使用開源、免費軟體進行取證(不氪金取證方法)
Autopsy
Autopsy® is the premier end-to-end open source digital forensics platform. Built by Basis Technology with the core features you expect in commercial forensic tools, Autopsy is a fast, thorough, and efficient hard drive investigation solution that evolves with your needs.
個人感覺 Autopsy 是有兩個版本的,一個是Windows上的,由 Java 語言編寫,目前大版本是 4,擁有比較完善的功能,頁面佈局和取證大師、Encase 等工具比較像;另外一個是 Linux 上面的,由C語言編寫,提供了一個簡易的Web前端(甚至沒有用到 JavaScript),可以透過包管理器安裝(Kali Linux 自帶了),擁有映象檢視、關鍵詞搜尋、時間線分析等功能,這個 Autopsy 有比較長的開發歷史了,準確說是 thesluthkit 的一個圖形化介面,而不是 Windows 上面的 Autopsy 那種比較完備的綜合取證工具。需要注意的是,筆者此處的說法並不嚴謹,使用 Java 語言編寫的 Autopsy 也是提供了 Linux 和 MacOS 版本的,只是安裝配置相對耗費時間,有需求的可以參考官網文件和下載的程式包裡面的指引進行安裝。
Windows 上的由 Java 編寫的 Autopsy 可在此處下載:https://www.autopsy.com/download/ ,軟體大小約 1 GiB左右。
下載安裝完成後,軟體主介面如下:
插一句,Linux 下透過包管理器安裝的 Autopsy 長這樣:
開始分析工作
輸入案件名稱與基本資訊
案件基本資訊(可不填)
新增資料來源
新增檢材
可以選擇以下型別的檔案或裝置:
筆者此處選擇第一項,磁碟映象或虛擬機器磁碟檔案。此處的用例是 2023 第一屆龍信杯的檢材,使用了 Windows 的磁碟映象,格式為 vmdk 虛擬機器磁碟檔案。
選擇解析用的外掛
Autopsy使用外掛來對檢材進行分析,具體外掛可以從網上下載,並在設定中新增。以自帶的外掛為例:
選擇 Data Source Integrity
外掛,可以對磁碟內容進行雜湊校驗,校驗結果在右上角訊息選單中檢視(信封標誌)。
需要注意的是,如果選擇使用上圖框選的解析工具來解析 Android 和 iOS 的檢材,需要遵守這兩個工具對檢材的要求。原本筆者也是不瞭解的,後來單獨使用了 aLEAPP 和 iLEAPP 後,才發現的。對於 Android 分析,要求提供 data
分割槽的資料夾或者 tar
、zip
、gz
包,而不能是常用的映象檔案,此外對於 iOS 也是同樣的要求,這裡是不能直接分析 iTunes 備份檔案的。
這個是 aLEAPP 的軟體介面:
這個是可以用來解析的 data
(匯出的檔案)資料夾示意:
分析結果檢視
此處贅述了,選擇好解析外掛後,繼續下一步,完成分析後會是這樣的介面(直接在圖中標示了):
將資料來源展開,以此處為例,展開到 C:\Windows\System32\config
,開啟登錄檔 hive
檔案,Autopsy 會自動選擇檢視器,可以以樹狀的形式檢視內容:
分析結果檢視:
筆者個人觀點,不喜勿噴
Autopsy 使用 Java 語言編寫,感覺在效能上把握得不是很好,有時候檢視檔案能感到明顯的卡頓感,此外分析資料時也稍顯遲緩,一點資料就分析老半天,所以筆者在編寫該文件時並沒有選擇具體的解析外掛,而是將其作為檢材檢視器使用。實際分析中,可以選擇有限的外掛來進行分析,並且結合對常用檔案(比如登錄檔檔案)、目錄(比如程式目錄、使用者目錄等)手工分析,得到需要調取的資訊。
X-Ways Forensics
軟體簡介
X-Ways Forensics is an advanced work environment for computer forensic examiners and our flagship product. Runs under Windows XP/2003/Vista/2008/7/8/8.1/2012/10/2016/2019/11*, 32 Bit/64 Bit, standard/PE/FE. (Windows FE is described here, here and here.) Compared to its competitors, X-Ways Forensics is more efficient to use after a while, by far not as resource-hungry, often runs much faster, finds deleted files and search hits that the competitors will miss, offers many features that the others lack, as a German product is potentially more trustworthy, comes at a fraction of the cost, does not have any ridiculous hardware requirements, does not depend on setting up a complex database, etc.! X-Ways Forensics is fully portable and runs off a USB stick on any given Windows system without installation if you want. Downloads and installs within seconds (just a few MB in size, not GB). X-Ways Forensics is based on the WinHex hex and disk editor and part of an efficient [workflow model](https://www.x-ways.net/investigator/X-Ways Investigator (English).pps) where computer forensic examiners share data and collaborate with investigators that use X-Ways Investigator.
