Yhdysvallat
Department of Justice Office of Justice P810 Seventh Street Nweric H Holder, JMary Lou LearyVt. Apulaisasianajaja GeneraGreg Ridgeway Vt. johtaja, National Institute of Justice Muut julkaisut ja tuotteet oOffice of Justice -ohjelmatSafer Neighborhoods
Digital Data Acquisition ToolTool TesteFTK Imager CLISoftware-version tulokset: 290 DebianDebian Live 604 ja Ubuntu 10 04 LtsvironmentAddress384 South 400 West Suite 200Lindon ut 84042 USA5410801Accessssss Datan FTK Imager CLI v29 Debian on suunniteltu kuvaamaan ja palauttamaan kovaa asemat ja muu toissijainen tallennusväline Se käyttää Debianin komentoriviliittymää hankittujen tietojen kuvaamiseen, kloonaamiseen ja palauttamiseen Lukuun ottamatta tapausta, jossa kuvattiin asema viallisilla sektoreilla (testitapaus DA-09), työkalu hankki testitietovälineen kaikki sektorit kokonaan ja A-17 jotka mittaavat työkalun käyttäytymistä, kun kohdetietovälineellä ei ole tarpeeksi tilaa kloonaus- tai palautustehtävälle, työkalu ei näyttänyt viestiä, joka osoittaa, että kohdeasemassa ei ollut tarpeeksi tilaa 3 1 ja 3 2 lisätiedoille testitapauksissa da-04
da-17 ja da2 Testitapausten valinta Levyn kuvantamistyökalujen testaamiseen käytettävät testitapaukset on määritelty Digital Data Acquisition ToAssertions - ja testisuunnitelman versiossa 0 Testaa tesPlan-asiakirjasta työkalun testitapauksia työkalun tarjoamien ominaisuuksien perusteella Ei kaikki testitapaukset tai testit ovat sopivia kaikille työkaluille On olemassa ydinjoukko perustapauksia (esim. DA-06 ja DA-07), jotka suoritetaan jokaiselle testatulle työkalulle Työkalun ominaisuudet ohjaavat valintaaLisätestitapaukset Jos tietty työkalu sisältää ominaisuuden, niin testilinkki to thatsts testattavat ftk imager cli v29 Debianin testattavat ominaisuudet ja suoritettaviksi valitut testitapaukset Taulukko 2 luettelee ominaisuudet, jotka eivät ole käytettävissä ftKImager cli v29 Debianissa ja testitapaukset, joita ei suoritettu Taulukko 1 valitut testitapaukset Tuetut valinnaiset ominaisuustapaukset, jotka on valittu suoritusta vartenLuo klooni un01Cluo un01Create dll kloonaa digitaalisesta lähteestä 02.5.2013 119FTK Imager CLI 290 Debianista
ed optionaCases Valitut ECluo katkaistu klooni fyysisestä laitteesta0406&Lukuvirhe d09Luo kuvatiedosto useammassa kuin yhdessä muodossa riittävästi tilaa kuvatiedostolle14&17Tunnista vioittunut (tai muuttunut) kuvatiedosto 24&25Muunna kuvatiedosto yhdestä muodosta ei-tuetut valinnaiset ominaisuustapaukset jätetty pois (ei suoritettu) Laitteen lO-virhegeneraattori käytettävissä&Luo kuva asemasta, jossa on piilotetut sektorit 08Kohdelaite vaihtaa klooni kuvatiedoston osajoukosta 16Täytä ylimääräiset sektorit kloonin hankinnassa.ylimääräiset sektorit kloonilaitteessa22&23 niillä on eri muotoja