精华内容
下载资源
问答
  • 电子取证

    千次阅读 2020-09-27 16:28:08
    前言:比赛看到取证类的题目,但是没了解过,所以很尴尬。比赛那道题没做出来,没有什么思路,所以等下师傅们的wp看看之后在进行复现。然后就在CTF平台上找了取证类的题目,进行学习一下。 知识了解 取证方法 活取证...

    前言:比赛看到取证类的题目,但是没了解过,所以很尴尬。比赛那道题没做出来,没有什么思路,所以等下师傅们的wp看看之后在进行复现。然后就在CTF平台上找了取证类的题目,进行学习一下。

    知识了解

    取证方法

    • 活取证
      —抓取文件metadata、创建时间线、命令历史、分析日志文件、哈希摘要、转存内存信息
      —使用未受感染的干净程序执行取证
      —U盘/网络 存储收集到的数据
    • 死取证
      —关机后制作硬盘镜像、分析镜像(MBR、GPT、LVM)

    取证工具

    目前学习kali中部分取证工具的使用。
    内存dump工具

    • 内存文件与内存大小接近或者稍微大点,raw格式。

    取证工具volatility使用:
    分析内存文件

    >>> volatility imageinfo -f xp.raw		#文件信息,关注profile
    >>> volatility hivelist -f xp.raw --profile=WinXPSP3x86		#数据库文件
    >>> volatility -f xp.raw --profile=WinXPSP3x86 hivedump -o 0xe124f8a8		#按虚拟机内存地址查看注册表内容
    >>> volatility -f xp.raw --profile=WinXPSP3x86 printkey -K "SAM\Domains\Account\User\Names"		#用户账号
    >>> volatility -f xp.raw --profile=WinXPSP3x86 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogin"		#最后登录的用户
    >>> volatility -f xp.raw --profile=WinXPSP3x86 userassist 		#正在运行的程序、运行过多少次、最后一次运行时间等
    

    工具安装

    我的是2020版本的kali,没有自带volatility,但是包管理中有,直接使用命令安装

    apt-get install volatility
    

    很快就安装好啦,百度也可以找到很多教程。不再细说。
    然后就利用几道题来测试一下。

    forensic

    来自BUUCTF的题目。
    下载后是一个512MB的raw文件,直接工具分析
    m0re
    这个有三个,一般是第一个。说一下,第一步,第一步必须先检测这个文件时什么系统生成的,后面的命令操作都需要profile,是必须指明操作系统的。所以这个很重要。

    小插曲

    使用工具时遇到这样的情况,
    m0re
    报错信息:No suggestion (Instantiated with no profile)
    这个其实跟工具没关系,原因就是打开的文件不是符合规则的文件,也就是这个文件不是raw文件,所以没有suggest。昨天我一直以为是我的工具问题,着急半天,其实就是打开的文件不是volatility可以分析的文件。
    OK,小插曲结束。
    继续解题……
    查看进程

    volatility -f mem.raw --profile=Win7SP1x86_23418 pslist
    

    m0re
    注意这四个进程,
    Dumpit.exe 一款内存镜像提取工具。

    TrueCrypt.exe 一款磁盘加密工具。

    Notepad.exe windows自带的记事本。

    Mspaint.exe windows自带画图工具。

    查看用户Home目录的文件,可以发现有一个用户保存的图片文件

    volatility -f mem.raw --profile=Win7SP1x86 filescan|grep -v Temporary |grep -v .dll|grep -E 'png|jpg|gif|zip|rar|7z|pdf'
    

    m0re
    发现在picture中有个无标题的图片,
    可以将这个图片dump下来

    volatility -f mem.raw --profile=Win7SP1x86 dumpfiles -Q 0x000000001efb29f8  --dump-dir=./
    

    就可以在当前工作目录看到这个文件了。我的是在桌面。
    m0re
    查看桌面文件

    volatility -f mem.raw --profile=Win7SP1x86 filescan | grep "Desktop"
    

    m0re
    这个软件在桌面运行,还看到它的LETHALBE3A-20190916-135515.raw文件也在,这个文件是dumpit生成的,然后dump下这个文件
    m0re
    但是桌面上什么也没有,说明这个文件还没内容,也就是指明,在取证的时候,dumpit还在运行状态,所以raw里才没有数据。
    然后可以dump下dumpit的内存镜像来试试。

    volatility -f mem.raw --profile=Win7SP1x86 memdump -p 3380 -D ./
    

    m0re
    然后分析3380.dmp文件。
    foremost分离得到一个包含flag.txt的一个文件。
    m0re
    找了好久发现在压缩包里
    m0re
    密码就是之前的那个无标题的图片内容。
    1YxfCQ6goYBD6Q
    m0re