X-Ways Forensics 是由 Stefan Fleischmann 編寫的一個輕量化的應急響應及取證工具,是 WinHex 的法證版本,因此介面邏輯和 WinHex 較為相似。在配置好 mplayer 的情況下,程式總體積在 100MiB 左右,執行時記憶體佔用極低,功能及其強大。以下是該程式包含的所有檔案(一般來說 X-Ways Forensics 是自帶了 WinHex 的,如果沒有自帶,將 xwforensics.exe
改為對應的32位 WinHex 的名稱,即 WinHex.exe
,那麼開啟的時候將會成為 WinHex,64位同理):
X-Ways Forensics 並不是一個免費的取證軟體,相反需要數萬元的授權費用,但是由於眾所周知的原因,各位讀者可以在國內一些下載站內找到修改過的版本,對於學習來說是完全夠用了的,但是在實際工作中,是萬萬不能使用非官方來源的軟體的。
X-Ways是本人最喜歡的應急響應及取證軟體,雖然說沒有取證大師、火眼取證、Autopsy 那些綜合取證軟體“直觀”、“方便”,但是 X-Ways Forensics 擁有極高的效能、極低的資源佔用和相對底層的邏輯,不論是學習還是工作,都能發揮很強的作用,而且該軟體介面邏輯相對固定,一次學會使用,基本上可以無憂暢想數十年。此外,X-Ways Forensics 也支援透過可移動的方式(Portable)執行在目標計算機中,進行現場取證,包括建立記憶體轉儲、磁碟映象以及現場分析等,在這種情況下 X-Ways Forensics 會盡量避免在目標計算機上建立檔案。另外,由於不同使用者對軟體的理解不同,不同版本的翻譯也可能不同,因此在本文中,筆者會使用英文版的軟體進行演示。此外,對於筆者個別不入流的描述,還請各位理解,能 get 到意思就行,我自己打著也覺得彆扭,就差直接用英文寫了。
軟體資源
軟體詳情頁(並不提供下載)https://www.x-ways.net/forensics/index-m.html
官方簡介:https://www.x-ways.net/winhex/forensics.html
使用者手冊頁:https://documentation.help/WinHex-X-Ways/topic97.htm
官方快速入門:https://www.x-ways.net/forensics/QuickGuide.pdf https://www.x-ways.net/forensics/XWFQuickStart.pdf https://www.youtube.com/playlist?list=PLB0pU0wP67A9LezmyZO5I6DnHPEWjgjOD
官方手冊:https://www.x-ways.net/winhex/manual.pdf
推薦書籍:X-Ways Forensics Practitioner's Guide
軟體實操部落格:https://www.cnblogs.com/WXjzc/p/17353378.html https://www.cnblogs.com/WXjzc/p/17852716.html
軟體設定
語言設定
有需要的可以在此處修改軟體介面語言:
案件路徑設定
在 Options/General 裡面,可以對一些預設儲存目錄進行配置,包括案件存放目錄、(採集到的)映象存放目錄、臨時檔案目錄、雜湊庫目錄等:
檢視器配置
在 Options/Viewer Programs 下可以對檢視器進行設定,筆者建議將本機上其他常用的檢視器新增進去,這樣可以在右鍵選單中快捷選擇開啟方式並檢視
筆者主要新增了 DB Browser for SQLite 和 SQLCipher,以用來快速檢視資料庫檔案,此外也在軟體目錄下配置了 MPlayer。
開始分析工作
建立案件
在開始分析前,需要建立新案件:
建立完成後,可在此處新增檢材,此處選擇 新增映象檔案:
支援格式如下:
除了映象檔案外,X-Ways Forensics 也支援新增物理裝置(Add Medium...)、目錄(Add Directory...)、檔案(Add File...)和記憶體映象(Add Memory Dump),常用的主要是新增映象檔案和目錄。
依舊以龍信杯的檢材為例,新增檢材後,介面如圖:
正在載入中:
(左側也可被稱為案件欄、檔案列表等)
至此,基本的案件建立已經完成。
記得計算(Compute Hash,Ctrl + F2)、檢視檔案雜湊(以用於校驗):
檢視校驗資訊:
過濾檔案
剛才的操作是對所有檔案進行平鋪,但是有時候並不需要這樣,因此可以在展開資料夾到特定層級後再平鋪,並且進行過濾。
比如現在展開到了 H 使用者的主目錄:
直接右鍵左側案件選單欄中的 H,就能平鋪檢視:
題外話,對於分割槽需要右鍵後選擇平鋪檢視:
然後進行過濾:
(臨時更改了一下過濾的內容,改成了 Wechat*
)過濾結果如下:
右鍵過濾欄上的漏斗圖示可以取消過濾(Deactivate),左鍵單擊案件視窗中的任何層級可以取消平鋪並跳轉到單擊的層級中。
此外, X-Ways Forensics 以檔案型別過濾檔案的功能,也是非常方便的,說起來也簡單,就是在 Type(檔案型別)處進行過濾,以過濾登錄檔檔案為例:
在 Windows Registry
中選擇具體的檔案型別(也可以全選的,只是精確指定後能更快地找到想要的檔案):
選擇好之後選擇 Activate
,就能顯示過濾後的結果:
同樣也是右鍵過濾圖示取消過濾,點選左側檔案列表也能進一步精確過濾範圍。
透過檔案型別進行過濾非常方便,能夠快速(幾乎是瞬間)篩選出特定名稱及檔案型別的檔案,非常建議各位讀者熟練掌握過濾器。
Simultaneous Search 同步搜尋(Alt + F10)
You may use the simultaneous search to systematically search multiple hard disks or disk images in a single pass for words like "drug", "cocaine", (street synonym #1 for cocaine), (street synonym #2 for cocaine), (street synonym #3 for cocaine), (street synonym #3 for cocaine, alternative spelling), (name of dealer #1), (name of dealer #2), (name of dealer #3) etc. at the same time. The search results can narrow down the examination to a list of files upon which to focus.