parametrien mukauttamiseksi testiväitteisiin. Nämä muunnelmat kattavat hankintarajapinnan lähdemediaan, hankitun digitaalisen objektin tyypin ja kuvatiedostomuodon. Seuraavat lähdeliitännät testattiin USB, ATA28, ATA48, FW, SATA28SATA48 ja scsi. Nämä on huomioitu muunnelmina testDA-O1 ja DA-OSeuraavat digitaaliset lähdetyypit testattiin: osiot (FAT16, FAT32, NTFS, EXTEXT4), kompakti flash (CF) ja muistitikku (Thumb) Nämä digitaaliset lähdetyypit on esitetty muunnelmina testitapauksissa da-02 ja da-07Työkalu tukee seuraavia kuvatiedostotyyppejä: SMART ew-pakattu, E0nd-salattu Nämä testattiin vaihtoehtoisina kuvatiedostomuotoina ja ne on merkitty 3 Tuloksina Test AssertionTestiväite on todennettavissa oleva lausunto yhdestä ehdosta käyttäjän suorittaman toimenpiteen jälkeen. testattavan työkalun yksittäisen suoritustestin väitteet määritellään ja linkitetään ja yhdistetään testitulokset kaikille testitapauksille väitteillä
Sarake Assertions Tested antaa jokaisen väitteen tekstin. Sarake Testit antaa toukokuun 2013FTK Imager CLI 290 Debianin
Testitapausten lukumäärä, jotka käyttävät annettua väitettä Poikkeama-sarake antaa näiden tämän raportin osien numeron, jossa havaitut poikkeavuudet käsitellään. Taulukko 3 Väite TestattuAM-OI Nämä käyttöliittymät SRC-al käyttääksesi digitaalistaAM-02:ta Työkalu hakee digitaalisen lähteen DSAM-03 Työkalu suoritetaan suoritusympäristössä XE
M-04 Jos kloonin luonti on määritetty, työkalu luo kloonin 14M-05:stä Jos kuvatiedoston luonti on määritetty, työkalu luo imageAM-06 Kaikki näkyvät sektorit hankitaan digitaalisesta lähteestä3232AM-08 Kaikki hankitut sektorit Digitaalisesta lähteestä hankitaan AM-09 Jos ratkaisemattomia virheitä ilmenee luettaessa valitusta2digitaalisesta lähteestä, työkalu ilmoittaa käyttäjälle virhetyypin ja sijainnin digitaalisessa lähteessäAM-10 Jos ratkaisemattomia virheitä lukee digitaalisesta lähteestä, työkalu käyttää hyvänlaatuista täyttöä. kohdeobjektin image-tiedostossa on sama kuin AO-O1:n hankkima tieto. Jos työkalu luo kuvatiedoston, tiedot edustavatAO-02 Jos kuvatiedostomuoto on määritetty, työkalu luo kuvan 3tiedoston määritetyn muodonAO -04 Jos työkalu luo kuvatiedostoa ja kuvan kohdelaitteessa on tilaa kuvatiedoston sisältämiseksi, AO-05e-kuvahakukoko, niin kaikki yksittäiset tiedostot eivät saa olla suurempia kuin pyydetty kokoAo-06 Jos työkalu suorittaa kuvatiedoston eheyden. tarkista kuvatiedosto, jota ei ole muutettu tiedoston luomisen jälkeen työkalu tuleeAO-07 Jos työkalu suorittaa kuvatiedoston eheyden tarkistuksen kuvatiedostolle 1, jota on muutettu luomisen jälkeen, työkalu ilmoittaa käyttäjälle, että kuvatiedosto on muutettuAo-08 Jos työkalu suorittaa kuvatiedoston eheyden tarkistuksen kuvatiedostolle, jota on muutettu tiedoston luomisen jälkeen, työkalu ilmoittaa kyseisestä kohdekuvatiedostosta toisessa muodossa, kohdekuvatiedostossa esitetyt hankitut tiedot ovat samat kuin hankitut tiedot lähteestäLAO-1l Pyydettäessä klooni luodaan hankittaessa 14.5.2013FTK Imager CLI 290 Debian
