当前位置：首页 > article >正文

Cyber Security 101-Defensive Security-Digital Forensics Fundamentals（数字取证基础知识）

article 2025/1/19 0:12:07

了解数字取证和相关流程，并尝试一个实际示例。

任务1：数据取证简介

法医是应用方法和程序来调查和解决犯罪。法医学的分支调查网络犯罪的 API 被称为 Digital 法医(digital forensics)。网络犯罪是指任何犯罪活动在数字设备上或使用数字设备进行。几种工具和技术是用于在任何犯罪后彻底调查数字设备以查找并分析证据以采取必要的法律行动。

数字设备解决了我们的许多问题。通信全部环游世界只是一条短信或一个电话的问题。由于广大数字设备的使用，除了让生活更轻松外，还有数字犯罪 - 还观察到网络犯罪。各种犯罪是使用数字设备实施的。

考虑执法机构突击搜查银行的示例强盗的地方，有适当的搜查令。一些数字设备，包括笔记本电脑、手机、硬盘驱动器和 USB，在强盗的家。执法机构将此案移交给数字取证团队。该团队安全地收集了证据并在他们的数字取证实验室内进行了彻底的调查配备了取证工具。在数字设备：

在嫌疑人的笔记本电脑上发现了一张银行的数字地图，该地图他们留下来策划抢劫。
发现了一份包含银行入口和逃生路线的文件嫌疑人的硬盘驱动器。
硬盘上的一份文件，列出了银行的所有物理安全控制。嫌疑人制定了绕过安检的计划措施。
一些媒体文件，包括嫌疑人的照片和视频之前的抢劫案都在嫌疑人的笔记本电脑内。
在对嫌疑人的手机进行彻底调查后电话、一些与银行相关的非法聊天群和通话记录还发现了抢劫案。

所有这些证据都有助于执法部门进行法律诉讼案子。此方案从头到尾讨论案例。数字取证团队遵循一些程序，而收集证据、存储证据、分析证据并报告证据。这个房间将重点介绍对这些程序的理解。以下是该教室的学习目标：

学习目标

数字取证的阶段
数字取证的类型
取证程序
Windows 取证
解决法医案件

任务2：数字取证方法

数字取证团队有各种案件，需要不同的工具和技术。但是，美国国家标准与技术研究院（NIST）为每种情况定义了一个通用流程。NIST 致力于为不同的技术领域定义框架，包括网络安全，他们分四个阶段介绍数字取证的过程。

收集(Collection)：数字取证的第一阶段是数据采集。识别数据可以从中获取的所有设备收集是必不可少的。通常，调查员可以在其犯罪现场的电脑、笔记本电脑、数码相机、USB 等。它也是必要的，以确保原始数据不被篡改，而收集证据并维护包含以下内容的适当文件收集的项目的详细信息。我们还将讨论证据获取程序。
考试(Examination)：收集的数据可能会让人不知所措调查人员。这些数据通常需要过滤，并且需要提取感兴趣的数据。例如，作为调查员，您从犯罪现场的数码相机收集了所有媒体文件。您可能只需要一些介质，因为您关心的是在特定日期和时间录制的媒体。所以，在考试中阶段中，您可以过滤需要的时间，然后将他们移至下一阶段。同样，您只能需要包含大量用户的系统中的特定用户的数据帐户。检查阶段可帮助您筛选此特定数据进行分析。
分析(Analysis)：这是一个关键阶段。这调查人员现在必须通过将数据与多个证据得出结论。分析取决于根据案例场景和可用数据。该分析旨在提取与案件相关的活动按时间顺序排列。

报告(Reporting)：在数字取证的最后阶段，准备了一份详细的报告。此报告包含调查的方法和收集到的证据的详细发现。它可能会还包含 Recommendations。本报告提交法律执行和执行管理。重要的是要包括执行摘要作为报告的一部分，考虑到对所有接收方的理解。

作为收集阶段的一部分，我们看到证据可以在犯罪现场找到。分析这些多个证据类别需要各种工具和技术。有不同类型的数字取证，都有自己的收藏和分析方法。列出了一些最常见的类型下面。

