第十八章 计算机取证
取证科学简介
▪ Forensic investigations
▪ 法庭取证调查
▪ 事件响应调查
– 黑客攻击、渗透测试留痕
取证科学
▪ 什么是 Forensic 科学
– 法医的、用于法庭的、辩论学、法医学
– 为了侦破案件还原事实真相,收集法庭证据的一系列科学方法
▪ 参考本地区法律要求
▪ 实践操作通用原则
▪ CSI:物理取证
– 指纹、DNA、弹道、血迹
– 物理取证的理论基础是物质交换原则
▪ 本章关注:数字取证/ 计算机取证/ 电子取证
– 智能设备、计算机、手机平板、IoT、有线及无线通信、数据存储
通用原则
▪ 维护证据完整性
– 数字取证比物理取证幸运的多,可以有无限数量的拷贝进行分析
– 数字HASH值验证数据完整性
▪ 维护监管链
– 物理证物保存在证物袋中,每次取出使用严格记录,避免破坏污染
– 数字证物原始版本写保护,使用拷贝进行分析
▪ 标准的操作步骤
– 证物使用严格按照规范流程,即使事后证明流程有误(免责)
▪ 取证分析全部过程记录文档
▪ 数字取证者的座右铭
– 不要破坏数据现场(看似简单,实际几乎无法实现)
– 寄存器、CPU缓存、I/O设备缓存等易失性数据几乎无法获取
– 系统内存是主要的非易失性存储介质取证对象,不修改无法获取其中数据
– 非易失性存储介质通常使用完整镜像拷贝保存
– 正常关机还是直接拔掉电源(数据丢失破坏)
▪ 证据搜索
– 数据
– 信息
– 证据
取证科学
▪ 作为安全从业者
– 通过取证还原黑客入侵的轨迹
– 作为渗透测试和黑客攻击区分标准
▪ 世纪佳缘事件
▪ 印象笔记渗透测试事件
取证方法
▪ 活取证
– 抓取文件metadata、创建时间线、命令历史、分析日志文件、哈希摘要、转存内存信息
– 使用未受感染的干净程序执行取证
– U盘 / 网络 存储收集到的数据
▪ 死取证
– 关机后制作硬盘镜像、分析镜像(MBR、GPT、LVM)
取证工具
▪ 不考虑法律因素、法庭证据、监管链、文档记录等取证环节
▪ 只介绍Kali当中部分取证工具的使用方法
▪ 内存dump工具
– Dumpit:http://www.moonsols.com/wp-content/uploads/downloads/2011/07/DumpIt.zip
– 内存文件与内存大小接近或者稍微大一点,raw格式
▪ 分析内存文件
– volatility imageinfo -f xp.raw // 文件信息,关注profile
– volatility hivelist -f XP.raw --profile=WinXPSP3x86 // 数据库文件
– volatility -f XP.raw --profile=WinXPSP3x86 hivedump -o 0xe124f8a8
– # 按虚内存地址查看注册表内容
– volatility -f XP.raw --profile=WinXPSP3x86 printkey -K "SAM\Domains\Account\Users\Names" // 用户账号
– volatility -f xp.raw --profile=WinXPSP3x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" // 最后登录的账户
– volatility -f XP.raw --profile=WinXPSP3x86 userassist // 正在运行的程序、运行过多少次、最后一次运行时间等
▪ 分析内存文件
– volatility -f XP.raw --profile=WinXPSP3x86 pslist // 进程列表及物理内存位置
▪ volatility -f 7.raw --profile=Win7SP1x64 memdump -p 1456 -D test // dump进程内存
▪ strings 1456.dmp > 1111.txt // 提取字符串 grep password / @
– volatility cmdscan -f 7.raw --profile=Win7SP1x64 // 命令行历史
– volatility netscan -f 7.raw --profile=Win7SP1x64 // 网络连接
– volatility iehistory -f 7.raw --profile=Win7SP1x64 #
– volatility -f 7.raw --profile=Win7SP1x64 hivelist // 提取哈希
▪ volatility -f 7.raw --profile=Win7SP1x64 hashdump -y system -s SAM
Volatility插件
▪ Firefoxhistory 插件
– http://downloads.volatilityfoundation.org/contest/2014/DaveLasalle_ForensicSuite.zip
– /usr/lib/python2.7/dist-packages/volatility/plugins/
– volatility -f 7.raw --profile=Win7SP1x64 firefoxhistory
