电子数据取证-搭建取证工作站

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 电子数据取证-搭建取证工作站

0x03 搭建取证工作站


3.1 TSK和Autopsy Forensics Browaer


3.1.1 TSK


TSK是一款免费的取证工具集合,是基于linux开发的对系统文件及存储介质进行取证分析的套件;

官网地址:https://www.sleuthkit.org

TSK可以通过包管理进行安装,也可以通过编译源代码打包程序;

Autopsy是TSK的图形化前端;

TSK 提供大量有实用程序,能够解析各种类型的文件系统,包括Ext2、Ext3、Ext4、HFS、ISO 9660、UFS½、YAFFS2、FAT/ExFAT、NTFS等;还可以在磁盘镜像中分析以DD格式、AFF格式、Expert Witness格式存储的原始图像;

TSK采用分层的方法来处理电子数据,可以使用TSK的命令行也可以使用Autopsy图形版本操作;

可以把取证图像分为四个层次:

1.文件系统层

可使用TSK工具的文件名前缀是“fs”

2.内容/数据层

数据存储在分片中,根据数据的存储方式不同,分片又被称为块、片段或族;

内容/数据层 包含文件和目录(可以使用一些恢复工具对其恢复获取更多数据)

可使用TSK工具的文件名前缀是“blk”,早期版本的文件名的前缀“d”

工具主要用于搜索及恢复数据;

3.元数据/索引

存储描述性信息,包括:各种文件系统、平台的索引节点和结构或表项

具体:FAT的目录、NTFS和MFT表项、Ext和UFS的索引节点;

本层可以获取到时间戳、地址、容量大小等数据信息;

可以使用TSJ工具的文件名前缀是“i”

4.文件层

也可以说是人机界面层,文件层可以实现用户和文件之间的交互;

文件名称包含对应元数据的结构的的名称,可通过文件名进行数据采集;

但只靠文件名和目录结构是无法展示文件内容的;

文件层的各种工具可用于对一个卷的数据进行分类;


3.1.2 TSK工具集中的工具


工具类别

工具名称

具体描述

文件系统层

fsstat

用于显示与文件系统相关的所有详细信息

文件名称

ffind

用于查找指向特定元数据结构的未分配空间和已分配空间的文件名

fls

用于列出目录中的文件名,包括已删除文件

元数据层

icat

用于从文件中提取数据单元(根据元数据地址而不是文件名)

ifind

用于查找指定文件名或其他元数据结构指向的元数据结构

ils

用于列出元数据结构及其内容

istat

用于显示统计信息,尤其是有关原数据结构的统计

数据单元层

blkcat

用于提取并显示指定数据单元的内容

blkls

用于列出有关数据单元的详细信息,可以显示已分配或未分配数据单元的详细信息

blkstats

用于显示指定数据结构的统计信息

blkcalc

用于计算原始镜像中未分配空间的数据

文件系统日志层

jcat

用于显示日志块的信息

jls

用于列出文件系统日志的表项

卷系统层

mmls

用于显示磁盘布局和组织架构

mmstat

用于显示卷信息的信息

mmcat

用于提取分区的内容

镜像文件层

img_stat

用于显示镜像文件的详细信息,手机分段镜像文件的大小和字节范围

img_cat

用于输出镜像文件的内容,显示镜像文件的原始内容

磁盘工具层

disk_sreset

用于删除镜像中的HPA区域

disk_stcat

用于显示镜像中是否存在HPA区域

自动化工具

tsk_comparedir

用于比较本地目录与镜像或原始设备中的数据;

可用于检测是否存在rootkit在本地目录层下隐藏了文件;

TSK可以解析原始设备中的内容;

tsk_gettimes

用于提取创建时间线分析所需的MAC时间的元数据

tsk_loaddb

用于将卷、镜像和文件元数据等保存到sqllite数据库中,可用非TSK工具打开数据库进行分析

tsk_recover

用于从镜像中提取为分配空间和已分配空间的文件,文件可保存到本地目录

其他工具

hfind

用于使用二进排序算法,计算哈希并进行哈希数据库对比;

哈希工具为md5sum;

mactime

用于为一个文件的活动创建时间线

sorter

用于为一个文件类型对文件进行排序,执行扩展名检查和哈希库查询;