Väitteet TestatutTestit Epänormaalidigitaalinen lähdeLAO-12 Klooni luodaan pyydettäessä imaAO-13:sta, joka on kirjoitettu DST-Al-käyttöliittymän avulla 32kloonilaitteeseen ja luodaan tasaamaton klooni. Jokainen thelonelle kirjoitettu sektori kirjoitetaan tarkasti samaan levyosoitteeseen. kloonissa, joka on AO-17 Pyydettäessä, kloonin kohdelaitteen 16 ylimääräisiä sektoreita ei muokata käyttäjäAO-23 Jos tärkeät tiedot ja tiedot on tallennettu tarkasti lokitiedostoonAO-24 Jos työkalu suoritetaan rikosteknisesti turvallisessa suoritusmuodossa33, digitaalinen lähde on muuttumaton acKaksi testiväitettä pätee vain erikoistilanteissa. Väite AO-22 on tarkistettu jotka luovat lohkotiivisteitä Väite Ao-24 tarkistetaan vain, jos työkalu on ajonaikaisessa ympäristössä, joka ei muuta liitettyjä tallennuslaitteita, kuten MS-DOS. Normaalikäytössä kuvantamistyökalua käytetään kirjoituslohkolaitteen kanssa suojaamaan lähdeasema Taulukko 4 luettelee väitteet, joita ei yleensä testattu, koska työkalu ei tue jotakin valinnaista ominaisuutta, esim.
, sylinterikohdistetun kloonin luominen Taulukko 4 Väitteet Ei testattu Väitteet Ei testattuAM-07 Kaikki piilotetut sektorit hankitaan digitaalisesta lähteestäAO-03 Jos kuvatiedoston kirjoittamisessa tapahtuu virhe, työkalu ilmoittaa käyttäjälleAo-10 Jos tilaa on riittävästi kaikkia ae- ja ifdestination-laitteen vaihtamisen tiedostoja tuetaan, kuvaa jatketaan toisella laitteella jaksoalue alkuperäisen digitaalisen lähteen varaamana sektorina Sektoreiden alue määritellään joko liitettäväksi osioksi tai peräkkäiseksi sektoriksi, joka ei ole osa lisättävää osiota. osiotAO-16 Jos kuvan tai hankinnan osajoukko on määritetty, kaikki osajoukko kloonataan toukokuu 2013FTK Imager CLI 290 Debian
Väitteet, joita ei ole testattu hankinta jokaiselle digitaalisesta lähteestä hankitulle lohkolle3 1 Katkaistujen kloonien luominenTestitapaus DA-04 mittasi FrK Imager cli v29 Debianin käyttäytymistä pyydettäessä hankkimaan fyysinen laite katkaistulle kloonille. Testitapaus DA-17 testasi käyttäytymistä katkaistujen kloonien etsinnässä kuvatiedostoista Molemmissa tapauksissa työkalu ei ilmoittanut käyttäjälle, että katkaistu klooni oli luotu Testit päättyivät ilman viestiä, jossa käyttäjälle kerrottiin, että kohdeasema oli pienempi kuin lähde Työkalu ei kirjaa etenemistietoja näytölle tai tiedostoon kloonauksen aikana. että työkalun viestien kirjaustoiminto on rajoitettu vain kuvien hankintaan3 2 Viallinen sektoKloonattaessa asemaa viallisilla sektoreilla, testitapaus DA-09, työkalu pysäytti hankinnan ensimmäisellä viallisella sektorilla Käyttäjälle ei annettu ilmoitusta4 TestausympäristöTestit ajettiin nist cftt lab:ssa Tässä osiossa kuvataan valitut teS-laitteet, testaukseen käytettävissä olevat tietokoneet, tukiohjelmiston käyttäminen ja huomautukset muista testilaitteistoista4
