电子数据取证参赛经验总结
参加了三次取证比赛了,也谈不上有什么经验吧,就简单写一下一些注意事项以及可能会踩坑的地方和一些技巧吧。
Windows:
1.刚开始的第一个问题一般情况下都是问你镜像的哈希或者磁盘的哈希值,这在实际中应该是为了保证镜像数据的完整性,一定要注意题目问的是什么的哈希值,磁盘的哈希值要放到取证软件中之后再看,镜像文件的哈希就是.dd文件的哈希,可以直接计算。
2.接下来可能会有一些基础的问题,比如系统最后一次关机时间,系统安装时间,系统用户信息等等,都可以在取证大师中的取证结果中查看。
3.当题目中问到某某文件有关的信息的时候,如果你比较了解这个文件具体作用、具体路径,就可以根据经验找这个文件,如果不了解就可以采取暴力检索的方式直接搜索想要的结果,然后点击跳转到源文件即可找到想要的文件。
4.Windows注册表中有很多有用的东西,可以了解一下一些重要的注册表项的含义。
5.使用火眼仿真软件来做可能会有意想不到的收获,比如桌面有个txt文件,里面有账号密码哈哈哈哈。
6.和时间相关的题目务必注意选项里面的时间是不是UTC +8,世界标准时间是UTC时间也就是0时区的时间,对标格林威治时间,中国是使用东八区时间也就是UTC +8 ,选择的时候一定要注意选项问的到底是哪个时间。
7.关于内存取证方面,VolatilityWorkbench是个不错的选择,不用启动kali虚拟机,也不用记住命令,但是组件不能自由添加,不过整体还挺好用。
8.你需要有一定的软件逆向能力,比如使用IDA,也要会一些DLL函数作用。还有apk的逆向分析等等。
9.浏览器的访问记录有很多有用的东西,比如我们攻击某个网站,可能会需要搜索资料,历史纪录里面就可能有想要的东西。
10.邮件里面可能会有太多太多的有用信息,附件很可能就是病毒,不要在本地电脑运行!
11.洋葱网络可以了解一下,一般搞事情的都会在背地里搞,所以很可能涉及洋葱网络。
12.学会计算扇区、簇、以及一系列的硬件存储相关的东西,查看簇的大小可以用chkdsk命令,具体怎么用网上有。
Linux:
1.Linux很有可能涉及RAID重组,这里也是一个难点,如果组不出来后面的题基本上是没法做的,上次美亚杯就是吃了这个亏,如果组出来一等奖稳稳的。RAID重组最简单也是最有效的办法就是使用取证大师自动重组,但是很重要的一点也是我们刚知道的一点就是先用FTK把镜像文件挂载到本地之后再用取证大师自动重组,这样会大大提高效率!如果取证大师组不出来,那就可以试试用RAID Reconstructor试试,有的大佬还能直接用Winhex看磁盘看出来,,,我也不是很懂这是什么操作。如果都组不出来,那就可以尝试把镜像放进火眼仿真软件里面了,尝试一下是不是软RAID,mdadm -D 查看软件raid信息。如果实在组不出来,然后还有很多时间的话那就慢慢试试,运气好几百种可能你一下子就试出来了也不好说。
2.Linux一般是服务器,或者是攻击者的kali机。服务器上很多配置信息都可以在取证大师取证结果中看到,需要了解Linux媒体文件的挂载方式,理解LVM等一系列存储相关的东西怎么看,命令是啥。
3.服务器上也可能是一个网站的服务器,这就要求你的队伍里面还需要一个懂web的,了解docker容器使用。
4.Linux的几个常见目录是干什么的要有所了解,比如DDos攻击上传的文件一般在/var目录下
5.bash的history是一个好东西
6.Linux的用户登录信息,权限信息,怎么提权,最好也要了解一下
手机取证:
1.iPhone很有可能就在嫌疑人笔记本电脑上有备份,所以准备一个iPhone备份恢复工具非常有必要。安卓手机也有可能在电脑有备份。
2.安卓的目录信息稍微了解一下
3.短信息里面有惊喜
4.微信聊天数据db文件是加密的,有加密方法,具体好像是用IMEI+啥东西我忘记了,可以查一下,很重要
5.手机取证可以用手机大师或者是用火眼取证做。
其他:
流量分析用wireshark做,筛选方法自己去学习一下,流量包可以看出DDos攻击或者是其他DNS等有用的数据。其他日志分析就自己看着来吧。
总结:取证比赛呢,可能上手比较简单,刚开始你可能会觉得不就是操作软件找东西嘛,点点点就行了。但是越往后你越会发现其实没那么简单,你需要深刻理解操作系统,知识点要覆盖很全面,还要了解黑客的攻击手段,想做到做的每个题都对确实挺难的,看选项一定看清楚再选,问哈希值的时候看后几位别看前几位。欢迎大家参加取证比赛,还是挺有意思的,也会对大家日常学习有所帮助。
以上内容如有不对的地方欢迎批评指正!