可以帮助检查文件扩展名是否更改为机密文件;

sigfind

用于查找指定数据集中的二进制文件签名

3.1.3 kali中的取证工具


1.取证分割工具集magicrescue 基于特征码文件恢复工具,该工具直接从磁盘中读取原始数据,搜索特征码。一旦找到已知类型的特征码,就根据渗透测试人员提供的提取策略调用第三方工具提取数据,并进行保存。为了方便对提取的数据整理,该工具还提供去重功能和分类保存功能。scalpel 扫描整个镜像文件,根据配置文件寻找相关文件类型的文件头和文件尾,正常找到后将这段内容雕刻出来;当找到了文件的头部,但是在它附近没有找到文件尾标志的时候,scalpel提供两种处理方式,一是放弃对该文件的雕刻,二是根据自定义的各类文件的最大长度进行雕刻scrounge-ntfs 该工具可以从受损的NTFS分区中恢复数据。在恢复之前,用户需要了解目标磁盘的基本信息,如簇大小。为了方便获取信息,该工具也提供辅助选项,用于搜索和显示分区信息。

2.取证镜像工具集guymager 该工具采用图形界面化方式,提供磁盘镜像和磁盘克隆功能。它不仅生成dd的镜像,还能生成EWF和AFF镜像。在生成过程中,渗透测试人员不仅可以采用两次读操作验证数据的正确性,还可以对镜像文件进行额外的校验。由于采用多线和多处理机技术,该工具可以极大提升读取和压缩速度。

3.数字取证套件autopsy 是数字取证工具-TheSleuthKit(TSK)的图形界面,一个用来分析磁盘映像和恢复文件的开源取证工具。提供在磁盘映像中进行字符串提取,恢复文件,时间轴分析,chrome,firefox等浏览历史分析,关键字搜索和邮件分析等功能blkcalc 地址转化工具blkcat 数据单元显示工具blkls 提取数据单元工具blkstat 数据单元详情显示工具ffind 查找文件工具fls 文件目录遍历工具fsstat 显示文件系统信息工具hfind 文件哈希查询工具Icat-sleuthkit 提取节点文件工具ifind 提取元数据工具Img_cat 是一个shell脚本,与iTerm2结合起来使用,可以直接在终端查看服务器上的图片。不过仅限于在iTerm2上使用Img_stat 镜像文件信息显示工具istat 显示节点元数据工具jcat 日志文件系统块查看工具jls 日志文件系统内容查看工具mmcat 提取分区工具mmls 分区表查看工具mmstat 卷系统信息显示工具sigfind 二进制特征信息查找工具sorter 文件类型筛选工具Tsk_comparedir 目录内容比较工具Tsk_gettimes 文件操作时间提取工具Tsk_loaddb 提取元数据工具Tsk_recover 恢复

4.PDF取证工具集pdfid PDF文档扫描工具pdf-parser PDF文档快速审计工具peepdf PDF综合审计工具

5.数字取证推荐工具autopsy 是数字取证工具-TheSleuthKit(TSK)的图形界面,一个用来分析磁盘映像和恢复文件的开源取证工具。提供在磁盘映像中进行字符串提取,恢复文件,时间轴分析,chrome,firefox等浏览历史分析,关键字搜索和邮件分析等功能binwalk 固件分析工具Bulk_extractor 信息批量提取工具hashdeep 该工具可以批量计算文件的哈希值,并和哈希值列表进行比对。该工具支持多种哈希算法,可以避免哈希碰撞问题。为了满足不同任务的需要,hashdeep提供多种检查模式,如审计模式、正向模式、反向模式。同时,该工具支持大小写不敏感和UTF编码


3.2 虚拟化基础


3.2.1 简介


虚拟化是一种技术,是一种可以将物理资源转变为灵活使用的资源的技术。使用虚拟化技术,我们可以在一台物理服务器上模拟出多个独立的服务器来通常,应用程序需要安装在操作系统上,而一台物理服务器只能同时 运行一个操作系统,使用了虚拟化以后,这些模拟出来的每个服务器都可以有自己独立的操作系统。这样,相当于在一台服务器服务器上同时可以运行多个操作系统了。器上模拟出多个独立的服务器来。

虚拟化技术的核心——Hypervisor(虚拟机监视器),也可以被称为 VMM(Virtual Machine Manager)