The simultaneous search can be used to search physically in sectors or logically in file or in a previously created index. Physically, it searches the sectors on a medium in LBA order (except if you search upwards, then in reverse order). If you do not have WinHex list the hits of a physical search, you may use the F3 key to search for the next hit. Logically, the search proceeds file by file, which is preferable and much more powerful and thorough. More about the logical search.
You can search the same search terms simultaneously in up to 6 code pages. The default code page, that is active in your Windows system, is marked with an asterisk and initially preselected. E.g. on computers in the US and in Western Europe, the usual default code page is 1252 ANSI Latin I. The code pages named "ANSI" are used in Microsoft Windows. "MAC" indicates an Apple Macintosh code page. "OEM" indicates a code page used in MS-DOS and Windows command prompts. If a search term cannot be converted to the specified code page because of characters unknown in that code page, a warning is issued. Code page independent GREP searches for exact byte values are possible when searching in a "non" code page called "Direct byte-wise translation for GREP", which translates byte values without any mapping for certain code pages or case matching. X-Ways Forensics also allows to search in both little-endian and big-endian UTF-16, and in any regional Windows code page plus UTF16 with the MS Outlook cipher (compressible encryption) applied.
這個筆者一直不知道怎麼準確翻譯,不過知道具體功能就行。位置在 Search/Simulataneous Search 裡面,
這個可以理解為暴力搜尋,一切檔案裡面,只要是能滿足搜尋內容的,都會顯示出來,並且支援多數常用編碼,此處搜尋 BitLocker 試試:
搜尋過程中可以在此處檢視已經搜到的結果,搜尋結束後是會自動跳轉到結果頁面的,這個時候可以透過這個按鈕來切換:
切換到搜尋結果介面後,點選左側的目錄,可以檢視特定目錄下的搜尋結果。在目錄列表下方,會顯示不同關鍵詞的搜尋結果(如果在搜尋頁面中指定了多個搜尋詞),也可以透過一定的語法指定不同搜尋詞中的邏輯關係。
此外,其他搜尋項也是非常有用的,建議讀者都嘗試一下,比如搜尋 Hex 值,可以在檔案系統損壞的情況下定位到某一型別的檔案等,都是非常實用的資料恢復技巧,具體想了解的話可以去了解一下 WinHex 資料恢復的教程,兩者基本通用。
精煉磁碟快照(進行磁碟快照) Refine Volume Snapshot F10
該功能是 X-Ways Forensics 的特色功能之一,可以對檢材內容進行深度分析,開啟方式在 Specialist/Refine Volume Snapshot:
其實這個能講的非常多,但是基本用法很簡單,所以筆者在此不過多贅述,各位讀者可以在使用過程中自行摸索。
精煉之後,在主介面中會多一個 Metadata 的欄,在裡面也可以過濾資訊,檢視精煉結果。
滑鼠放到該列上可以顯示預覽,但是實在難以截圖,就沒放上來。
檔案檢視(預覽)
X-Ways Forensics 提供了非常完備的檔案預覽功能,支援大多數的檔案格式,尤其是 Office 文件,可以檢視大致內容(格式較為簡單,如果有需要建議還是匯出後檢視,或者選擇“使用關聯的方式開啟(Associated Program)”):
檔案簡單預覽的介面如下:
登錄檔報告
在透過檔案型別過濾或者展開到特定登錄檔檔案的目錄後,得到需要調查、分析的登錄檔檔案:
雙擊登錄檔檔案即可使用 X-Ways Forensics 內建的檢視器進行離線檢視:
將離線檢視器最小化,開啟第二個登錄檔 Hive 檔案:
會在左側列表中新增進去,因此其實是可以批次開啟的,在此開啟所有過濾出的登錄檔檔案,並且進行預覽。比如,在此展示 SOFTWARE\Microsoft\Windows NT\CurrentVersion
下的 Windows 版本資訊:
X-Ways Forensics 的一大功能亮點是建立登錄檔報告,在最左上角選單中可以選擇:
隨後會要求使用者選擇用來解析的規則檔案:
這裡面的檔案可以單選,也可以多選,對於不同的登錄檔使用不同的分析配置,肯定是最精確最合適的,但是有一個偷懶的辦法,就是開啟全部的登錄檔檔案,然後使用所有配置檔案來分析,之後在登錄檔報告裡面搜尋具體內容即可。
在此選擇所有的檔案進行分析,然後生成一個 HTML 格式的報告檔案,在瀏覽器中開啟檢視:
報告專案較多,筆者總結了一份速查表,使用瀏覽器的搜尋功能即可:
作業系統基本資訊
CPU資訊:
CPU
磁碟資訊:
IDE Device
Windows 版本資訊:
Windows internal version
,Windows installation date
,Windows product ID
,Windows CD key
,Windows name
,Windows build number
,Service pack
,Last logged on user
,Default Internet Browser
計算機名稱:
Active computer name
Windows 安裝語言(也不知道是不是正在使用的語言):
Windows installation language
可移動裝置:
Windows portable devices
啟用的服務:
Services installed
檢視安裝了的軟體:
Install date of
,Name of program Uninstall
,Install date of Uninstall
,Location of program Uninstall
,Source of program Uninstall
,Name of program
網路資訊
預設閘道器MAC:
Default Gateway MAC
本機MAC(看起來可能會更齊全):
This computer's MAC address
DHCP指定的IP:
DHCP assigned IP Address
本地連線網路:
Network connection
TCP/IP網路名稱:
Tcpip host name
網路卡資訊:
Model description of installed network card
使用者資訊
IE輸入記錄:
URLs typed in Internet Explorer
開啟過的檔案:
Documents opened
,Recent File List
使用者賬戶(但是看不到使用者名稱,只能看到SID):`User Account
最後登入使用者:
Last logged on user
最後登入時的計算機名稱(不知道具體什麼作用):
Last Computer Name
使用者設定的地區(NTUSER.DAT):
Country
使用者自定義的資料夾(NTUSER.DAT):
User-specific directories
各個使用者對應的UID(這個很有用,可以對照著查):
User ID of Administrator
比如搜尋 Windows internal version
即可獲取到 Windows 的版本資訊:
對於登錄檔報告,肯定是推薦對單獨的登錄檔檔案選擇對應的分析項,以求精準,但是總歸是個人習慣,讀者找到習慣的使用方法即可。
檔案恢復/複製(匯出)
選擇好想要匯出檔案後(結合使用 Ctrl、Shift 選擇多個檔案),右鍵,選擇 恢復/複製(Recover/Copy...):
會彈出檔案恢復/複製(簡單理解為匯出吧)視窗:
選擇好路徑後匯出就行。上圖路徑是軟體預設指定的路徑,為案件目錄下以該分割槽名稱(編號)命名的資料夾。資料夾內一般是保留了原本目錄的結構的。
筆者個人觀點,不喜勿噴
以上就是筆者所認為的初次接觸 X-Ways Forensics 需要了解和掌握的特色功能,於 X-Ways Forensics 軟體的強大功能而言僅僅是冰山一角,想要更深的瞭解,建議移步 X-Ways Forensics Practitioner's Guide(目前網際網路上只能找到第一版,發行於2013年,但是已經完全夠用了,可見 X-Ways Forensics 在軟體基本邏輯上的堅持)和官方手冊(https://www.x-ways.net/winhex/manual.pdf ),資料為均全英文,無中文翻譯版,但是技術英語難度並不高,耐著性子都能讀完,相信收穫還是非常大的。X-Ways Forensics 自2003年第一版發行以來(印象中是這樣),一直處於積極開發中,目前已經開發到了 20.8 版本,筆者演示所使用的 20.0 SR-7 是2019年發行的,已經是非常過時的版本了,很多新功能都無法體驗到,所以有條件的建議還是購買正版軟體,並透過右鍵積極接收軟體更新。該軟體的國內代理廠商為天宇寧達,同時也有相應的培訓、認證服務。
https://www.x-ways.net/winhex/forum/messages/1/1265.html?1104780865