1 Suorita
ioniympäristöTyökalu suoritettiin debian Live 60 4- ja Ubuntu 10 04 Lts -ympäristöissä42 Testitietokoneet Työkalun suorittamiseen käytettiin kahta tietokonetta: DeathStarilla ja FrankDeathStarilla on seuraavat kokoonpanotTCP Custom buProcessor Intel Core 15-25003 3GHZCDRWIDUS19Frann1Fi Version kokoonpanoLatitude d800 Prosessori Intel Pentium 4 340 GHZA kokoonpano, levykeasema, 144 M, 35. toukokuuta 2013, 119FTK Imager CLI 290 Debiang CDRWIDVDBIOS Version Inter versio bf8651043 Tuki ohjelmisto 0 Käytetty ohjelmisto - TS-analyysi saatu osoitteesta http:// wwwcfttnistgov/diskimaging/fs-tst20zi4 4 Testiaseman luominenKiintolevyä voidaan käyttää kolmella tavalla työkalun testitapauksessa: työkalun kuvaamana lähdeasemana, media-asemana, joka sisältää toolunder-testillä luotuja kuvatiedostoja. , tai kohdeasemana, jolle testattava työkalu luo aseman kloonin Käyttöjärjestelmän aseman muotoilutyökalujen lisäksi fs-TST-paketista (diskwipe ja diskhash) käytetään testiaseman lähdeaseman asennukseen. Useimpien lähteiden asetukset asemat noudattavat samaa yleistä menettelyä, mutta on useita vaiheita, jotka voivat vaihdella tarpeiden mukaan. Levypyyhintäohjelma täyttää levyaseman tunnetulla tiedolla FS-TST:stä. Diskwipe-ohjelma kirjoittaa osoitesektorin sekä C/his- että lBaormat-muodossa. sektoritavuiksi asetetaan vakio täyttöarvo yksilöllinen foreach-asema Täyttöarvo kirjataan levypyyhintätyökalun lokitiedostoon2 Asema voidaan alustaa osioilla testitapauksen edellyttämällä tavalla3
Valinnaisesti voidaan asentaa käyttöjärjestelmä4 FS-tST diskhash-työkalu luo viitetiivisteitä. Näitä ovat sekä shal- että mds-tiivisteet. Täyden aseman tiivisteiden lisäksi voidaan laskea myös kunkin osan tiivisteet5 Jos asema on tarkoitettu piilotettavaksi aluetestit (DA-08), HPA, DCO tai molemmat voidaan luoda. Diskhash-työkalua käytetään sitten laskemaan viitetiivisteet aseman näkyvistä sektoreista. DA-09:n lähdeasemat luodaan siten, että jokaisessa on yhtenäinen joukko viallisia asemia. näistä lähdeasemista alustetaan diskwipe-toiminnolla ja niiden vialliset sektorit aktivoidaan. Jokaiselle näistä lähdeasemista kopioasema, jossa on442 Media-asema Media-aseman asentamiseksi asema alustetaan jollakin tuetuista tiedostojärjestelmistä Aayest-tapaukset4 43 KohdeasemaKohteen määrittäminen asema, asema on täynnä tunnetuilla tiedoilla levynpyyhintäohjelmalla FS-TST Osioita voidaan luoda, jos testitapaus edellyttää palauttamista 119FTK Imager CLI 290 Debianin imageMay 2013:sta.
