理论知识

常见介质

  • 固态硬盘

  • 机械硬盘

  • U盘

  • 存储卡

    • SD
    • TF

常见接口

  • SATA

    • 机械硬盘

  • IDE

  • SCSI接口

  • SAS接口

  • m.2

  • PCIE

  • 雷电3

  • 雷电2

  • USB

    • 2.0

      • 常见硬盘类型

        • HDD

    • 3.0

    • 3.1

    • 3.2

  • type-c

    • 主要设备有:
      苹果电脑、平板、手机、笔记本电脑
    • 一般对应的接口协议是雷电接口、USB3.0、3.1、3.2

  • type-a

    • 一般对应的接口协议是USB2.0、3.0、3.1

  • UEFI

    • 一种详细描述全新类型接口的标准

    • 代替BIOS(基本输入/输出系统)

    • 提高软件互操作性和解决BIOS的局限性

    • 特点

      -

    • 与传统BIOS的区别

      • UEFI不需BIOS自检;传统BIOS需要长时间自检
      • UEFI使用GPT磁盘分区结构;传统BIOS使用MBR磁盘分区结构
      • UEFI启动读取系统保留分区的文件;传统BIOS启动从硬盘读取启动代码

速度

  • USB

    • 2.0

      • 40MB/S
      • 20MB~30MB左右

    • 3.0

      • 150MB/S

    • 3.1

      • 250MB/S

  • 雷电3

    • 理论40Gb
    • 实际最多22Gbps

协议

  • SATA
  • PCIE

闪存颗粒

  • SLC
  • MLC
  • TLC
  • QLC

公开工具使用

镜像提取工具

  • FTK

取证分析工具

  • 取证大师
  • FTK

产品使用

HJ20

  • 用途:

    • 对主机进行不拆机取证

  • 操作

    • 当主机已开机无密码或知晓密码时

      • 1.将HJ20的1、2口接入电脑的两个USB插口
      • 2.将拨片调至双接口模式
      • 3.打开电脑中显示的接入U盘设备找到HJ20软件并用管理员运行
      • 4.出现HJ20镜像提取界面,根据需求对硬盘进行提取

    • 当主机已开机有密码但不知晓密码时

    • 当主机关机时

    • 提取完成后,分析硬盘

  • 速度

    • 两个USB3.0接口

      • 48GB/MIN及以上

    • 一个USB3.0接口

      • 25GB/MIN左右

    • USB3.0+USB2.0接口

      • 20GB/MIN左右

H2000

F2000

  • 当主机受损,硬盘需拆卸下来对硬盘数据进行提取

F7000

  • 综合分析平台

H7000