浅谈Windows传统取证

admin 2022年5月31日13:44:22评论899 views字数 11072阅读36分54秒阅读模式

背景

在2021美亚杯对取证开始产生兴趣,断断续续的学习了一些浅显的取证技能。国内很多取证赛题也是伪取证,甚至用misc充数,正好这个学期有缘学习电子数据取证课程,平时接触最多的就是Windows传统取证,这里进行一点简单的分享。

前置技能

前置技能基本大同小异,互联网上资源很多。甚至说不明白这些知识随便翻,一直翻下去也可能找到答案,但是了解这些基本知识可以节省很多时间,提高命中率。

windows重点目录

用户目录

用于存储用户文件和配置,以此来区分不同用户的使用环境和权限。无论是本地用户还是网络用户,第一次登录系统都会自动生成一个用户目录。

系统 目录
Windows XP C:\Documents and Settings\Username
Windows 7/8/10 C:\Users\Username

以下内容以win 7/8/10为例子

存储用户桌面上的快捷方式和文件,属于取证中需要重点关注的目录。

C:\Users\Username\Desktop

每当用户打开一个目录或者文件时,系统会自动在最近访问文件夹生成一个快捷方式。通过最近访问文档可以了解用户的习惯,重点关注这些文档,可以快速开展取证工作,发现线索。

C:\Users\Username\Recent

完整路径

C:\Users\Username\AppData\Microsoft\Windows\Recent

快速访问

shell:recent

AutomaticDestinationsCustomDestinations文件夹正常在Recent目录无法查看,直接访问完整路径即可

用于存储个人文件,如微信数据默认存储在该文件夹中

C:\Users\Username\Documents

将快捷方式添加到该文件夹中即可实现对应程序开机自启。

用户开机自启文件

C:\Users\Username\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

攻击者在得到系统管理权限之后,可在启动目录中放置一个木马,如在启动项中发现陌生的程序,很有可能是恶意代码。

系统开机自启文件

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

选中文件右键既有发送到选项,可以自定义目录指向,通过这些文件指向,可以知道用户常用文件夹。

C:\Users\Username\AppData\Roaming\Microsoft\Windows\SendTo

交换文件(Swap File)

当内存少于系统应用的需求时,系统会生成一个交换文件来暂存内存数据,以释放部分内存,这个交换文件叫做页文件(pagefile.sys),页文件存放于根目录。

休眠文件(Hibernation File)

计算机进入休眠状态后,内存被转存到硬盘的休眠文件中,以便系统被快速的唤醒,休眠文件一般在根目录(hiberfil.sys)

交换文件和休眠文件存储的都是内存数据,可使用内存分析。

假脱机打印文件

Windows中打印文件时,会生成假脱机打印文件,打印结束或取消打印后,假脱机打印文件会删除。

C:\Windows\System32\spool\PRINTERS

SPL:假脱机文件

SHD:影子文件

SPL和SHD文件中包含了用户名、打印机名、文件名等

注册表

注册表被称为Windows操作系统的核心,它的工作原理实质是一个庞大的数据库,存放了关于计算机硬件的配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备的说明以及各种状态信息和数据。

C:\Windows\System32\config

分支

注册表有五个一级分支

名称 作用
HKEY_CLASSES_ROOT 存储windows可识别的文件类型的详细列表,以及关联的程序
HKEY_CURRENT_USER 存储当前用户的设置的信息
HKEY_LOCAL_MACHINE 包装安装在计算机上的硬件和软件的信息
HKEY_USERS 包含使用计算机的用户的信息
HKEY_CURRENT_CONFIG 这个分支包含计算机当前的硬件配置信息

用户信息

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

系统信息

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

事件日志

系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。系统日志包括系统日志、应用程序日志和安全日志。

包含:系统日志“System”、安装日志“Setup”、应用程序日志“Application”、安全日志“Security”。

C:\Windows\System32\winevt\Logs

系统日志:

记录系统进程和设备驱动程序的活动,例如启动失败的驱动程序、硬件错误、重复的IP地址及服务启动暂停和停止。

应用程序日志:

应用程序日志包含由应用程序或程序记录的事件。例如,数据库程序可在应用程序日志中记录文件错误。

安全日志:

安全日志包含诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,如创建、打开或删除文件或其他对象。

应用程序和服务日志:

应用程序和服务日志是一种新类别的事件日志。这些日志存储来自单个应用程序或组件的事件,而非可能影响整个系统的事件。

常用ID所对应的事件:https://zhuanlan.zhihu.com/p/111266648

数字时间取证

系统时间

系统时间以主板上CMOS时间作为基准(由主板上的一块电池供电)。CMOS时钟是操作系统的时间来源,电池电量不足或晶振频率不准可能会导致CMOS时间不准,从而影响操作系统的时间。在Windows系统中,可用使用网络校时保证时间的准确。

