2026-03-09 01:50:55 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文属网络安全取证系列，聚焦存储取证技术。介绍了数字取证概念，阐述了数据抽象层次，涵盖物理介质、块设备、文件系统及应用工件四级。分析了各层级数据组织形式，强调独立取证重建对获取隐藏证据、恢复数据及分析恶意软件的重要性，指出底层分析虽成本高但关键。 综合评分： 78 文章分类： 应急响应,数据安全,逆向分析

cover_image

网络安全取证（八）操作系统分析之存储取证

祺印说信安

2026年3月8日 06:01 河南

以下文章来源于河南等级保护测评，作者铸盾安全

河南等级保护测评 .

等级保护，不只是等级测评！一起探讨更全面的等级保护制度！做对用户有真实价值的网络安全服务，等级保护测评、风险评估、网络安全培训、网络安全咨询、网络安全合规。传播网络安全知识，分享网络安全政策，共建风清气正的网络安全氛围。

网络安全取证（一）定义和概念模型

网络安全取证（二）定义和概念模型之定义

网络安全取证（三）定义和概念模型之概念模型

网络安全取证（四）定义和概念模型之概念模型

网络安全取证（五）定义和概念模型之概念模型

网络安全取证（六）定义和概念模型之取证流程

网络安全取证（七）操作系统分析

《网络安全知识体系》

网络安全取证（八）

操作系统分析

简介

数字取证科学或数字取证是应用科学工具和方法来识别，收集和分析数字（数据）工件，以支持法律诉讼。从技术角度来看，正是识别和重建相关事件序列的过程导致了目标IT的当前可观察状态。系统或（数字）伪影。随着信息技术的快速采用，数字证据的重要性与日新月异，导致数据以指数级的速度不断积累。同时，网络连接和IT系统的复杂性迅速增长，导致可能需要调查的更复杂的行为。

该知识区的主要目的是提供数字取证技术和功能的技术概述，并将其置于网络安全领域其他相关领域的更广泛视角。关于数字取证的法律方面的讨论仅限于一般原则和最佳实践，因为这些原则的应用的具体情况往往因司法管辖区而异。例如，知识区讨论了不同类型证据的可用性，但没有通过获取这些证据必须遵循的法律程序进行工作。法律&法规CyBOK知识领域讨论了与管辖权和获取，处理和提供数字证据的法律程序相关的具体问题。

内容

2 操作系统分析

2.1存储取证

硬盘驱动器（HDD），固态驱动器（SSD），光盘，外部（USB连接）介质等形式的持久存储。是大多数数字取证调查的主要证据来源。尽管（易失性）内存取证在解决案件中的重要性已经大大增加，但对持久性数据的彻底检查仍然是大多数数字取证调查的基石。

2.1.1数据抽象层

计算机系统将原始存储组织在连续的抽象层中-每个软件层（有些可能在固件中）构建一个增量更抽象的数据表示，该表示只是取决于紧挨着它的层提供的接口。因此，存储设备的取证分析可以在多个抽象级别执行：

物理介质。在最低级别，每个存储设备都对一系列位进行编码，原则上可以使用自定义机制逐位提取数据。根据底层技术的不同，这可能是一个昂贵且耗时的过程，并且通常需要逆向工程。这个过程的一个例子是手机数据的采集，其中一些可以物理地移除（拆焊）存储芯片并执行真正的硬件级内容采集。类似的“芯片化”方法可以应用于闪存设备，如SSD，以及功能和接口有限的嵌入式和物联网（IoT）设备。另一种实用的方法是采用支持硬件开发过程的工程工具，并采用例如标准JTAG接口-设计用于测试和调试目的-来执行必要的数据收购。

实际上，执行典型检查的最低级别是主机总线适配器（HBA）接口。适配器实现标准协议（SATA，SCSI），通过该协议可以使它们执行低级操作，例如访问驱动器的内容。类似地，NVMe协议用于从基于PCI Express的固态存储设备执行采集。

所有物理介质最终都会出现故障，并且存储数据的（部分）可能变得不可用。

根据故障的性质和设备的复杂程度，可以恢复至少一些数据。例如，可以更换HDD的故障控制器并恢复内容。对于集成度更高、更复杂的设备，这种硬件恢复变得更加困难。

块设备。典型的HBA呈现块设备抽象-介质表示为一系列fixed大小的块，通常由512或4096字节组成，并且每个块的内容可以使用块读/写来读取或写入命令。典型的数据采集过程在块设备级别工作，以获取取证目标的工作副本-此过程称为成像-所有进一步处理都执行。从历史上看，术语扇区用于指磁性硬盘的数据传输单元;（逻辑）块是一个更通用的术语，独立于存储技术和物理数据布局。

文件系统。块设备没有文件s，目录的概念，或者-在大多数情况下-哪些块被认为是已分配的，哪些块是免费的;文件系统的任务是将块存储组织成一个基于文件的存储，其中应用程序可以创建文件和目录，其中包含所有相关的元数据属性–名称、大小、所有者、时间戳、访问权限等。

应用程序工件。用户应用程序使用文件系统来存储对最终用户有价值的各种工件-文档、图像、消息等。操作系统本身还使用文件系统来存储自己的映像-可执行的二进制文件，库，配置和日志，注册表项-并安装应用程序。某些应用程序工件（如复合文档）具有复杂的内部结构，集成了不同类型的多个工件。对应用程序工件的分析往往会产生最直接相关的结果，因为记录的信息与人们发起的行动和通信最直接相关。随着分析的深入（到较低的抽象级别），需要更大的努力和更多的专业知识来独立地重建系统的行为。例如，通过了解特定文件系统的磁盘结构，工具可以从其组成块中重建文件。从像微软Windows这样的封闭系统获得这些知识的成本特别高，因为涉及大量的黑匣子逆向工程。

尽管成本高昂，但独立的取证重建至关重要，原因如下：

• 它能够恢复无法通过正常数据访问接口获得的证据数据。

• 它构成了恢复部分覆盖数据的基础。

• 它允许发现和分析破坏系统正常功能的恶意软件代理，从而使通过常规接口获得的数据不可信。

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：祺印说信安《网络安全取证（八）操作系统分析之存储取证》