0x01回收站取证
简述
回收站是windos系统的一个文件夹,通常存放一些临时删除文件,删除的文件并不是被完全删除,这些文件删除后会在每个硬盘分区的根目录下的$RECYCLE.BIN文件夹;
$RECYCLE.BIN文件是隐藏的,同样也是受保护的,不建议显示;
回收站一般是占10%的硬盘空间,但可以自定义大小;
u盘删除的文件不会保存到回收站;
SID是WINDOWS用来标志唯一OBJECT(如用户或组)的一串字符,以S-1-5-21-1858328346-1692621842-485598107-500为例 图解如下:
文件删除方式的种类:
1.逻辑删除
1.在删除文件后,在回收站中显示,只是系统通过标记,把被删除文件移到隐藏文件夹中;
2.彻底删除
1.选中被删除文件,然后同时按下【Shift+Delete】组合快捷键,进行永久删除文件/文件夹;
2.当然这种方式并不是永久性删除,可以借用某些工具,进行数据恢复,读取被删除文件;
回收站的机制:
1.删除文件时,系统会在当前用户当前分区的回收站中创建一个文件$IXXXXXX.EXT,同时将删除的文件重命名为$RXXXXXX.EXT并移动至回收站。其中XXXXXX是由系统生成随机字符串,EXT是文件扩展名。删除文件夹与删除文件类似,唯一不同的是没有扩展名。
$I文件保存有删除文件的相关信息,如文件名、文件大小、删除时间等。I代表Information。
$R文件即被删除的文件(文件夹)。R代表Recovery或Rename。
回收站记录文件结构:
数据结构 |
长度 |
偏移量 |
文件头 |
8 |
0x00 |
被删除的文件大小 |
8 |
0x08~0xF |
文件删除的时间 |
8 |
0x10~0x17 |
被删除文件路径 |
0~520 |
0x18~0x21F |
0x02 内存取证
简述
内存取证通常指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取有价值的数据,是对传统基于硬盘中数据取证的重要补充,也是取证和打击网络犯罪的有力武器;
内存取证工具:
内存镜像制作工具
DumpIt ---- 可放入u盘的内存dump工具,适合计算机内存取证等场景,一键内存转储,无需其他额外设置Magnet RAM Capture--- 内存取证工具、免费、小巧(300多KB)、操作极简、内存镜像可分段
FTK Imager---镜像文件制作工具
内存镜像分析工具
Volatility---内存分析工具取证大师内存镜像解析工具
Volatility详解---详见公众号另一篇文章
恶意代码分析
win下的恶意代码分析成为了取证的难处,很多攻击者使用一些挖矿病毒木马等,使服务器为自己所用;
恶意代码的部分文件类别:.exe、.bat、.cmd、.py等等;
恶意代码分析思路:分别创建常用系统虚拟机,并分别运行恶意代码,分析系统进程及注册表等重要部位信息,或对底层代码进行分析,如:脱壳逆向分析源码等;