▪ USN 日志记录插件
– NTFS特性,用于跟踪硬盘内容变化(不记录具体变更内容)
– https://raw.githubusercontent.com/tomspencer/volatility/master/usnparser/usnparser.py
– volatility -f 7.raw --profile=Win7SP1x64 usnparser --output=csv --output-file=usn.csv #
▪ Timeline 插件
– volatility -f 7.raw --profile=Win7SP1x64 timeliner
– 从多个位置收集大量系统活动信息
▪ 内存取证发现恶意软件
– https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples
– https://code.google.com/archive/p/volatility/wikis/SampleMemoryImages.wiki
▪ 内存取证发现恶意软件
– XP:建立 meterpreter session 后 dump 内存分析
– volatility -f xp.raw --profile=WinXPSP3x86 pstree
– volatility connscan # 网络连接
– volatility getsids -p 111,222 # SID
– volatility dlllist -p 111,222 # 数量
– volatility malfind -p 111,222 -D test # 检查结果查毒
活取证
▪ 从内存还原文字
– https://technet.microsoft.com/en-us/sysinternals/dd996900.aspx
– https://technet.microsoft.com/en-us/sysinternals/bb897439.aspx
– procdump -ma notepad.exe notepad.dmp
– strings notepad.dmp > notepad.txt
– 其他文字处理程序也适用
▪ 从内存还原图片
– 远程桌面、画图工具、Virtualbox 虚拟机
– volatility -f 7.raw --profile=Win7SP1x64 memdump -p 1456 -D test
– mv mstsc.dmp mstsc.data
– Gimp -> open -> Raw Image Data -> 调整参数
▪ 从内存中提取明文密码
– procdump -ma lsass.exe lsass.dmp
– Mimikatz
– sekurlsa::minidump lsass.dmp
– sekurlsa::logonPasswords
▪ Volatility 的 mimikatz 插件
– https://github.com/sans-dfir/sift-files/blob/master/volatility/mimikatz.py
▪ Firefox 浏览器审计工具
– dumpzilla /root/.mozilla/firefox/bvpenhsu.default/ --All
死取证
▪ 硬盘镜像
– 使用 kali 光盘启动计算机创建硬盘镜像文件
– 留足存储镜像文件的存储空间
– Dc3dd 来自美国空军计算机犯罪中心
– Dcfldd
– Guymager
– 计算机取证技术参考数据集
▪ http://www.cfreds.nist.gov/Controlv1_0/control.dd
▪ DFF(Digital Forensics Framework)
– Open Evidence # 红色表示已经删除的文件
– 发现恢复已经删除和隐藏的文件
▪ Autopsy
– 非常流行的硬盘镜像分析工具
– WebServer + 客户端架构
▪ Extundelete
– 适用于 ext3、ext4文件系统的反删除工具
– Extundelete [device-file] --restore-file [restore location]
▪ iPhone Backup Analyzer
– 分析 iTunes 生成的 iPhone 手机备份文件,并非电话image
▪ Foremost (美国政府开发)
– 从内存dump中恢复文档图片,支持raw、dd、iso、vmem等格式
– foremost -t jpeg,gif,png,doc -i 7.raw
▪ 网络取证请看(协议分析)
– 全流量镜像可以还原历史
转载于:https://www.cnblogs.com/steven9898/p/11519804.html
第十八章 计算机取证相关推荐
- 鸟哥的Linux私房菜(基础篇)- 第十八章、认识系统服务 (daemons)
第十八章.认识系统服务 (daemons) 最近升级日期:2009/09/14 在 Unix-Like 的系统中,你会常常听到 daemon 这个字眼!那么什么是传说中的 daemon呢?这些 dae ...