在一个 Host Machine 之上可以建立并运行多个 Guest Machine。

本文在此不做过多介绍,可以在参考参考资料中进行深入学习和理解;


3.2.2 为什么虚拟化


第一,降低能耗,节约空间,节约成本;

第二,提高使用灵活性,实现动态的资源部署和重配置,满足不断变化的业务需求;

第三,提高安全性,主要是因为虚拟可实现较简单的共享机制无法实现的隔离和划分,这些特性可实现对数据和服务进行可控和安全的访问;

第四,虚拟可在不影响用户的情况下对物理资源进行删除、计算机虚拟化技术升级或改变;

第五,有更高的可扩展性,虚拟化技术能根据不同的产品、资源分区和汇聚可支持实现比个体物理资源小得多或大得多的虚拟资源,这意味着用户可以在不改变物理资源配置的情况下进行规模调整;

第六,互操作性和投资保护,主要在于虚拟资源可提供底层物理资源无法提供的与各种接口和协议的兼容性;

第七,改进资源供应,与个体物理资源单位相比,虚拟化技术能够以更小的单位进行资源分配。

与物理资源相比,虚拟资源因其不存在硬件和操作系统方面的问题而能够在出现崩溃后更快地恢复。

总而言之可以节省空间,可以单独对每一个虚拟化的机器进行单独的控制,不会对主机产生影响,就比如虚拟机,可以对虚拟机进行快照,返回上一个等;


3.3 使用kali建立取证环境


3.3.1 工具下载


下载VMware:

官网:https://www.vmware.com/cn.html

如需安装包提供请后台联系;

下载kali:

官网:https://www.kali.org/get-kali/#kali-mobile

如需虚拟机提供请后台联系;


3.3.2 配置ssh连接


1.打开shh配置文件
vim /etc/ssh/sshd_config

2.修改配置文件

将配置文件的第32行、37行的注释取消

3.重启ssh服务
sudo /etc/init.d/ssh restart

4.查看服务情况

sudo systemctl status ssh

5.配置开机自启

sudo systemctl enable ssh

6.查看ip并进行连接


3.3.3 TSK版本查看


使用mmls -V查看TSK版本


3.3.4 配置共享文件夹


配置共享文件位置

安装open-vm-tools
sudo apt install open-vm-tools

更改配置文件
vim /etc/fstab
.host:/ /mnt/hgfs fuse.vmhgfs-fuse allow_other 0 0

必须重启

reboot

kali中共享的文件夹位置
cd /mnt/hgfs


参考资料:

工具参考资料:

https://www.jb51.cc/qiyeyingyong/1179219.html

https://www.173it.cn/wangluojishu/414567.html

https://blog.csdn.net/weixin_44024324/article/details/105967731

http://www.sleuthkit.org

虚拟化参考资料:

https://www.cnblogs.com/born2run/p/16634448.html

https://blog.51cto.com/u_14869798/2516488

https://wenku.baidu.com/view/931f4386b3717fd5360cba1aa8114431b80d8e58.html?_wkts_=1668502147940&bdQuery=%E8%99%9A%E6%8B%9F%E6%9C%BA%E8%99%9A%E6%8B%9F%E5%8C%96%E6%96%B9%E6%B3%95%E8%AF%A6%E8%A7%A3

相关文章
|
7月前
|
人工智能 安全 大数据
计算机在应急管理领域的应用
计算机在应急管理领域的应用
|
7月前
|
数据库 iOS开发 数据库管理
溯源取证-iphone取证-高难度篇
本次内容主要讲解iphone8取证,算是年前最后一篇了,大家将就着看哈
|
安全
电子数据取证在保障金融安全中的应用
电子数据取证在保障金融安全中的应用
75 1
|
安全 物联网 测试技术
网络入侵调查的电子数据取证方法!
网络入侵调查的电子数据取证方法!
135 0
|
存储 数据挖掘
对自己手机的一次取证之路
对自己手机的一次取证之路
280 0
|
安全
计算机取证如何追踪网络罪犯?
本文讲的是计算机取证如何追踪网络罪犯?,作为调查人员,这些安全专家们按图索骥。就让我们从一系列案例中,窥探商业软件是怎么帮助技术人员搞定犯罪取证的吧。
1192 0

热门文章

最新文章