FTK Imager
軟體簡介
https://www.exterro.com/ftk-imager
FTK Imager 是 AccessData Group, Inc. 公司開發的 FTK 系列取證工具中的磁碟映象工具,為免費軟體,可在官網免費下載並安裝使用,但是該系列其他軟體需要購買授權才能使用。FTK Imager 軟體體積 50MiB 左右,安裝後體積 128MiB 左右,可以在安裝後拷出來以便攜版的方式使用,以便於現場調證工作。
FTK Imager 的主要功能是磁碟映象、記憶體映象、磁碟映象檢視、磁碟掛載和資料恢復,在關鍵詞過濾、文字搜尋等方面並不是特別突出,畢竟軟體名稱裡面就把功能寫出來了,主要是進行採集,而不是分析。與此同理,X-Ways Forensics 系列工具也是有不同分工的,不同分工的軟體在功能複雜性上有區別,在定價上也有不同的選擇。FTK Imager 目前最新版本是 4.7 版本,但是據反饋,最新版本在掛載映象的時候有不穩定的情況,因此也可以下載使用 3.X 的版本,由於該軟體功能相對單一,因此區別並不是特別大。
軟體主介面如下:
在 File 選單下,即為該軟體的主要功能:
從上往下的主要功能依次是:
- 新增證據項,可以新增的內容包括物理磁碟、邏輯磁碟、映象等等;
- 映象掛載,可以將映象掛載為物理磁碟,但是需要注意的是 Windows 資源管理器可能不支援一些映象的檔案系統格式,會提示使用者進行格式化。
- 建立磁碟映象
- 採集記憶體
現在筆者將從這幾個主要功能出發,介紹 FTK Imager。
開始採集工作
新增證據項
選擇新增證據項(Add Evidenve Item)之後,會出現以下介面,要求使用者選擇證據來源:
從上往下依次是:物理磁碟、邏輯磁碟、映象檔案、資料夾內容。
關於物理磁碟和邏輯磁碟的區別,筆者認為還是有必要闡釋一下的。物理磁碟,Physical Drive,是和物理採集對應的,一般是對一個磁碟驅動器進行最底層的採集,採集其原始資料。舉個例子,某個磁碟不加密,分了兩個分割槽,那麼檢視採集物理磁碟得到的資料時,就能看到磁碟下有兩個分割槽,然後點進去能看到具體的內容。但是如果這個磁碟使用 BitLocker 加密了,那麼點進去依然能看到有兩個分割槽,但是是沒有辦法檢視具體資料的,只能看到被 BitLocker 加密後磁碟首部的標識。在磁碟本身是加密的,但是當前情況下已經被解密的情況下,採集邏輯映象是最好的選擇,此時一般就是對某個磁碟機代號對應的分割槽進行採集,那麼採集到的資料往往就是單個分割槽的、解密後的資料,相信這個還是很好理解的。
對於 Image File、映象檔案選項,多數時候是新增來檢視的,當然也可以用於一些常見格式的轉換。此處以第一個選項,物理磁碟為例。
可以看出這個軟體功能確實簡陋很多哈哈 😃
新增完物理磁碟後,如果要進行映象採集,可以在證據樹對磁碟或分割槽進行右鍵單擊,選擇 Export Disk Image(匯出磁碟映象):
除了 Export Disk Image 以外,還有 Image Mounting,這個在後面進行講解。
選擇 匯出磁碟 之後,出現以下視窗:
點選 Add 後,出現以下視窗,要求指定映象的格式、名稱和地址:
Raw(dd) 表示採集原始映象,不包括其他資訊,同時沒有壓縮,映象大小完全等於磁碟實際大小。
E01 也是常用映象格式之一,是 Encase 的映象格式,建議理解為一個證據容器,其中容納了映象資訊和被採集的磁碟映象內容(可以是被壓縮的),在進行校驗時,務必注意不能直接對 E01 證據容器進行雜湊計算,而是應該在取證軟體內對證據進行校驗。
繼續選擇 Next,要求填寫案件基本資訊,練習時可略過:
填寫妥當後即可開始採集。
映象掛載
進入 Image Mounting 選單:
在此以某 E01 格式的計算機映象為例,選中該檔案,並指定掛載方式,即可點選 Mount 進行掛載:
掛載過程中可能會不響應,耐心等待即可。使用完畢後,可選中磁碟分割槽,點選下方 Unmount 進行解除安裝,最好是解除安裝後再關閉軟體。
採集記憶體
FTK Imager 還有一大功能就是採集記憶體映象,這個在應急響應和現場取證中都非常有用,由於 FTK Imager 處於積極開發中,因此對一些較新的 Windows 作業系統也有比較好的相容性。
在 File 選單中選中 Capture Memory,彈出以下視窗:
選擇好目標地址和映象名稱後,即可開始採集。
使用 FTK Imager 進行作業系統模擬
https://blog.csdn.net/NDASH/article/details/109295885
https://www.cnblogs.com/ndash/p/16353508.html
https://www.cnblogs.com/ndash/p/NDASH.html
在此引用如下:
原文連結:https://www.cnblogs.com/ndash/p/NDASH.html
作者:蘇小沐
公眾號:DFIR
【電子取證:FTK Imager篇】DD、E01系統映象模擬
星河滾燙,人生有理想! ---【suy999】
DD、E01系統映象動態模擬
(一)使用到的軟體
1、FTK Imager (v4.5.0.3)
2、VMware Workstation 15 Pro (v15.5.2)
(二)FTK Imager 掛載映象
1、選擇 Imager Mounting
2、選擇系統映象掛載*"注意一"!!!
