一、 硬件是计算机系统快速、高效、可靠运行的基础。
构成:运算器、存储器(取证的主要对象)、控制器和I/O控制系统等部件组成。
二、 内存(Memory)
- 也称内存存储器,ROM\RAM。是cpu、显卡或者其他内存板卡可以直接寻址的存储空间。结构:
- 特点:存取速度快。
- 作用:加速数据和cpu的交换。
- 内存主要用于暂时保存程序和数据,并与外部存储器交换数据。
- 形象举例:内存是京东,硬盘是淘宝,
- 内存无法直接看到a,b,c这样的字符或jpg图片,只有0和1两个数字,计算机也只认识二进制的0和1.
- 病毒静态时存储于磁盘中,激活时驻留与内存中
因此计算机病毒检测分为对内存的检测和对磁盘的检测。 - 内存取证
内存中有大量结构化和非结构化的数据,通过物理内存镜像可提取有价值数据。
操作系统及各种应用软件均经常需要与物理内存进行数据交换,由于内存空间有限,因此计算机还有可能将内存中的数据缓存于磁盘中。如:pagefile.sys(页交换文件)及hiberfil.sys(休眠文件) - 内存取证应用
破解Bit locker加密
三、 外存 - 外部存储设备。主要包括磁存储器(机械硬盘)、电存储器(固态硬盘、U盘、存储卡)和光存储器(光盘)。
- 磁存储器
i. 构造:利用金属、玻璃或塑料基体上的磁性材料的两种不同磁化状态记录二进制代码0和1的存储设备
ii. 原理:工作时,磁层随磁基体高速运转,利用磁头从磁层上读取或写入信息,实现了电信号与磁信号间的相互转换。
iii. 优点:存储量大、价格低。
iv. 缺点:存储速度慢、机械结构复杂。
v. 分类:按载磁基体形状和材质不同分
a) 机械硬盘(磁盘)
b) 磁带
c) 磁鼓
vi. 机械硬盘是电子数据取证的主要对象
难点:容量越来越大、固定时间长
vii. 1973年,IBM公司推出“温彻斯特”结构机械硬盘,第一次使用密封组件将磁盘封装起来,这也是目前机械硬盘的机械结构。
3. 电存储器
i. 随着半导体技术不断革新,rom和ram基本被闪存(Flash)存储器取代。
ii. Flash是一种存储芯片,通过程序可修改数据
分为NANDN flash和NOR flash
iii. 优点:取证速度快、时间段。
缺点:加密、删除难以恢复。
iv. 闪存存储器现在广泛应用于内存、显卡存、BIOS芯片等内存中,还广泛用于U盘、固态硬盘、播放器、手机等电子设备。 - 光存储器(光盘)
优点:廉价的数据备份
缺点:速度慢、需对应读取设备(驱动器)