    未知题目

    m0re
    题目来源——https://www.freebuf.com/news/145262.html
    同样的姿势,先查看操作系统的信息。使用imageinfo
    发现是WinXPSP2x86
    题目说在桌面写着什么,可能是记事本,不过不确定,可以pslist列一下。
    m0re
    看一遍,记事本才有可能写东西,所以直接列出notepad的内容

    volatility -f m0re.raw --profile=WinXPSP2x86 notepad
    

    发现有一串编码。
    m0re

    666C61677B57336C6563306D655F376F5F466F72336E356963737D
    

    符合base16编码的规则。所以进行解密得到第一个flag。
    flag{W3lec0me_7o_For3n5ics}
    第二个问题,小白的密码,
    hashdump可以将内存中的NTML提取出来:

    volatility -f m0re.raw --profile=WinXPSP2x86 hashdump
    

    m0re
    找个在线网站进行破解1e581aafa474dfadfdf83fc31e4fd4ea
    破解得到flag{19950101}
    果然一般都是生日当密码。
    第三个
    传送文件就需要连接外机,刚看到有nc,所以他一定是用nc来传输文件的,这样一来就有目标了。使用connscan插件查看
    m0re
    可以看到本地机器是192.168.57.21的1045端口去连接了远程的192.168.57.14的2333端口,进程号是120,知道进程号就可以使用psscan(进程池扫描插件)来获取信息。
    m0re
    看到了确实是nc,而且还有cmd,则说明是在cmd的命令行下使用的nc连接的外机。使用cmdscan插件来查看命令历史记录。
    m0re
    看到使用了命令

    ipconfig
    cd C:\Program Files\Netcat
    nc 192.168.57.14 2333 < P@ssW0rd_is_y0ur_bir7hd4y.zip
    

    传输的文件是P@ssW0rd_is_y0ur_bir7hd4y.zip
    可以使用memdump插件(转储进程的可寻址内存数据插件)导出使用nc发送的相关数据:

    volatility -f m0re.raw --profile=WinXPSP2x86 memdump -p 120 --dump-dir=./
    

    桌面生成一个120.dmp
    跟上一题一样,foremost分离文件
    有六个zip文件,挨个打开看看,输入密码19950101得到flag
    m0re
    到此,内存取证入门。下次再详细地学习活取证和死取证

    参考博客
    http://www.bubuko.com/infodetail-3418258.html
    内存取证三项CTF赛题详解

    展开全文
  • 近年来,电子数据取证对案件侦破起着重要的作用...基于Windows的电子取证、基于智能手机的电子取证,基于网络的电子取证,其中基于智能手机的电子取证包括Android手机和iPhone手机,并提出电子取证技术未来的发展方向.
  • 电子取证资料

    2018-02-27 09:59:44
    电子取证 Computer Forensics JumpStart, 2nd Edition.pdf
  • 电子取证工具

    千次阅读 2018-11-14 08:07:53
    电子取证工具

    分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow

    也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!

                   
    电子取证工具 你准备好了吗?

    在计算机取证过程中,相应的取证工具必不可少,常见的有Tcpdump、Argus、NFR、Tcpwrapper、Sniffers、Honeypot,Tripwires、Network monitor,镜像工具等。在国外计算机取证过程中比较流行的是镜像工具和专业的取证软件,但很多工具都属于付费软件,很多读者不可能免费拥有它们,但有一些开源工具或者操作系统自身的工具也可以实现很好的使用效果。

       知识链接:对计算机犯罪评定的标准主要来自于计算机取证。计算机取证又称为数字取证或电子取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上,计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。

       最著名的免费软件是1999年Dan Farmer和Wietse Venema编写Coroners工具包。它是能够帮助对计算机犯罪进行取证检查的一些工具软件的集合,它的最初设计平台是UNIX系统,但也能对非UNIX的磁盘、介质做有限的数据获取和分析。是目前应用较广泛的免费计算机取证工具包,它包括下列工具:

     Grave-robber:以数据的易变性为序搜集数据供以后的取证分析工具使用,它搜集的数据包括进程和网络信息、磁盘文件信息等;
     Unrm:磁盘数据恢复工具,拷贝所有未分配的数据块到指定文件;
     Lazarus:恢复已删除文件的工具;
     Mactime:确定在一个特定的时间段内那些文件被访问或修改过;

       准备取证工具
     文件浏览器:这类工具是专门用来查看数据文件的阅读工具。只用于查看而没有编辑和恢复功能,从而体积较小并可以防止证据的破坏。比较好的软件是Quik View Plus。它可以识别200种以上文件类型,可以浏览各种电子邮件文档。

     图片检查工具:Thumbs Plus是一个功能很全面的进行图片检查的工具。

     反删除工具:这方面的取证分析工具中最主要的是诺顿工具,虽然这是一个老式的工具,但在有些时候是很有用的。

     CD-ROM工具:使用CD-R Diagnostics可以看到在一般情况下看不到的数据。

     文本搜索工具:dtSearch是一个很好的用于文本搜索的工具,特别是具有搜索Outlook的.pst文件的能力。

     驱动器映像程序:可以满足取证分析,即逐位拷贝以建立整个驱动器的映像的磁盘映像软件包括SafeBackSnapBack、Ghost、dd等。

     磁盘擦除工具:这类工具主要用在使用取证分析机器之前,为了确保分析机器的驱动器中不包含残余数据,显然,只是简单的格式化肯定不行。从软盘启动后运行NTI公司的DiskScrub程序即可把硬盘上的每一扇区的数据都清除掉。

     Forensic Toolkit:是一系列基于命令行的工具,可以帮助推断Windows NT文件系统中的访问行为。这些程序包括的命令有:AFind(根据最后访问时间给出文件列表,而这并不改变目录的访问时间)、HFind(扫描磁盘中有隐藏属性的文件)、SFind(扫描整个磁盘寻找隐藏的数据流)、FileStat(报告所有单独文件的属性)、NTLast(提供标准的GUI事件浏览器之外对每一个会话都记录了登录及登出时间,并且它能够指出登录是远程的还是本地的)。

     ForensicX:主要运行于Linux环境,是一个以收集数据及分析数据为主要目的的工具。它与配套的硬件组成专门工作平台。它利用了Linux支持多种文件系统的特点,提供在不同的文件系统里自动装配映像等能力、能够发现分散空间里的数据、可以分析Unix系统是否含有木马程序。其中的Webtrace可以自动搜索互联网上的域名,为网络取证进行必要的收集工作,新版本具有识别隐藏文件的工具。

     New Technologies Incorporated:NTI是取证软件最为固定的商家之一。NTI以命令的形式执行软件,所以速度很快,软件包的体积小,适合于在软盘上使用。该公司提供的取证工具包括:
     CRCMD5:一个可以验证一个或多个文件内容的CRC工具;
     DiskScrub:一个用于清除硬盘驱动器中所有数据的工具;
     DiskSig:一个CRC程序,用于验证映像备份的精确性;
     FileList:一个磁盘目录工具用来建立用户在该系统上的行为时间表;
     Filter_we:一种用于周围环境数据的智能模糊逻辑过滤器;
     GetSlack:一种周围环境数据收集工具,用于捕获未分配的数据;
     GetTime:一种周围环境数据收集工具,用于捕获分散的文件;
     Net Threat Analyzer:网络取证分析软件,用于识别公司互联网络账号滥用;
     M-Sweep:一种周围环境数据清除工具;
     NTI-DOC:一种文件程序用于记录文件的日期、时间以及属性;
     PTable:用于分析及证明硬盘驱动器分区的工具;
     Seized:一种用于对证据计算机上锁及保护的程序;
     ShowFL:用于分析文件输出清单的程序;
     TextSearch Plus:用来定位文本或图形文件中的字符串的工具。