(三)VMware新建虛擬機器
1、新建虛擬機器
2、韌體型別*"注意二"!!!
3、處理器、記憶體及其它配置
4、磁碟型別選擇“SATA”*"注意三"!!!
5、本地磁碟*"注意四"!!!
6、完成建立虛擬機器
7、開啟虛擬機器
8、錯誤示範*"注意五"!!!
結尾
一、DD、E01系統映象動態模擬
在電子取證分析過程中,我們經常遇到DD、E01等系統映象,然而,並非所有工作者手邊都有自動化取證軟體,我們如何利用手上的資源,將映象給模擬起來檢視裡面的資料? 本文以E01映象為例(DD映象相同),我們來透過簡單的操作進行手動模擬,讓映象資料活起來!
(一)使用到的軟體
1、FTK Imager (v4.5.0.3)
FTK Imager “可寫”模式掛載系統映象為本地驅動器。 FTK Imager官網連結:“https://accessdata.com/product-download/ftk-imager-version-4-5”。
2、VMware Workstation 15 Pro (v15.5.2)
VM新建虛擬機器模擬系統映象。 VM官網連結:“https://www.vmware.com/products/workstation-pro/workstation-pro-evaluation.html”。
(二)FTK Imager 掛載映象
主要使用FTK Imager“可寫”模式,掛載系統映象到本地驅動器!
1、選擇 Imager Mounting
路徑:檔案->Imager Mounting;
2、選擇系統映象掛載
1)選擇需要掛載的映象檔案; 2)選擇"Block Device/Writable"; 3)點選"Mount"; 4)記住"驅動器號";
*"注意一"!!!
1)特別強調第2步!一定要選擇“可寫”模式,否則映象無法模擬起來! 2)mount成功後,會在本地磁碟顯示出新的分割槽,可以開啟Windows資源管理器檢視,以及預設在映象位置新生成一個字尾為“.adcf”的映象同名檔案,用來存放可寫模式下映象被修改的資料。
映象掛載前後對比!
掛載成功後,預設在映象的位置下生成一個字尾為".adcf"的同映象名檔案,用來存放映象虛擬寫入的檔案。
(三)VMware新建虛擬機器
1、新建虛擬機器
1)新建虛擬機器: 建立新的虛擬機器->“自定義(高階)”->下一步,虛擬機器硬體相容性預設即可! 2)稍後安裝作業系統: 後面會用到FTK Imager掛載起來的映象” 3)選擇對應的映象系統 4)虛擬機器儲存位置
選擇對應作業系統;填寫虛擬機器名稱、虛擬機器儲存的位置,預設儲存在C盤,建議自定義儲存在其它容量大的分割槽裡面。
如果不清楚映象型別 1、看 FTK Imager 掛載起來的分割槽,在“驅動器”裡面可以看到“分割槽”的檔案系統型別,根據檔案判斷該掛載的映象就為“Windows”; 2、磁碟管理裡面看型別。
2、韌體型別
*"注意二"!!!
這個很重要!選擇錯誤,系統無法正確引導啟動。 Windows配置方面,舊系統統一般選擇BIOS,現在多數電腦都是UEFI,具體看掛載起來的系統映象。
3、處理器、記憶體及其它配置
有條件的建議配置高一些,方便執行虛擬機器。處理器和記憶體分配太小了會卡,有時候映象資料量大還不一定能執行起來。
4、磁碟型別選擇“SATA”
*"注意三"!!!
磁碟型別一樣看所選映象,這裡測試了選擇“SATA、SCSI”都可以啟動成功,選“NVMe”不行,猜測映象檔案非NVMe固態硬碟所做。
5、本地磁碟
*"注意四"!!!
