 标识 （如 唯一 性编 号或 资 产标 签等 ）； f) 源存储 介质 所在 电子 设备 内部时 钟的 时间 ； 注： 记录时钟时间时宜 关注不同操作系统对硬件时钟读取方式的差异。 g) 镜像获 取方 式及 镜像 类型 ； h) 镜像获 取工 具的 名称 、版 本号、 运行 方式 及参 数； i) 镜像获 取 的 操作 人员 ； j) 镜像获 取过 程的 开始 和结 束时间 ； k

28、) 镜像源 的起 始和 终止 物理 地址； l) 镜像源 和镜 像目 标的 完整 性校验 值； m) 镜像文 件名 及保 存位 置； n) 镜像获 取过 程中 的错 误或 异常情 况（ 若适 用） ； o) 口令或 密钥 等解 密所 需信 息（适 用于 已加 密镜 像） ； p) 合理填 充的 内容 及起 止位 置（适 用于 合理 填充 过程 ）。 检验设 备生 成的 记录 文件 若包 含 8.1 中的 任一 要素 ，可导 出后 作为 镜像 获取 过程记 录使 用。 SF/T 0105 2021 7 参考文 献 1 GB/T 31500 2015 信息安 全技 术 存储 介质 数据恢 复服 务

29、要 求 2 DL/T 1757 2017 电子数 据恢 复和 销毁 技术 要求 3 SF/Z JD0400001 2014 电 子数 据司 法鉴 定通 用实施 规范 4 SF/Z JD0401001 2014 电 子数 据复 制设 备鉴 定实施 规范 5 SWGDE. SWGDE best practices for computer forensic acquisitions. Version 1.0 6 Nikkel Bruce. Practical forensic imaging: securing digital evidence with Linux tools. No Starch Press,2016 7 Carrier Brian. File system forensic analysis. Addison-Wesley Professional,2005