计算机取证：最常见的数字类型取证是计算机取证，涉及调查计算机，犯罪中最常用的设备。
移动取证：移动取证涉及调查移动设备并提取证据，例如 CALL 记录、短信、GPS 位置等。
网络取证：该法医领域涵盖超出单个设备的调查。它包括整个网络。在网络中找到的大部分证据是网络流量原木。
数据库取证：许多关键数据存储在专用数据库。数据库取证调查任何对这些数据库，这会导致数据修改或泄露。
云取证：云取证是涉及调查云上存储的数据的取证基础设施。这种类型的取证有时会变得棘手调查人员，因为几乎没有关于云基础设施的证据。
电子邮件取证：电子邮件，最常见的专业人士之间的沟通方式，已成为重要一环数字取证。调查电子邮件以确定它们是否是网络钓鱼或欺诈活动的一部分。

任务3：取证

获取证据是一项关键工作。取证团队必须收集所有证据都安全无虞，不会篡改原始数据。数字设备的证据获取方法取决于数字设备。但是，必须遵循一些一般做法，而证据是获得的。让我们讨论一些重要的。

适当的授权

法医团队应获得相关权限。事先收集的证据批准在法庭上可能被视为不可接受。法医证据包括组织或个人的私人和敏感数据。适当收集此数据之前的授权对于调查至关重要根据法律的界限。

监管链(Chain of Custody)

想象一下，一组调查员从犯罪现场，几天后一些证据丢失了，或者证据有任何变化。不能扣留任何个人负责，因为没有适当的流程记录证据所有者。这个问题可以通过以下方式解决维护监管链文件。监管链是正式的包含证据所有详细信息的文件。一些关键详情如下：

证据的描述（名称、类型）。
收集证据的个人的姓名。
证据收集的日期和时间。
每一项证据的存储位置。
访问时间和访问证据的个人记录。

这创建了适当的证据线索并有助于保存它。这监管链文件可用于证明完整性和法庭上接受的证据的可靠性。监管链样本可以从这里下载。

使用写入阻止程序(Use of Write Blockers)

写入阻止程序是数字取证团队工具箱。假设您正在从嫌疑人的硬盘中收集证据以及将硬盘驱动器连接到取证工作站。虽然收集时，取证工作站中的某些后台任务可能会更改硬盘驱动器上文件的时间戳。这可能会导致分析过程中的障碍，最终产生不正确的结果。假设在同一场景中使用写入阻止程序从硬盘驱动器收集数据。这一次，嫌疑人的硬盘将保留在其原始状态下，写入阻止程序可以阻止任何证据更改操作。

任务4：Windows取证

从犯罪现场收集的最常见证据类型是台式电脑和笔记本电脑，因为大多数犯罪活动都涉及个人系统。这些设备运行不同的操作系统在他们身上。在本任务中，我们将讨论证据获取和分析 Windows 操作系统，这是非常常见的操作系统。

作为数据收集阶段的一部分，Windows 的取证图像操作系统。这些取证图像是逐位复制的的整个操作系统。两种不同类别的法医图像是从 Windows 操作系统拍摄的。

磁盘映像(Disk image)：磁盘映像包含所有数据存在于系统的存储设备（HDD、SSD 等）上。这数据是非易失性的，这意味着磁盘数据甚至可以保存下来重新启动操作系统后。例如，媒体、文档、互联网浏览历史等所有文件。
内存映像(Memory image)：内存映像包含数据在操作系统的 RAM 中。此内存是易失性的，这意味着系统关机或重启后，数据会丢失。例如，要捕获打开的文件、正在运行的进程、当前网络连接等，应优先考虑内存映像并首先从嫌疑人的操作系统中获取;否则，系统的任何重新启动或关闭都将导致所有易失性数据被删除。在执行 Windows 操作系统、磁盘和内存映像上的数字取证收集非常重要。

让我们讨论一些用于磁盘和内存映像的流行工具 Windows 操作系统的采集和分析。

FTK 成像仪(FTK Imager)：FTK Imager 是一种广泛使用的工具，用于获取 Windows 操作系统的磁盘映像。它提供了一个用户友好的图形界面，用于创建各种图像格式。此工具还可以分析磁盘映像的内容。它可以用于采集和分析目的。

尸检(Autopsy)：Autopsy 是一个流行的开源数字取证平台。调查人员可以将获取的磁盘映像导入此工具，该工具将对映像进行广泛分析。它在图像分析过程中提供了各种功能，包括关键字搜索、已删除文件恢复、文件元数据、扩展名不匹配检测等等。

DumpIt：DumpIt 提供了获取内存的实用程序来自 Windows 操作系统的图像。此工具可创建内存映像使用命令行界面和一些命令。内存映像可以也可以以不同的格式拍摄。

