【THM】Digital Forensics Fundamentals(数据取证基础知识)-学习

本文相关的TryHackMe实验房间链接:https://tryhackme.com/r/room/digitalforensicsfundamentals

本文相关内容:了解数字取证基础及其相关流程,并通过实际示例进行练习。

image-20250107223835380

数字取证简介

取证(Forensics)是指应用方法和程序来调查和解决犯罪。调查网络犯罪的取证学分支被称为数字取证(digital forensics)网络犯罪是指在数字设备上进行或使用数字设备进行的任何犯罪活动。在犯罪发生后,可以使用多种工具和技术对数字设备进行彻底调查,以发现和分析证据,从而为必要的法律行动提供依据。

image-20250111192841649

数字设备已经解决了我们的许多问题。全球各地的沟通只需发短信或打电话就能进行。由于数字设备的广泛使用,除了使生活变得更加简便之外,数字犯罪即网络犯罪也在逐渐增加。这些各种各样的网络犯罪都是使用数字设备进行的。

假设一个案例,执法机构凭借适当的搜查令突袭了银行抢劫犯的住所,然后在劫匪的家中发现了一些数字设备,包括笔记本电脑、手机、硬盘和USB等。现在执法机构已经将该案件移交给了数字取证团队,此团队安全地收集了证据,并且在配备了多种取证工具的数字取证实验室内对数字证据进行了彻底的调查,最终他们在可疑的数字设备上发现了以下证据:

  • 在嫌疑人的笔记本电脑上发现了一张关于银行的数字地图,嫌疑人将其保留以用于策划抢劫活动。
  • 在嫌疑人的硬盘上发现了一份包含银行入口和逃生路线的文档。
  • 嫌疑人的硬盘上的一份文档列出了银行的所有物理安全控制措施,嫌疑人还制定了绕过这些安全措施的计划。
  • 在嫌疑人的笔记本电脑里面有一些媒体文件,包括了与嫌疑人之前进行的抢劫相关的照片和视频。
  • 经过对嫌疑人的手机进行彻底排查后,还发现了一些与抢劫银行有关的非法聊天群组和通话记录。

image-20250111192905735

所有的这些证据都能够在该案的法律诉讼中为执法部门提供帮助。此场景从头到尾都在讨论一个案件。数字取证团队在收集、存储、分析和报告证据时需要遵循一些调查程序。本文将重点讨论如何理解这些调查程序,以下是本文的学习目标:

学习目标

  • 了解数字取证的各个阶段;
  • 了解数字取证的类型;
  • 了解数字证据的获取程序(即获取证据的过程);
  • 了解Windows取证的基础概念;
  • 完成取证练习示例;

答题

执法部门(law enforcement)会将案件交给哪个团队?

digital forensics

image-20250111193207991

数字取证方法论

数字取证团队要处理各种案件,需要使用不同的工具和技术,然而,美国国家标准与技术研究院(NIST)为每个案件定义了一个通用的数字取证流程。NIST致力于为包括网络安全在内的不同技术领域定义框架,他们将数字取证流程分为四个阶段进行介绍。

image-20250111193310101

  1. 收集(Collection):数字取证的第一阶段是数据收集。识别所有可以从中收集数据的设备至关重要。通常,调查人员可以在犯罪现场找到个人电脑、笔记本电脑、数码相机、USB等数字设备。此外,收集证据时还必须确保原始数据不被篡改,并妥善保存包含所收集项目的详细信息的一个适当文档。在接下来的内容中我们还将讨论证据获取程序。
  2. 检查(Examination):收集的数据可能会因其规模太大而让调查人员应接不暇。因此,通常需要对这些数据进行筛选(过滤),并提取感兴趣的数据。假设作为一名调查人员,你从犯罪现场的数码相机中收集了所有媒体文件,但由于你需要关注的是特定日期和时间记录的媒体文件,因此你可能只需要其中的一部分。因此,在检查阶段,你会筛选(过滤)出特定时间记录的媒体文件,并将其移交至数字取证流程的下一阶段。同样,你可能只需要从包含众多用户帐户的系统中获取特定用户的数据。检查阶段可以帮助你筛选(过滤)这些特定数据以进行分析。
  3. 分析(Analysis):这是一个关键的阶段。研究人员现在必须通过将数据与多个证据关联起来以分析数据,并得出结论。此分析取决于案件场景和可用数据,它旨在按时间顺序提取与案件相关的活动。
  4. 报告(Reporting):在数字取证的最后阶段,需要准备一份详细的报告。该报告包含了调查方法以及从已经收集到的证据中得出的详细结论,它还可能会包含一些建议。该报告将被提交给执法部门和行政管理层,考虑到所有报告接收方的理解程度,在报告中纳入执行摘要非常重要。