選擇“使用物理磁碟”,通常第一次選擇,點選下一步會請求以管理員許可權執行,需要允許!然後裝置選擇前面 FTK Imager 掛載起來的對應驅動器號,磁碟預設選擇使用整個磁碟即可。
6、完成建立虛擬機器
到這裡直接下一步即可完成虛擬機器的建立了。整體上需要注意的幾個點,細心就行了。
7、開啟虛擬機器
前面操作沒問題的話,系統映象就正常被啟動起來了。
8、錯誤示範
*"注意五"!!!
看分割槽型別,如果顯示EFI,韌體型別只能選擇“UEFI”,不能選擇“BIOS”!!!否則出現以下報錯,而且無法進入系統!!!
引導選擇錯誤後,選擇忽略,還是無法進入系統!
結尾
在這裡還是囉嗦幾句,經過測試發現 FTK Imager 新版本在掛載映象的時候不是很穩定,程式容易崩掉!工作中發現v3版本的穩定些。
名稱 時間 最後編輯日期: 2020 年 10 月 26 日
Arsenal Image Mounter
https://arsenalrecon.com/products/arsenal-image-mounter
軟體簡介
Arsenal Imager Mounter 是一個專門的磁碟掛載工具,下載後是一個壓縮包,以便攜的方式執行,需要Microsoft .Net Framework 4.0環境,個人使用者可以免費使用基本功能:
該軟體的功能和 FTK Imager 相差不大,但是專業版包含了卷影複製、作業系統模擬等功能,當然也可以使用類似於 FTK Imager 模擬的方式掛載磁碟,並且使用 Vmware Workstation 進行模擬。
關於這個,蘇小沐 的部落格寫得比較充分,為避免丟失,在此引用如下,讀者可以移步觀看:
使用 Arsenal Imager Mounter 進行作業系統模擬
https://www.cnblogs.com/ndash/p/14054233.html
【計算機取證篇】映象掛載利器-Arsenal Image Mounter
Arsenal Image Mounter是一款非常優秀的磁碟掛載工具,在Microsoft Windows中可以將磁碟映像的內容作為“真實磁碟”掛載到系統中。---【suy】
一、Arsenal Image Mounter簡介
Arsenal Image Mounter包含了一個虛擬SCSI介面卡(透過獨特的Storport miniport驅動程式),使使用者可以從Windows中對掛載的映象啟動虛擬機器(然後繞過Windows身份驗證)、管理BitLocker -受保護的卷、安裝/訪問“卷影副本”、“磁碟管理器”等功能。
下載安裝
官網下載地址:https://arsenalrecon.com/downloads/
1、下載的是壓縮包檔案,解壓後執行;
2、支援32位、64位執行環境;
3、需要Microsoft .Net Framework 4.0環境
4、如果軟體無法正常開啟,請以“管理員”身份執行;
二、映象掛載
Arsenal Image Mounter在Microsoft Windows中將磁碟映像的內容作為完整的磁碟裝入。
1、軟體執行後,提示啟動資訊,點選“ok”
2、選擇磁碟映象
路徑:File->Mount disk image File
3、映象模式設定
〇只讀磁碟裝置 將磁碟映像作為只讀磁碟裝置掛載。不允許寫操作。
〇寫入臨時磁碟裝置 將磁碟映像作為可寫磁碟裝置掛載。修改將被寫入一個寫-覆蓋差異檔案,原始磁碟映像將不會被改變。有時也稱為寫覆蓋或寫複製模式。 指定另一個不同的檔案位置
模擬映象的話就需要設定讀寫模式才行。
4、磁碟資訊
掛載成功後,在軟體的介面上會顯示出每個掛載的裝置資訊,包括ID、磁碟狀態(聯機或離線)、驅動器號、分割槽型別、磁碟簽名資訊、大小,模式(只讀或讀寫),驅動器型別(固定或移動)。
您還可以在介面的下半部分中選擇繼續新增映象、啟動虛擬機器和刪除映象等其他功能選項。
5、掛載之後在磁碟管理顯示
可在磁碟管理中檢視掛載好的磁碟。
高階功能-更改磁碟掛載模式
特別方便的一點是,Arsenal Image Mounter可以直接對已經掛載的映象在“高階功能”再設定就可以更改模式,不需要像FTK Imager需要重新再掛載映象,而且速度很快。
點選只讀設定,磁碟管理檢視磁碟就會變成只讀模式。
名稱 時間 最後編輯日期: 2020 年 11 月 28 日
ALEAPP、ILEAPP
https://github.com/abrignoni/ALEAPP
https://github.com/abrignoni/iLEAPP
軟體簡介
該系列軟體是 Github 使用者 abrignoni 使用 Python 語言編寫的移動裝置檔案系統解析工具,軟體分為 CLI 和 GUI 版本,現在講解使用 ALEAPP GUI 版本建立報告的流程。
開始分析工作
軟體主介面如下:
這個軟體是開源的,也建議各位讀者移步 Github 觀看原始碼,瞭解一下分析的過程,軟體由 Python 編寫,閱讀難度不高,不過要求要對 Android 檔案的基本結構有了解,並且會簡單的 SQL 語句。
軟體主頁面上提醒支援的檔案或目錄型別:tar
、gz
、zip
或資料夾,不支援常見的磁碟格式,因此建議先在其他取證軟體中將檔案匯出,然後以資料夾的方式匯入到程式中。
在此以龍信杯的Android手機檢材為例,具體的系統應該是 MIUI:
選中所有分析模組即可,分析完成後會生成一個 HTML 格式的報告,在瀏覽器中檢視即可:
基本資訊
彩信、簡訊
WiFi 記錄
作業系統版本
對手機基本資訊的取證,主要還是解析資料庫,這個大差不差的。另外這個軟體對一些國內的APP支援較差,讀者有條件也可以編寫程式碼輔助分析。