45 Testiaseman analyysi Testaa, jolla luodaan cal-laite, esim. DA-O1 DA-04 jne. kohdeasemaa verrataan lähdeasemaan TST-paketin diskcmp-ohjelmalla testitapauksissa, jotka luovat loogisen laitteen kloonin, eli osion. , esim. DA-02, DA-20 jne, kohdeosiota verrataan lähdeosioon partcmp-ohjelmalla Kuvatiedostosta luodulle kohteelle, esim. DA-14, osion klooneille) lähteeseen, joka hankittiin luo kuvatiedosto
Bo Cmpdediskcmp ja partcmp huomaa erot lähteen ja kohteen välillä Jos kohde on suurempi kuin lähde, se tarkistetaan ja ylimääräiset kohdesektorit luokitellaan joko häiriintymättömiksi (sisältää edelleen levypyyhkäisyn kirjoittaman täyttökuvion) nollatäytetty tai muutettu johonkin muuten Testitapauksessa DA-09, jossa kuvataan asemaa tunnetuilla viallisilla sektoreilla, ana-bad-ohjelmaa käytetään viallisen sektorin viiteaseman vertaamiseen viallisen sektorin kloonatuun versioon. Testitapauksissa, kuten DA-06 ja DA-07, kaikki hankinnat alle testin laskemaa tiivistettä verrataan lähteen viitehajautusarvoon sen tarkistamiseksi, että lähde soveltuu täydellisesti ja tarkasti testiajoihin. Testaus käyttää useita eri valmistajien testiasemia. Asemat tunnistetaan ulkoisella tunnisteella, joka koostuu kaksinumeroisesta heksadesimaaliluvusta. arvo ja valinnainen tagi, esim. g25-SATA, Hex-arvon ja tagin yhdistelmä toimii yksilöllisenä tunnisteena jokaiselle asemalle. Kaksi numeroa, joita fs-tsT-levynpyyhintäohjelma käyttää sektorin arvona FS-TST-vertailutyökalut, diskcmp ja partemp count sektorit, jotka on täytetty lähde- ja kohdearvoilla kohteessa, joka on suurempi kuin origiSource5. Testin tulosTestitulosten tulkinnan tärkein kohde on testattavan työkalun vaatimustenmukaisuuden määrittäminen. Testaamme väitteitä. Yhdenmukaisuus kunkin testatun väitteen kanssa tietyn testitapauksen perusteella arvioidaan tarkastelemalla testiraportin Lokin kohokohdat -ruutua51 Results Report KeyTheng -taulukko esittää selityksen jokaisesta testitietojen osasta osiossa52. Testaajan nimi, testiisäntä, testipäivämäärä, asemat, lähteen asetukset ja lokin korostuskohdat on täytetty kunkin testitapauksen kohdissa. otettu testattavan työkalun tuottamista lokitiedostoista ja fs-tST-työkaluista, jotka suoritettiin testitapauksen asennuksen tueksi.First lineTest case ID, työkalun testatun tapauksen nimi ja versio Digital Data Acquisition Tool toukokuu 2013FTK Imager CLI 290 Debian
Vuoden 2013 parhaat tulokset Digital Data Acquisition TooFTK Imager cLl 2
90 DebianNcJ242138
N丿Greg Ridgeway Vt. johtaja, National Institute of JustiStandards of the nattute of standards and teagency Agreethe offPrograms, joka sisältää Nuorten oikeuden ja rikollisuuden ehkäisyn, rikoksen uhrien toimiston ja toimiston
Toukokuu 2013 Testitulokset diData Acquisition ToolK Imager C0 DebianStandards and TechnologyU:lle
S Kauppaministeriö
SisällysTämän raportin lukeminenTulokset Yhteenveto2 Testitapauksen valinta3 Tulokset testivahvistuksen mukaan31 Katkaistujen kloonsektoreiden luominen41 Suoritusympäristö43 Tukiohjelmisto44 Testiaseman luontilähde asema442 Mediaasema777888889443 Kohdeasema445 Testimuistiinpano1 Testi-avain10tulos2 -ATA28522DA-01-ATA48523DA -01-FW5
24DA-01-SATA2825DA-01-SATA481926 DA-OI-SCS2128DA-02CF9 DA-02-EXT0 DA-02-EXT42 DA-O2-NT5213 DA-02-THUMB5214DA-041926-16W-04052-148DA262,8F 06-SATA28455219A-06-SATA4845220DA-06-SCSI221DA-06-USBA-07-CEA-07-EXT3224DA-07-EXT4