作为收集阶段的一部分,我们可以发现在犯罪现场中存在各种各样的证据。分析这些种类繁多的数字证据需要使用各种工具和技术。

数字取证有不同的类型,它们都有各自的收集和分析方法,下面列出了一些最常见的类型:

image-20250111193332000

  • 计算机取证(Computer forensics):最常见的数字取证类型是计算机取证,它涉及对计算机进行调查,计算机是网络犯罪中最常用的设备。
  • 移动取证(Mobile forensics):移动取证涉及调查移动设备并从中提取证据,例如通话记录、短信、GPS 位置等。
  • 网络取证(Network forensics):这一取证领域所涵盖的调查范围不仅限于单个设备,还包括整个网络,在网络中可发现的大部分数字证据是网络流量日志。
  • 数据库取证(Database forensics):许多关键数据会被存储在专用数据库中。数据库取证将会调查任何可能导致数据被修改或泄露的(针对数据库的)入侵行为。
  • 云取证(Cloud forensics):云取证是一种涉及调查存储在云基础设施上的数据的取证类型。由于云基础设施上的证据很少,这种类型的取证有时会给调查人员带来一些困难。
  • 电子邮件取证(Email forensics):电子邮件是专业人士之间最常见的沟通方式,已成为数字取证的重要组成部分。我们可以对电子邮件进行调查,以确定其是否属于网络钓鱼或欺诈活动的一部分。

答题

数字取证的哪个阶段涉及关联已经收集的数据以从中得出结论?

Analysis

数字取证的哪个阶段涉及从已经收集的证据中提取感兴趣的数据?

Examination

image-20250111193545381

证据获取

获取证据是一项至关重要的工作。取证团队必须安全地收集所有证据,不得篡改原始数据。针对数字设备的证据获取方法往往取决于设备类型。然而,在获取证据的过程中,数字取证团队还必须遵循一些通用做法。让我们来讨论一下其中的一些重要做法。

适当的授权

取证团队在收集任何数据之前,应获得有关部门的授权,未经事先批准而收集的证据可能不会被法庭采纳。可取证的证据有时候会包含组织或个人的隐私和敏感数据,在收集这些数据之前先获得适当的授权,对于依法开展调查至关重要。

image-20250111195435459

保管链

想象一下,一个调查小组从犯罪现场收集了所有证据,但几天后部分证据丢失了,或者证据发生了一些变化。在这种情况下,没有人能够承担责任,因为没有适当的流程来记录证据所有者。这个问题可以通过维护保管链文件来解决。保管链(chain of custody)是一份包含了证据的所有详细信息的正式文件。

下面列出了一些关键细节:

  • 证据描述(名称、类型);
  • 收集证据的个人的姓名;
  • 收集证据的日期和时间;
  • 每份证据的存储位置;
  • 访问证据的时间以及访问证据的个人记录。

这可以创建适当的证据线索并有助于保存证据,保管链文件可用于证明法庭所采纳的数字证据的完整性和可靠性。你可以从此处下载一份保管链样本。

tips:chain of custody(证据保管链)——关于证据材料的获取、转移、处理和处置的全过程记录。

使用写入阻止程序

写入阻止程序是数字取证团队的工具箱中不可或缺的一部分。假设你正在从嫌疑人的硬盘中收集证据,并且将硬盘连接到了取证工作站。在收集数据的过程中,取证工作站中的某些后台任务可能会更改硬盘上文件的时间戳,这可能会对分析造成阻碍,最终导致错误的结果。假设在相同情况下使用写入阻止程序并从硬盘中收集数据,这一次,嫌疑人的硬盘将保持其原始状态,因为写入阻止程序可以帮助我们阻止任何能够篡改证据的操作。

image-20250111195624638

答题

在证据收集过程中,我们可以使用哪种工具来确保数据的完整性?