波动性：Volatility 是一个强大的开源用于分析内存图像的工具。它提供了一些非常有用的东西插件。每个工件都可以使用特定的插件进行分析。这工具支持各种操作系统，包括 Windows、Linux、 macOS 和 Android。

注意：各种其他工具也用于获取以及分析 Windows 操作系统的磁盘和内存映像。

任务5：数字取证的实际示例

我们在数字设备上所做的一切，从智能手机到电脑，都会留下痕迹。让我们看看如何在后续调查中使用它。

我们的猫 Gado 被绑架了。绑匪向我们发送了一份 MS Word 文档格式的文件，其中包含他们的请求。为方便起见，我们已将文档转换为 PDF 格式并从 MS Word 文件中提取图像。

您可以将以下附件下载到本地计算机进行检查。

但是，为方便起见，我们已将这些文件添加到 AttackBox。要继续操作，请按页面顶部的 Start AttackBox 按钮。AttackBox 将在拆分视图中打开。如果它没有显示，您可以按 显示拆分视图 页面顶部的按钮。启动后，打开新终端并导航到/root/Rooms/introdigitalforensics目录，如下所示。在下面的终端输出中，我们更改为包含 case 文件的目录。

root@tryhackme:~# cd /root/Rooms/introdigitalforensics

创建文本文件TXT时，操作系统会保存一些元数据，例如文件创建日期和上次修改日期。但是，当您使用更高级的编辑器（如 MS Word）时，许多信息会保留在文件的元数据中。有多种方法可以读取文件元数据;您可以在他们的官方查看器/编辑器中打开它们，或者使用合适的取证工具。请注意，将文件导出为其他格式（如PDF ）将保留原始文档的大部分元数据，具体取决于所使用的 PDF 编写器。

让我们看看我们可以从 PDF 文件中学到什么。我们可以尝试使用pdfinfo 程序 .Pdfinfo 显示与 PDF 文件相关的各种元数据，例如标题、主题、作者、创建者和创建日期。（AttackBox 已安装pdfinfo;但是，如果您使用的是 Kali Linux 但尚未安装pdfinfo，则可以使用sudo apt install poppler-utils ).请考虑以下使用pdfinfo DOCUMENT.pdf:

root@tryhackme:~# pdfinfo DOCUMENT.pdf 
Creator:        Microsoft® Word for Office 365
Producer:       Microsoft® Word for Office 365
CreationDate:   Wed Oct 10 21:47:53 2018 EEST
ModDate:        Wed Oct 10 21:47:53 2018 EEST
Tagged:         yes
UserProperties: no
Suspects:       no
Form:           none
JavaScript:     no
Pages:          20
Encrypted:      no
Page size:      595.32 x 841.92 pts (A4)
Page rot:       0
File size:      560362 bytes
Optimized:      no
PDF version:    1.7

PDF 元数据清楚地显示它是在 2018 年 10 月 10 日使用 MS Word for Office 365 创建的。

照片 EXIF 数据

EXIF 代表可交换图像文件格式;它是将元数据保存到图像文件的标准。每当您使用智能手机或数码相机拍照时，图像中都会嵌入大量信息。以下是可以在原始数字图像中找到的元数据示例：

相机型号 / 智能手机型号
图像捕获的日期和时间
照片设置，如焦距、光圈、快门速度和 ISO 设置

由于智能手机配备了 GPS 传感器，因此很有可能找到嵌入在图像中的 GPS 坐标。GPS 坐标，即纬度和经度，通常会显示照片的拍摄地点。

有许多在线和离线工具可以从图像中读取 EXIF 数据。一个命令行工具是exiftool 。ExifTool 用于读取和写入各种文件类型的元数据，例如 JPEG 图像。已安装 AttackBox;但是，如果您使用的是 Kali Linux 并且尚未安装，则可以使用 sudo apt install libimage-exiftool-perl进行安装。在下面的终端窗口中，我们执行exiftool IMAGE.jpg以读取此图像中嵌入的所有 EXIF 数据。

root@tryhackme:~# exiftool IMAGE.jpg
[...]
GPS Position : 51 deg 31' 4.00" N, 0 deg 5' 48.30" W
[...]

如果您获取上述坐标并搜索其中一张在线地图，您将了解有关该位置的更多信息。在 Microsoft Bing 地图或 Google 地图中搜索51 deg 30' 51.90" N, 0 deg 5' 38.73" Wdeg°可显示拍摄照片的街道。请注意，要使搜索正常工作，我们必须替换并删除多余的空格。换句话说，我们在地图搜索栏中输入51°30'51.9"N 0°05'38.7"W。