        准备镜像工具
        在采集证据的过程中最主要的工作就是对各种介质进行镜像。

        用磁盘镜像工具(如Safe back、SnapBack DatArret 和DIBS RAID等)对目标系统磁盘驱动中的所有数据进行字符流的镜像备份。镜像备份后就可对计算机证据进行处理,万一对收集来的电子证据产生疑问时,可用镜像备份的数据恢复到系统的原始状态,作为分析数据的原始参考数据,使得分析的结果具有可信性。

        UNIX环境下,dd是能够完成这项工作的通用命令,尽量在你的工具包里包含各种类型、各种版本UNIX系统的dd命令,通过它可以很容易地为被调查机器的整个驱动器制作一个镜像。Windows平台上也有很多类似的软件,我们也可以选择Ghost来完成这项工作。

        准备存储装置
        用于存放证据的存储介质一定要事先进行处理,使用公认可靠的数据擦除软件进行擦除,以避免介质中的残余数据对证据的分析和取信造成影响。在存储证据时,最常用的硬件设备是移动硬盘,除了应该具备尽量大的容量之外,硬盘盒的接口也应该尽量丰富,至少应该同时拥有IDE、SCSI、PCMCIA等常用接口的移动存储设备。除了移动硬盘之外,软盘、Zip软盘、MO、CD-R等存储介质也应该尽量充实到你的工具箱中,因为我们实在无法知道被调查的机器到底具有怎样的外设。

        百宝箱
        目前在国内外的计算机取证产品中,已经出现了许多不同功能、不同外观的取证工具箱,所有这些取证设备依据其功能和形式主要分为三种:改装型、工控型和组合型。

        改装型主要将台式计算机主板、显示器等部件安置于特定工具箱内,优化各接口的连接方式,将全部端口引于面板上,便于设备的连接使用。由于普通笔记本计算机无法直接连接并快速获取IDE硬盘数据,因此这种取证箱的最大优点是便于对硬盘数据的预览和获取。

        工控型主要利用工业控制机可携带,扩展方便的特点,利用各种PCI功能扩展卡增强计算机的功能。此种设备端口齐全,具有防震设计。缺点是体积大且重,不易伪装。

        组合型将各种常见的取证设备合理搭配,放置于特制的箱包中,组成功能全面的取证系统。主流方案是采用笔记本计算机,配合各种移动存储介质和专业计算机取证器材,实现对不同信息存储介质的检查与获取。这种方案优点是端口齐全,各种设备使用灵活,便于伪装和携带。

        除了这些,现在市场上还可以购买到很多专用的调查设备,比如以Forensic MD5为代表的手持式取证设备,以及Forensic Computer出品的便携式取证箱等等,这些产品在复制数据的时候速度很快,具备丰富的让你不敢相信的接口,可以应付各种取证要求,而且便于携带,是计算机取证人员真正的百宝箱。

        针对Windows 系统安全工具
        Sysinternals 网站由 Mark Russinovich 和 Bryce Cogswell 于 1996 年为了存放其高级系统实用程序和技术信息而创办,并于 2006 年 7 月被 Microsoft 收购。无论您是 IT 专业人员还是安全领域的入门者,都会发现 Sysinternals 实用程序对管理、故障排除和计算机系统安全事件调查都十分实用。在计算机犯罪证据采集和计算机安全加固领域,尤其是对Windows操作系统的支持达到了一个新的历史高度。Windows Sysinternals包含六大方面的内容:

     文件和磁盘实用程序:用于查看和监控对文件与磁盘的访问及使用的实用程序;
     网络:涵盖了从连接监控器到资源安全分析器的网络工具;
     进程与线程:用于揭示哪些进程正在执行及其所耗费的资源的实用程序;
     安全实用程序:安全配置和管理实用程序,包括 Rootkit 和间谍软件查杀程序;
     系统信息:用于查看系统资源的使用和配置的实用程序;
     其他:各种实用程序的集合,其中包括屏幕保护程序、演示文档辅助工具和调试工具。
                

    给我老师的人工智能教程打call!http://blog.csdn.net/jiangjunshow

    这里写图片描述
    展开全文
  • 电子取证包含取证注意事项、windows取证、Unix取证、mail取证
  • 行业-电子政务-基于树莓派的快速电子取证方法、装置及电子设备.zip
  • 行业-电子政务-用于数据保护的电子取证装置.zip
  • 针对目前电子取证缺乏全程监督的问题提出了一种基于用户行为关联分析的电子取证系统。该系统根据业务活动主体、行为和客体约束关系建立用户行为知识库,基于电子证据属性相似度,对原始电子证据进行过滤和融合,在...
  • 电子取证技术探秘

    2018-04-12 10:42:40
    电子证据已经被列入刑法成为人证物证之后的证据,网络违法犯罪情况不断升级,所以电子取证技术极为重要,但毕竟电子数据,容易人为损毁,在取证上是很困难的。本场 Chat 将讲解取证的基础、取证所用技术,以及新型...