write blocker(写入阻止器)

包含所收集的数字证据的所有详细信息的文档的名称是什么?

chain of custody(证据保管链)

image-20250111195852481

Windows取证介绍

从犯罪现场中收集到的最常见的证据类型是台式电脑和笔记本电脑中的数据,因为大多数网络犯罪活动都涉及到个人计算机系统的使用。这些设备上运行着不同的操作系统。在本小节中,我们将讨论Windows操作系统的证据获取和分析,它是一个非常常见的操作系统,在很多案件中都会对其进行调查。

作为数据收集阶段的一部分,我们将获取 Windows 操作系统的取证映像。这些取证映像是整个操作系统的逐位副本(bit-by-bit copies)。

我们可以从 Windows 操作系统中获取到两种不同类型的取证映像:

  • 磁盘映像(Disk image):磁盘映像包含系统存储设备(HDD、SSD 等)上存在的所有数据。这些数据是非易失性的,这意味着即使在操作系统重新启动后,磁盘数据也仍然会保留。例如,所有媒体文件、文档文件、互联网浏览历史记录等。
  • 内存映像(Memory image): 内存映像包含操作系统RAM内的数据。这些内存是易失性的,这意味着这些数据在系统关机或重启后会丢失。例如,为了捕获打开的文件、正在运行的进程、当前的网络连接等,应该优先从嫌疑人的操作系统中获取内存映像;否则,任何系统重启或关闭都会导致所有易失性数据被删除。在Windows操作系统上进行数字取证时,收集磁盘映像和内存映像至关重要。

在计算机术语中,“映像”(Image)指的是某个设备(如硬盘、分区、光盘等)或者某个文件系统的完整复制副本。

让我们简单讨论一些可用于获取和分析 Windows 操作系统的磁盘映像、内存映像的流行工具。

FTK Imager: FTK Imager是一种被广泛使用的工具,可用于获取Windows操作系统的磁盘映像。它提供了一个用户友好的图形界面,以用于创建各种格式的映像。此外,该工具还可以分析磁盘映像的内容。它既可用于获取,也可用于分析。

image-20250111195919243

Autopsy: Autopsy是一个流行的开源数字取证平台。调查人员可以将已获取的磁盘映像导入此工具,该工具将对映像进行全面的分析。它可以在映像分析过程中提供各种功能,包括关键字搜索、恢复已删除的文件、查看文件元数据、扩展名不匹配检测等等。

image-20250111195944381

DumpIt: DumpIt是一款能够从 Windows 操作系统中获取内存映像的实用程序。该工具可以使用命令行界面和一些命令创建内存映像。内存映像还可以采用不同的格式。

Volatility: Volatility是一款功能强大的开源内存映像分析工具。它提供了一些非常实用的插件。每个痕迹都可以使用特定的插件进行分析。该工具支持各种操作系统,包括 Windows、 Linux 、macOS 和 Android。

image-20250111200006308

注意:我们还可以使用其他各种工具来获取和分析 Windows 操作系统的磁盘映像和内存映像。

答题

我们可以基于哪种类型的取证映像来从操作系统收集易失性数据?

Memory image(内存映像)

image-20250528210602587

练习示例

从智能手机到电脑,我们在数字设备上所做的一切都会留下痕迹。让我们看一下如何在后续调查中利用这些痕迹。

示例场景:我们的猫咪Gado被绑架了,绑匪给我们发了一份MS Word文档,上面写着他们的请求。为了方便起见,此文档已经被转换为了PDF格式,并且从Word文档中提取了被嵌入的图片。

你可以将下面的附件下载到本地机器上进行检查。

image-20250111201124904

image-20250528221530351

image-20250528221619195

为了方便起见,该文件已经被添加到了AttackBox机器中。我们可以在与本文相关的TryHackMe实验房间页面中,点击顶部的 Start AttackBox按钮来启动这台虚拟机。AttackBox的使用界面将会以分屏视图的形式打开。如果此机器的使用界面未正确显示,请继续点击实验房间页面顶部的 Show Split View 按钮即可。

