计算机取证: 破解BIOS密码及建立分析磁盘

我们曾经介绍过如何通过BIOS设置窗口来收集目标系统的相关信息。但是有时候系统的BIOS是有密码保护的。在本文中，我们将集中介绍如何进入一个受密码保护的的BIOS。接下来还将介绍一些有关硬盘数据分析的准备过程。

很明显，最简单的方法就是直接向犯罪嫌疑人询问密码。问题在于，嫌疑犯不见得会配合调查人员进行取证。而其他一些可用的方法包括：

BIOS密码破解: 由于调查者可以在目标电脑上运行特定的操作系统，因此可以通过一些软件如Password Reminder 获取BIOS密码。有时候BIOS厂商的某些系统保护技术可以防止此类软件获取BIOS密码。

使用后门密码: 很多 BIOS厂商都在BIOS中预留了一个后门密码。虽然这对于希望保护 BIOS信息的用户和企业来说是个坏消息，但是对于调查人员来说，这确实是个好消息。各个厂商的BIOS后门密码可以在Tech FAQ上查询。

联系制造商: 有些时候，联系 BIOS厂商可以获得一些实用的复位BIOS密码或者破解密码的方法。但是调查人员需要首先向BIOS厂商亮明自己的身份。 

根据制造商的说明通过条线复位BIOS: 使用这种方式的风险很大，因为通过条线解决密码问题很可能会复位BIOS中的全部信息。在采用这种方式前，一定要去 Tech FAQ 上查询相关信息。这也是应该最后考虑的一种方式。 

当目标电脑系统上的基本配置信息已经被获取后，接下来就该针对目标系统的硬盘进行分析了。在这个过程中最重要的一点原则是不要直接对作为法庭证物的原始硬盘进行分析。

正确的做法是将目标硬盘上的数据完整的镜像到另一个硬盘上用来分析研究。这可以帮助调查人员在法庭上展示未经任何修改的原始数据硬盘，防止辩护方否认证据的真实性。

要建立一个用于数据分析的硬盘拷贝，应该遵循以下步骤：

1.准备复制数据用的备份磁盘: 调查人员必须保证备份硬盘上不会有残存数据，影响对原始数据的分析。要做到这一点，可以采用数据覆盖的方式将备份硬盘清理干净。这方面可以采用工具软件KillDisk。 KillDisk 支持美国国防部的安全标准(DoD 5220.22-M) 以及Peter Gutmann的有关处理磁盘上剩余数据磁性的规范。

2.原始磁盘写保护: 在将原始磁盘接入一个活动的分析系统前，调查人员应该采取一些措施防止硬盘被写入任何数据。Write blockers 是这方面工作的一个很好的解决方案。它们可以确保数据不被写入磁盘，并且可以方便的记录操作过程。

3.采用比特级拷贝方式将原始磁盘中的数据拷贝到备份磁盘: 普通的拷贝方式不会将隐藏的数据拷贝到另一个磁盘上（我们会在下一篇文章中详细介绍）。 只有使用比特级的拷贝方式，比如通过取证专用软件(如 EnCase 或 Helix) 或磁盘工具 dd ，才可以用于电子证据收集分析工作。除了软件的使用问题，调查人员还必须留意原始数据的Hash码与拷贝后备份硬盘里数据的Hash码是否一致。如果Hash码一致，说明拷贝是完全准确的。 而拷贝的方法和过程，以及原始数据和复制数据的Hash码，都要明确的记录在案。当数据被全部复制后，原始硬盘应该被妥善保存。在之后的分析过程中，任何理由也不能再去读取原始磁盘。

4.Create a working copy: 刚刚复制的硬盘是用来作为法庭取证的，不能用来进行数据分析。调查人员应该再建立一个用于工作的拷贝。建立这个拷贝的方式与建立第一个主要拷贝的方式完全一样。之所以保留前一份拷贝，是为了在用于数据分析的拷贝内容出现任何问题时，可以再次读取这个拷贝。

（责任编辑:陈毅东）