這是 酒仙橋六号部隊 的第 16 篇文章。
全文共計1871個字,預計閱讀時長5分鐘。
Ps.東北地區安全團隊招人中...
當我們需要對計算機進行磁盤取證時往往會發現,該台電腦之前的操作人員已經将敏感文件删除進入回收站,并清空回收站或從回收站中徹底删除了這些文件,而這些文件很可能包含了重要的取證信息。
從原理上,删除隻是在文件上作了删除标記,而真正的文件内容仍保存在磁盤的數據區中,并未得以删除。要等到以後的數據寫入,把此數據區覆蓋掉,這樣才算是徹底把原來的數據删除。因此隻要将整個磁盤進行分析,就有可能将已經徹底删除的文件恢複。
準備工作目标系統:Win7SP1x86
1、首先我們在 D 盤創建幾個小圖片、小視頻、小文檔:
image.jpg、video.mov、text.txt、document.docx、image_d.jpg、video_d.mov、text_d.txt、document_d.docx。
2、右鍵删除
image_d.jpg、video_d.mov、text_d.txt、document_d.docx,
之後 "清空回收站"。
在進行磁盤取證時,為了盡量減少目标主機文件系統的變動,我們可以使用離線方式進行磁盤取證,将目标主機的磁盤創建鏡像,放在移動磁盤中存儲。
3.1 在 Kali 下創建磁盤鏡像
3.3.1 啟動到Live模式下1、首先啟動進入取證模式;
2、接入移動硬盤,fdisk -l 确定移動硬盤的設備名為/dev/sdb1;
3、挂載移動硬盤。
cd /mnt
mkdir udisk
mount/dev/sdb1 /mnt/udisk
1、在目标硬盤上右鍵 Acquire image,
設置相關信息、保存路徑、文件名,開始獲取磁盤鏡像。
下面的hash校驗我勾掉了,是為了讓速度更快一些。
2、Start開始後,需要一段時間,由磁盤容量、速度與電腦性能決定。
3、鏡像制作完成。
全磁盤鏡像文件大小共4.7GB。
磁盤實際使用大小是這樣的。
1、fdisk -l 判斷目标磁盤編号:
#if=指定需要制作映像設備,-of=指定保存的位置。
2、
dd if=/dev/sda of=/mnt/udisk/Forensic/dd/sda
dd速度非常慢,且在備份過程中沒有任何進度提示,直接放棄換用增強版dd------dc3dd。
3.1.4 使用dc3dddc3dd和dd參數使用是一樣的,它們一樣是完整備份,對備份盤容量需求比較大,這裡隻備份sda3(D盤),可以看到備份了約6GB大小。
最終D盤分區鏡像大小5.81GB。
3.2 在 Windows 下創建磁盤鏡像
在Windows下也最好使用Live系統如WindowsPE啟動盤進行取證,但是由于這裡沒有現成的包含取證工具的啟動盤,因此直接在系統裡操作。取證工具、創建的磁盤鏡像文件,都放在虛拟機的共享磁盤上,盡可能避免改變目标文件系統。
3.2.1 使用X-Ways Forensics這個工具就是Winhex的取證加強版,因此界面幾乎都一樣。
1、工具欄選擇Create Disk Image。
2、直接給整個磁盤創建鏡像,創建分區鏡像可以選擇上邊的。
3、選擇好存儲路徑後點OK開始。
4、開始創建鏡像,鏡像備份的速度比dd真是快的太多了。
全盤備份5.8GB,要比guymager備份的文件容量多1GB,這個結果可能是受到了在線備份鏡像的影響。
由于我找到的這個版本不支持32位系統,因此隻能使用它在另外一台x64虛拟機做一個創建鏡像的演示。(D盤環境存在相同的文件讀寫删除操作)
1、同樣在工具欄選擇Create Disk Image。
2、選擇整個磁盤或分區,這裡準備備份一個分區D盤。
3、選擇備份類型,這裡不建議用Raw,那樣就跟dd一樣創建一個和磁盤大小一樣的鏡像,無視實際使用空間大小。
4、按需填寫證據信息。
5、選擇存儲位置,之後開始創建鏡像。
D盤鏡像大小21.6MB(如果使用RAW格式,将會是10GB)。
4.1 使用 X-Ways Forensics 分析證據
相較于FTK,X-Ways擁有更完善的案件、證據管理模式,可以保存案件後續再接着分析。
1、創建案件。
2、導入證據。
可以導入各類證據,這裡選擇鏡像。
3、導入前面創建的4個鏡像(包含兩個全磁盤鏡像、1個x86虛拟機的D盤、1個x64虛拟機的D盤)。
4、查看D盤裡的文件 。
可以正常顯示圖片,但是這裡沒有看到被删除的文件(被删除的文件顯示為半透明)。
5、尋找被删除的文件。
由于删除時,是先del進入回收站,然後清空的,因此被删除的文件會在回收站的路徑中。
6、可以将鏡像中有需要的文件恢複出來進一步分析。
4.2 使用 AccessData FTK Imager 分析證據
1、添加證據。
2、選擇鏡像文件,之後選擇位置即可。
3、将4個鏡像全部載入,這裡不支持重命名。
4、分析文件。
FTK同樣可以直接預覽txt、jpg
5、尋找被删除的文件。
同樣到回收站目錄下尋找被清空的文件,這裡是使用紅叉表示其被删除了。
6、導出文件。
FTK同樣可以導出鏡像内的文件。
1、FTK有個特殊功能,可以把磁盤鏡像映射為一個虛拟磁盤。
2、這樣就多了一個和win7x86主機裡一樣的分區。
3、不用的時候unmount即可。
使用 foremost 提取磁盤映像裡的文件。
foremost -t all -i sda3
-i 指定鏡像文件
-t 指定文件類型
all 是所有支持的類型,具體支持的類型查看man。
運行結果:
經過測試,jpg、mov、txt、docx四種類型的文件,隻能提取到docx和jpg兩種格式的文件。
更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