成功启动AttackBox之后,我们可以打开一个新的终端界面并导航到 /root/Rooms/introdigitalforensics 目录,如下所示。在以下终端输出中,我们切换到了包含示例文件的目录。

root@tryhackme:~# cd /root/Rooms/introdigitalforensics

PDF文件元数据

当你创建文本文件TXT时,操作系统会自动保存一些元数据,例如文件创建日期和文件的上次修改日期。然而,当你使用更高级的编辑器(例如MS Word)进行文件创建时,会有更多的信息被保留在文件的元数据中。读取文件元数据的方式有很多种,你可以使用一些官方查看器/编辑器打开文件并读取,或者使用合适的取证工具来对文件进行元数据读取。请注意,将文件导出为其他格式(例如PDF)仍然会保留原始文档的大部分元数据,这具体取决于你所使用的PDF编辑器类型。

让我们看看我们能从PDF文件中获取到什么信息。我们可以尝试使用pdfinfo程序来读取文件的元数据,pdfinfo可以显示与PDF文件相关的各种元数据,例如标题、主题、作者、创建者和创建日期等。AttackBox上已经安装了pdfinfo,但如果你使用的是Kali Linux并且尚未安装pdfinfo ,那么你可以使用以下命令来进行安装:sudo apt install poppler-utils

然后再在攻击机终端中使用以下命令:pdfinfo DOCUMENT.pdf

root@tryhackme:~# pdfinfo DOCUMENT.pdf 
Creator:        Microsoft® Word for Office 365
Producer:       Microsoft® Word for Office 365
CreationDate:   Wed Oct 10 21:47:53 2018 EEST
ModDate:        Wed Oct 10 21:47:53 2018 EEST
Tagged:         yes
UserProperties: no
Suspects:       no
Form:           none
JavaScript:     no
Pages:          20
Encrypted:      no
Page size:      595.32 x 841.92 pts (A4)
Page rot:       0
File size:      560362 bytes
Optimized:      no
PDF version:    1.7

上述 PDF 元数据清楚地显示了该文件是于 2018 年 10 月 10 日使用MS Word for Office 365创建的。

图像EXIF数据

EXIF代表可交换图像文件格式(Exchangeable Image File Format),它是将元数据保存到图像文件中的标准。每当你使用智能手机或数码相机进行拍照时,图像中都会被嵌入大量信息。以下是可以在原始数字图像中找到的元数据的示例:

  • 相机型号/智能手机型号;
  • 图像拍摄的日期和时间;
  • 照片设置,例如焦距、光圈、快门速度和 ISO 设置。

由于智能手机配备了 GPS 传感器,因此在图像中找到被嵌入的 GPS 坐标的可能性很高。GPS坐标,即经纬度信息,通常可以用来揭示一张照片的拍摄地点。

有许多在线和离线工具可以从图像中读取EXIF数据,其中的一个命令行工具是exiftool。ExifTool可用于针对各种文件类型(例如 JPEG 图像)中的元数据进行读取和写入操作。 TryHackMe为我们提供的AttackBox上已经安装了exiftool;但是,如果你使用的是Kali,并且未安装exiftool,那么你可以使用以下命令来进行安装:sudo apt install libimage-exiftool-perl

在下面的终端窗口中,我们可以执行exiftool IMAGE.jpg命令来读取该图像中嵌入的所有EXIF数据。

root@tryhackme:~# exiftool IMAGE.jpg
[...]
GPS Position : 51 deg 31' 4.00" N, 0 deg 5' 48.30" W
[...]

如果你使用上述坐标并打开在线地图进行搜索,你将了解到关于此位置的更多信息。我们只要在Microsoft Bing 地图Google 地图中搜索 51 deg 30' 51.90" N, 0 deg 5' 38.73" W 就可以找到拍摄该照片的街道位置。请注意,为了进行有效搜索,我们还必须将上述地理坐标中的deg替换为°符号,并且删除数字与°符号之间多余的空格。