    电子证据已经被列入刑法成为人证物证之后的证据,网络违法犯罪情况不断升级,所以电子取证技术极为重要,但毕竟电子数据,容易人为损毁,在取证上是很困难的。本场 Chat 将讲解取证的基础、取证所用技术,以及新型取证技术,比如:内存取证、芯片取证、iOS 取证、云取证、物联网取证等。

    阅读全文: http://gitbook.cn/gitchat/activity/5971a32b3078974bf712fb30

    您还可以下载 CSDN 旗下精品原创内容社区 GitChat App ,阅读更多 GitChat 专享技术内容哦。

    FtooAtPSkEJwnW-9xkCLqSTRpBKX

    展开全文
  • 电子取证基础

    2019-09-29 01:57:15
    电子取证的基本概念 科学的运用提取和证明方法,对于从电子数据源提取的证据保护(preservation)、收集(collection)、验证(validation)、鉴定(identification)、分析(analysis)、解释(interpetation)、存档...
    电子取证的基本概念
     
    科学的运用提取和证明方法,对于从电子数据源提取的证据保护(preservation)、收集(collection)、验证(validation)、鉴定(identification)、分析(analysis)、解释(interpetation)、存档(documentation)和出示(presentation),以有助于进一步的犯罪事件重构或者帮助识别某些与计划无关的非授权性活动。
     
    信息安全解决事前的防护问题,取证解决事后究责问题。
     
     
    关于刑法中的犯罪概念
     
    犯罪的三个基本特征
    1.犯罪是危害社会的行为,即具有一定的社会危害性
    2.犯罪是触犯刑法的行为,即具有刑事违法性。
    3.犯罪是应受刑罚处罚的行为,即具有应受惩罚性。
     
     
    电子取证的技术类别和相关领域
     
    数字取证面临的7个问题
    1、搜集或检查会改变证据的原始状态;
    2、计算机调查和数字取证对法律执行、法庭和立法机关来说是个新生事物;
    3、爆炸性增长的数字媒体密度和普遍深入的计算机平台。
    4.数字数据或隐藏数据的非直观性;
    5、信息技术及广泛应用在日益变化;
    6、合格的取证人员的技能与培训;
    7、数字信息的短暂性(转移、易改)。
     
     
    证据的可采用性标准----三性
     
    1、真实性:原始性,非篡改性等;
    2、合法性:主体合法,过程合法;
    3、相关性:和当前案件有关联。
     
    需要用技术实现的法律标准
     
     
    证据和线索
     
    区别:证据是能证明一定事实的资料,是客观存在的事实证据。而线索不一定是真实可靠的。
    联系:线索有可能是发现证据的途径。

    转载于:https://www.cnblogs.com/micr067/p/11396157.html

    展开全文
  • 行业分类-电子-一种多功能电子取证工作站.zip
  • 电子取证现状及发展趋势,计算机取证,系统安全
  • 电子取证-活取证1

    2019-09-29 01:57:28
    电子取证 使用dumpit工具将计算机内存镜像保存。并生成raw文件格式文件。 检测镜像文件基本信息 volatility -f 2008.raw imageinfo 检测进程列表及物理内存位置 volatility -f 2008.raw --profile=Win...
  • 云计算环境与电子取证的研究.pdf
  • 电子取证工具总结

    2019-09-29 13:28:21
    电子取证工具 在计算机取证过程中,相应的取证工具必不可少,常见的有Tcpdump、Argus、NFR、Tcpwrapper、Sniffers、Honeypot,Tripwires、Network monitor,镜像工具等。在国外计算机取证过程中比较流行的是...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 4,683
精华内容 1,873
关键字:

电子取证