从某种意义上来说,CMOS时间是系统所有时间的来源,操作系统时间、文件存储、修改、访问时间来源都是CMOS时间。

时间取证的基本判断规则:

文件和文件夹在移动、复制、剪贴等常见操作下,时间会有不同的变化规律,这些变化规律取决于操作系统和文件系统。

对象 操作 创建时间(C time) 修改时间(M time) 访问时间(A time)
文件 重命名或修改属性 重命名或修改属性 不变 不变
文件 文件夹内文件变化 文件夹内文件变化 不变 更新
文件 卷内移动 卷内移动 不变 不变
文件 跨卷移动 跨卷移动 更新 不变
文件 复制文件 复制文件 更新(如覆盖同文件名则不跟新) 不变(目标文件)
文件 剪贴文件 剪贴文件 不变 不变(目标文件)
文件夹 重命名或修改属性 重命名或修改属性 不变 不变
文件夹 修改内容 修改内容 不变 更新(NTFS)不变(FAT)

(1)如果修改时间等于建立时间,那么文件是原始文件,既没有被修改也没有被剪切。

(2)如果修改时间早于建立时间,则文件被复制或者移动部。

(3)如果在硬盘上批量的文件具有很近的访问时间,这些文件极有可能被同一工具软件扫描过,如杀毒软件。如果在一个文件夹中的一些图像或视频文件有很近的访问时间,并且没有其他图像和视频文件具有相似的访问时间,则这些图像和视频极有可能被同一个图像或视频预览工具访问或者打开过,例如用Windows资源管理器以缩略图的方式查看。

(4)在一个文件夹中,如果一些文件的修改时间等于创建时间。并且有很近的创建时间或修改时间,那么这些文件有可能是从网上批量下载的。

(5)文件拷贝的时候,文件创建时间为拷贝的时间,文件修改时间与原文件一致。

(6)文件下载的时候,文件创建时间为下载的时间,文件修改时间为下载结束的时间。

(7)压缩文件解压时,通常情况下(Winrar、Winzip)文件的创建时间为解压缩时间,文件修改时间与压缩前的文件一致。

访问时间的证据效力

文件的属性时间是确定文件的创建 、修改和访问的重要标记。在证据效力上,创建时间,修改时间、节点修改时间都有较强证据力。而访问时间在FAT中不显示时间,以两秒间隔更新,同时访问时间极易受到干扰,因此证据率最低。如使用资源管理器查看文件属性信息时,可能会篡改文件的访问时间。

在FAT文件系统中访问时间更新是一天。在NTFS文件系统中,文件的最后访问时间的最大更新间隔是一小时。因此硬盘上的文件的最后访问时间都是不准确的。当用户或程序对某个文件执行只读操作时,系统会延缓硬盘上的文件的最后访问时间时间,但是会在内存中记录这个时间。当原始的最后访问时间和当前的最后访问时间相差大于一小时时,才会更新文件的最后访问时间。如果执行写操作会立刻更新,这种更新策略是减少频繁的硬盘读写对性能的影响。

电子数据时间查询

文件系统创建时间

FAT文件系统:如果FAT分区有卷标,在根目录偏移量为0X16处是windows/DOS文件时间格式表示的最后写入时间。

NTFS文件系统:主文件表($MFT)属性中的标准属性(10属性)属性体(偏移量为0X50处)记录了分区的创建、修改、节点修改、访问时间(共四组)等信息。

EXT4文件系统:EXT4文件系统是Linux常用的文件系统。EXT4的超级块中保存了文件系统的属性信息、磁盘布局和资源使用情况等信息。文件系统通过超级块了解磁盘的布局,查找已用和可用资源等。

​ 超级块偏移量0X2C-0X2F处记录了最后挂载时间,0X30-0X33处记录了最后写入时间,0X40-0X43处记录了最后检查时间,0X108-0X10B处记录了文件系统创建时间。

HFS+文件系统:HFS+文件系统是Mac OS系统常用的文件系统。格式化HFS+文件系统时,生成文件系统卷头(2号扇区),类似FAT和NTFS的DBR,卷头偏移量0X10-0X1F处记录了创建、修改、备份、最后检查时间四个时间信息,创建时间以本地时间保存,其他时间以GMT/UTC时间保存。

Windows操作系统安装时间:初始安装时间保存在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion的InstallDate键中,时间以C/UNIX时间格式存储(大端)。

Windows开关机时间:系统日志记录开关机的日志信息,其中事件ID=6005记录日志启动时间(=系统开机),事件ID=6006记录日志停止事件(=系统关机)。事件ID=6008记录异常关闭(=系统异常关闭)。