答题

本节练习示例的完成过程可参考:【THM】Intro to Digital Forensics(数字取证介绍)-学习

启动AttackBox机器,打开终端并导航到 /root/Rooms/introdigitalforensics 目录。

使用pdfinfo找出所附的PDF文件ransom-letter.pdf的作者。

cd /root/Rooms/introdigitalforensics
ls -la
pdfinfo ransom-letter.pdf
##############################################################################
root@ip-10-10-30-132:~# cd /root/Rooms/introdigitalforensics
root@ip-10-10-30-132:~/Rooms/introdigitalforensics# ls -la
total 664
drwxr-xr-x  2 root root   4096 Mar  4  2022 .
drwxr-xr-x 41 root root   4096 May 23 09:40 ..
-rwxr-xr-x  1 root root 127107 Feb 23  2022 letter-image.jpg
-rwxr-xr-x  1 root root 153088 Feb 23  2022 ransom-letter.doc
-rwxr-xr-x  1 root root  71371 Feb 23  2022 ransom-letter.pdf
-rw-r--r--  1 root root 308063 Mar  4  2022 ransom-lettter-2.zip
root@ip-10-10-30-132:~/Rooms/introdigitalforensics# pdfinfo ransom-letter.pdf
Title:          Pay NOW
Subject:        We Have Gato
Author:         Ann Gree Shepherd
Creator:        Microsoft® Word 2016
Producer:       Microsoft® Word 2016
CreationDate:   Wed Feb 23 09:10:36 2022 GMT
ModDate:        Wed Feb 23 09:10:36 2022 GMT
Tagged:         yes
UserProperties: no
Suspects:       no
Form:           none
JavaScript:     no
Pages:          1
Encrypted:      no
Page size:      595.44 x 842.04 pts (A4)
Page rot:       0
File size:      71371 bytes
Optimized:      no
PDF version:    1.7

image-20250528212231812

Ann Gree Shepherd

使用exiftool或任何类似的工具,尝试找到绑匪在何处拍摄了附加到文档中的照片,与照片拍摄地点相关的街道名称是什么?

tips:在使用在线地图进行位置搜索之前,记得用°符号替换地理坐标中的deg,并且删除(数字与°符号之间)多余的空格。

cd /root/Rooms/introdigitalforensics
ls
exiftool letter-image.jpg
exiftool letter-image.jpg | grep GPS
##############################################################################
root@ip-10-10-255-40:~/Rooms/introdigitalforensics# exiftool letter-image.jpg | grep GPS
GPS Latitude Ref                : North
GPS Longitude Ref               : West
GPS Time Stamp                  : 13:37:33
GPS Latitude                    : 51 deg 30' 51.90" N
GPS Longitude                   : 0 deg 5' 38.73" W
GPS Position                    : 51 deg 30' 51.90" N, 0 deg 5' 38.73" W

image-20250528215850741

使用在线地图进行位置搜索:Microsoft Bing 地图Google 地图

51 deg 30' 51.90" N,0 deg 5' 38.73" W ->搜索 51° 30' 51.90" N, 0° 5' 38.73" W -> 实际会显示 51°30'51.9"N 0°05'38.7"W

image-20250528220801316

Milk Street

拍摄这张照片所用的相机的型号名称是什么?

tips:在输出结果中仅显示带有单词“Camera”的行。

cd /root/Rooms/introdigitalforensics
ls
exiftool letter-image.jpg | grep Camera
##############################################################################
root@ip-10-10-255-40:~/Rooms/introdigitalforensics# exiftool letter-image.jpg | grep Camera
Camera Model Name               : Canon EOS R6
Camera Profile                  : Adobe Standard
Camera Profile Digest           : 441F68BD6BC3369B59256B103CE2CD5C
History Software Agent          : Adobe Photoshop Lightroom Classic 10.2 (Macintosh), Adobe Photoshop Camera Raw 14.0, Adobe Photoshop Camera Raw 14.0.1 (Windows), Adobe Photoshop Camera Raw 14.0.1 (Windows), Adobe Photoshop 22.4 (Windows), Adobe Photoshop 22.4 (Windows), Adobe Photoshop 22.4 (Windows), Gimp 2.10 (Linux)
Look Parameters Camera Profile  : Adobe Standard

image-20250528220859806

Canon EOS R6

image-20250528221213303

posted @ 2025-05-28 22:21  Hekeatsll  阅读(247)  评论(0)    收藏  举报