樹莓派是什麼?
樹莓派是隻有信用卡大小的微型電腦,其系統基於Linux,為學習計算機編程教育而設計的。其外表“嬌小”,內“心”卻很強大,視頻、音頻等功能通通皆有,只需接通電視機和鍵盤,就能執行如電子表格、文字處理、玩遊戲、播放高清視頻等諸多功能,可謂是“麻雀雖小,五臟俱全” 。
由於樹莓派體積小、便攜等優點,不法分子常利用樹莓派通過無線網卡發送開放無線WiFi信號,信號區域內行人們的手機自動或手動連接WiFi後,設備會連接WiFi的手機自動推送網站訪問鏈接並進行跳轉,通過跳轉向訪問的用戶,推廣散佈不法信息。
思路分析
雖然樹莓派作為違法犯罪工具,目前還屬於新興事物,但是通過研究發現,樹莓派的數據固定及提取難度並不大。
大多樹莓派系統基於Linux,具有單獨存儲常見於SD卡存儲,部分採用芯片存儲。在實際案件中需要對樹莓派的實際硬件進行查看,如果採用SD卡的方式存儲數據,就可以直接將SD卡取出,採用只讀設備對SD卡進行全盤鏡像,再使用專業的設備對數據進行導出即可。
案例分析
案件簡介:利用樹莓派設備採集行人手機信息並向行人推廣不法信息
檢材:樹莓派設備一臺
需求:固定及提取樹莓派設備數據,以便數據分析
樹莓派數據固定提取具體操作步驟
一、對案件樹莓派設備拆解觀察
對該樹莓派設備進行拆解後發現,該設備接口豐富,並在SD卡槽中發現SD卡,經查看該SD卡主要用於設備系統存儲及數據存儲,因此只需對SD卡數據進行固定提取即可。
二、對案件樹莓派設備數據進行固定提取
1、首先將SD卡插入只讀設備內,用效率源DRS進行鏡像;
2、勾選鏡像SD卡點擊下一步將SD卡鏡像成文件並勾選MD5校驗;
3、鏡像完成後在使用DRS設備對鏡像文件進行掃描恢復,將數據進行導出;
4、經對導出文件進行查看分析,在分區2中home文件中找到了案件相關的網站數據及內容文件。
注意事項
1、大多樹莓派系統是基於Linux系統,其數據存儲分區文件系統為ext 4,在 Windows系統下無法對其分區數據進行正常查看,需要通過取證工具才能提取分析;
2、數據鏡像時切記不能直接將SD卡通過常規讀卡器直接接入電腦,因為這樣操作不符合取證規範,且存在破壞數據的風險,需要通過只讀設備轉接;
3、針對類似於樹莓派等特殊介質的取證一定要了解其結構原理才能進行相應操作,不然就會存在數據被破壞的風險;
閱讀更多 效率源 的文章