- 《深入理解 Spring Cloud 与微服务构建》第十八章 使用 Spring Security OAuth2 和 JWT 保护微服务系统
<深入理解 Spring Cloud 与微服务构建>第十八章 使用 Spring Security OAuth2 和 JWT 保护微服务系统 文章目录 <深入理解 Spring Cl ...
- Linux内核分析 读书笔记 (第十八章)
第十八章 调试 18.1 准备开始 1. 需要的只是: 一个bug 一个藏匿bug的内核版本 相关内核代码的知识和运气 2. 在跟踪bug的时候,掌握的信息越多越好. 18.2 内核中的bug 1. ...
- 【系统分析师之路】第十八章 系统安全分析与设计章节习题集
[系统分析师之路]第十八章 系统安全分析与设计章节习题集 ■习题汇总 [系分章节习题第01题:绿色] 01.以下关于利用三重DES进行加密的说法中,()是正确的. A.三重DES的密钥长度是56位. ...
- 信息系统项目管理师---第十七章 战略管理 第十八章 组织级项目管理 第十九章 流程管理历年考题
信息系统项目管理师-第十七章 战略管理 第十八章 组织级项目管理 第十九章 流程管理历年考题 第十七章 战略管理历年考题 1.2005 年 5 月第 57 题 :战略管理的主要活动可以分为下列中的(B ...
- 信息系统项目管理师---第十七章 战略管理 第十八章 组织级项目管理 第十九章 流程管理
信息系统项目管理师-第十七章 战略管理 第十八章 组织级项目管理 第十九章 流程管理 第十七章 战略管理 一.战略管理 战略管理是指对一个组织的未来方向制定决策和实施这些决策.它大体可分解为:战略制定 ...
- 【ALIENTEK 战舰STM32开发板例程系列连载+教学】第五十八章 UCOSII实验1-任务调度
第五十八章 UCOSII实验1-任务调度 前面我们所有的例程都是跑的裸机程序(裸奔),从本章开始,我们将分3个章节向大家介绍UCOSII(实时多任务操作系统内核)的使用.本章,我们将向大家介绍UCOS ...
- 计算机系统层次模型,计算机取证的层次模型
本词条缺少信息栏.概述图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧! 该模型是第十九次计算机安全技术交流会上提出的.这一模型认为:计算机取证可以分为证据发现层,证据固定层,证据提取层,证据 ...
- 【系统分析师之路】第十八章 系统分析师专业英语
第十八章 系统分析师专业英语 专业英语 1 具有高级工程师所要求的英语阅读水平 2 掌握本领域的英语术语 在系统分析师考试中,英语常年保持在5分,和高项一样,主要是靠平时的日积月累才能拿到这5分.但和 ...
- 系统集成项目管理工程师(软考中级)—— 第十八章 合同管理 笔记分享
前言 现在分享一些笔记给大家,希望能够帮助大家并顺利通过软考. 幕布地址:第十八章 合同管理 - 幕布 概述 大数据 1项目合同 合同定义 平等主体的自然人.法人.其他组织之间设立.变更.终止民事权利 ...
最新文章
- 2018-4-8模拟退火算法
- 陈芳,高考之后我要学计算机专业,将来做 IT 发财了,我就娶你!
- 计算机算法设计与分析一
- 游戏安全有多重要?——GAME-TECH游戏开发者技术沙龙
- C# 8中的范围类型(Range Type)
- ❤️《大前端—Babel》
- iOS学习笔记32 - 锚点
- 风之大陆互通服务器账号,风之大陆有几个服务器?服务器互通吗?
- 基于微流域划分的洪水淹没分析
- 【微分方程数值解】常\偏微分方程及其常用数值解法概述
- 移动通信原理中信道的分类
- PS-怎么使用参考线?
- 指定的网络名不再可用
- java实现小写转大写_人民币小写转大写(Java实现)
- 微信小程序内置在线客服
- JavaFX源码分析和实战之音频播放:MediaPlayer和AudioClip播放音频剪辑以及AudioClip与MediaPlayer的区别
- SAN光纤交换机常用命令整理(转)
- 【CSS笔记】CSS实现后台管理系统主界面布局
- chm 已取消到该网页的导航,打不开!
- 拼手气红包算法_二倍均值法