25DA07-F165226DA07-F325,227DA07-NT5228 DA-O7-THUMB5229DA-095230DA-10E70A-10-E015232DA-10-S0l5233DA-10-S0l5233DA-1223-DA07-3-3-3-3-DA-3-3-3-3-3-3-3-4-3-3-3-3-3-3-3-3-3-3-3-3-3-3-3-3-3-3-4 8DA-14-E040DA-14- EXDA-14F165242DA-14F3252
43244DA-14NT99%524DA-14-S015,2,46DA-14-SATA285247A-14-SATA481025248DA-14-SCSI5249 DA-14-THUMB5250DA-14-USB10DA-14-USB10DA-6-424D6225-4240 2E06DA-26- D2S0DA-26-E012E5259DA26-E012S015260DA-26-S012D1172615262DA26-S012E0l
johdantoComputer Forensics Tool Testing (CFTT) -ohjelma on Nationalen (N), Department of Homeland Securityn (DHS) ja Nationalf Standards and Technology Law Enforcement Standards Officen (OLES) ja Information Technology Laboratoryn (ITL) yhteinen projekti. ) CFTT:tä tukevat muut organisaatiot, kuten Federal Bureau of Investigation, US Department of Defense CybeCrime Center, US Revenue Service Crimimes Programme ja Department of Homeland Securitys BureauImmigration and Customs Enforcement, USA tulli- ja rajaturvallisuus sekä UsSecret Service Cftt-ohjelman tavoitteena on antaa mitattavissa olevan varmuuden toimijoille tutkijoille ja muille soveltuville käyttäjille siitä, että rikosteknisissä tutkimuksissa käytetyt työkalut tuottavat tarkkoja tuloksia. Tämän saavuttaminen edellyttää tietokoneiden rikosteknisten työkalujen eritelmien ja testimenetelmien kehittämistä ja tiettyjen työkalujen myöhempää testaamista näiden eritelmien perusteella. Testitulokset tarjoavat kehittäjille tarvittavat tiedot työkalujen, käyttäjien parantamiseen. tehdä tietoisia valintoja, ja lakiyhteisö ja muut ymmärtämään työkalujen valmiudet CFTT-lähestymistapa tietokoneiden rikosteknisten työkalujen testaamiseen perustuu tunnettuihin menetelmiin confod-laatutestauksessa. Tekniset tiedot ja testimenetelmät julkaistaan Cftt-Web-sivustolla (http://wwwcfttnistgov/) tämän tietokoneen raporttia ja kommentteja varten. FTK Imager CLI 2:n testauksen tulokset
90_Debian vastaan theCfttWebsite(http://wwwcfttnistgov/da-atp-pc-0lpDfTestitulokset muista työkaluista löytyvät Nw:n tietokonerikosteknisten työkalujen testaussivultahttp://wwwoipusdoigov/nij/topics/technology/electronic-crime/cftthtlow lukea tämä raporttiTämä raportti on jaettu viiteen osaan Ensimmäinen osa on yhteenveto testiajojen tuloksista Tämä osio riittää useimmille lukijoille arvioimaan työkalun sopivuutta aiottuun käyttöön Raportin loput osiot kuvaavat kuinka testit suoritettiin , keskustele havaituista poikkeavuuksista ja toimita dokumentaatio testitapauksen ajon yksityiskohdista, jotka tukevat raportin yhteenvetoa. Osa 2 antaa perustelut testitapausten valitsemiselle mahdollisista tapauksista, jotka on määritelty digitaaliselle testisuunnitelmassa. Testitapaus valitaan yleensä ominaisuuksien perusteella. Tarjottu toiminto 3 kuvaa yksityiskohtaisemmin kaikki ensimmäisessä osiossa tiivistetyt poikkeamat. Osa 4 luetteloi testitapausten suorittamiseen käytetyt laitteistot ja ohjelmistot linkkien kanssalisätietoja käytetyistä kohteista Osa 5 sisältää kuvauksen jokaisesta tescase-ajosta Jokaisen testiajon kuvauksessa luetellaan kaikki testivahvistukset käytetään testitapauksessa
todettu tulos ja todellinen tulos, katso toimittajan toukokuun 2013 FTK Imager CLI 2:n käyttöä koskevia ohjeita.
90 Debian