ALEAPP和iLEAPP邏輯相似,都是對檔案系統進行分析,但是iOS因為不容易獲取到完整的檔案系統,因此在此不做演示。
Eric Zimmerman's Tools
https://ericzimmerman.github.io/#!index.md
軟體簡介
Eric Zimmerman's Tools 是由 Eric Zimmerman 編寫的一系列 Windows 取證工具,軟體執行平臺 .NET 4 或 .NET 6,均有對應版本。
MFTExplorer(GUI)
對 MFT 記錄進行分析,可使用取證工具匯出 $MFT
,再匯入該軟體進行解析,可以檢視解析後的 MFT 記錄。
軟體分析時間較長,檢視邏輯和 FTK Imager、X-Ways Forensics 類似,可以在左邊展開不同的層級,在右側視窗內檢視記錄。
此外,該應用同時提供了 CLI 版本,可以生成 csv 格式的報告,以便於資料分析。
ShellBagsExplorer
主要是分析的 usrclass.dat
,可以分析出檔案開啟記錄。
RegistryExplorer(GUI)
匯入登錄檔檔案,可作為離線的登錄檔檢視器使用。
iBackup Viewer
用於檢視 iTunes 備份檔案,免費版有一定的功能限制,列表如下:
Feature | Free Version | Pro Version |
---|---|---|
Encrypted Backups | ||
Extract Contacts | ||
Save Contacts as vCards | ||
Retrieve Phone Call History | ||
Save Phone Call History to Text File | ||
Save Phone Call History to CSV File | ||
Save Phone Call History to PDF File | ||
Extract Messages | ||
Save Message Thread to Text File | ||
Save Message Thread to CSV File | ||
Save All Messages to Text File | NO | |
Save All Messages to CSV File | NO | |
Save Message Thread to PDF File | ||
Save All Messages to PDF File | NO | |
Extract Attachments | ||
Extract WhatsApp messages | ||
Save WhatsApp Message Thread to Text File | ||
Save WhatsApp Message Thread to CSV File | ||
Save All WhatsApp Messages to Text File | NO | |
Save All WhatsApp Messages to CSV File | NO | |
Save WhatsApp Message Thread to PDF File | ||
Save All WhatsApp Messages to PDF File | NO | |
Extract WhatsApp Attachments | ||
Save Calendar to iCal | ||
Password Protected Notes | ||
Save Note to Text File | ||
Save Note to PDF File | NO | |
Save All Notes | NO | |
Save Single Voicemail | ||
Save Voicemail as Playable File | NO | |
Save All Notes | NO | |
Save Voice Memos Recording | ||
Save All Recordings | NO | |
Play Preview Recordings | ||
Internet History and Bookmarks | ||
Photos and Videos in Camera Roll | ||
Photos and Videos in Photo Stream | ||
Photo Folders | ||
Save Single Photo | ||
Save Multiple Photos | NO | |
iOS App Data | ||
Raw Backed up Data | ||
Save All Data for all Domains in Batch | NO | |
Save All Data for a Domain(app) | NO | |
Save Selected Data Files for a Domain (app) | ||
WeChat Messages | ||
Save WeChat Messages |
使用時,可在設定中新增 iTunes 備份的地址,這樣就能自動識別、分析了:
選擇 Add,新增需要解析的 iTunes 備份檔案目錄即可。
HxD
開源的16進位制檢視、編輯工具。
DB Browser for SQLite
開源的資料庫檢視工具,功能應該不需要多說。
由於 X-Ways Forensics 沒有內嵌 sqlite 的檢視器(但也可以透過磁碟快照的方式來實現,只是效率相對低一些,也沒有直接使用這個軟體來得方便),因此也可以在 X-Ways Forensics 的檢視器設定中手動新增這個軟體,以方便快速檢視 sqlite 的內容。