操作系统时间

注册表中的关机时间: Windows正常关机时间保存在注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Windows的ShutdownTime键值中,时间以Windows/FILETIME时间格式保存。

系统非正常关机(如断电或死机)不一定会记录时间更新信息。

Windows用户登录时间:注册表中用户登录信息,HKEY_LOCAL_MACHINE\SAM\SAM\Domains\account\User\name\%DIR%\的F键中,DIR是相对标识符,由用户名Name指定。

Windows用户登录事件:Windows系统日志中记录用户登录事件,由登录事件可查询登录的用户名、登录时间等信息。

登录成功(4624)事件的登录类型为2表示互动登录(本地键盘登录系统)

反取证

简单来说,就是嫌疑人不会乖乖让我们查到他的敏感信息,所以就会对数据进行一些处理,隐藏甚至销毁自己的证据。了解一些反取证技术,对我们获取隐藏信息是很有必要的。

加密

给数据加密时一种常见的反取证手段,如excel,rar,zip等单个文件的加密,Windows自带的BitLocker加密,或者借助第三方反取证软件进行加密。

单文件加密通常思路为弱口令,寻找密码本,社工等方式,其中压缩包文件还可以使用ARCHPR进行暴力破解。

BitLocker(直译为“位元锁”)是内置于Windows Vista及其之后系统的全磁盘加密功能,透过为整个卷(英语:Volume (computing))提供加密来保护数据。它默认在密码块链接(CBC)或XTS(英语:Disk encryption theory)模式下使用128位或256位密钥的AES加密算法。其中CBC用于每个单独的磁盘扇区,不在整个磁盘上使用。

解题思路

bitlocker恢复密钥串为8组长度为6的数字,中间-分隔,密钥保存在一个txt文档中,所以可以用正则表达式进行搜索(取证大师自带正则表达说明,记不住问题不大),或者直接根据密钥文件特点,搜索关键字恢复密钥。获取密钥之后就直接使用取证大师自带的bitlocker解密就可以了。

正则表达

\xFF    匹配十六进制数为 FF 的一个字符
ab  匹配含有 ab 的字符串
(a|b)   匹配含有 a 或者 b 的字符串要加括号
.   匹配包括换行符的任意一个字符
#   匹配 0-9 中的任意一个数
[0-9]   匹配含有 0-9 中的任意一个字符
[a-z]   匹配含有 a-z 中的任意一个字符
[A-Z]   匹配含有 A-Z 中的任意一个字符
[^0-9]  匹配排除 0-9 以外的任意一个字符
[^a-z]  匹配排除 a-z 以外的任意一个字符
[^A-Z]  匹配排除 A-Z 以外的任意一个字符
[XYZ]   匹配含有 X 或者 Y 或者 Z 的一个字符
[^XYZ]  匹配不包括 X 或者 Y 或者 Z 的一个字符
(ab)     ab 组成一组后面可加?,+,+*,|
x?  匹配重复 0  1 次的 x 字符
(a)?    匹配重复 0  1 次的 a 字符串
x+  匹配重复至少 1 次的 x 字符
(a)+    匹配重复至少 1 次的 a 的字符串
x*  匹配重复 0 次以上的 x 字符
(a)*    匹配重复 0 次以上的 a 字符串
{m} 匹配重复 m 次的指定字符串
{m,n}   匹配重复 m  n 次的指定字符串
{m,}    匹配重复 m 次以上的指定字符串

如PrvateDisk软件,在取证大师自动取证结果中可以看到该类软件,以及加密文件中可以看到加密后的文件,思路还是通过关键字进行正则表达搜索。

隐写术

数据隐藏仅在取证者不知道到哪里寻找证据时才有效。为逃避取证,犯罪者常常把暂时不能删除 的文件伪装成其他类型的文件或把它们隐藏在图形或音乐文件中,也有人将数据文件隐藏在磁盘的隐藏空间中。在Windows系统中,常用的数据隐藏工具有StealthDisk、Cloak、Invisible Secrets等。

这里和misc很像,也有难有简单,有些比赛水的话就直接用隐写术来当取证了。可见学习取证不光是从镜像内存中提取出关键性息,还要懂很多横向的知识,如提取出一个数据库文件需要知道如何查询,提取一堆数据要懂得如何进行大数据分析,提取出一个可疑的图片需要知道如果提取出其隐藏的信息。

简单如查看exif信息,修改图片高度、后缀名、文件头或者直接拖进stegsolve查看图层,winhex查看文件尾部,更有甚者直接在图片上添加一行base64。做题太少的缘故,我碰到的取证中的文件隐写都难度不大,主要就是一个细心以及敏感度,单独拿出来都是轻松秒杀,但放在庞大的镜像里可能就没那么好找。在庞大的数据中,或许我们可以通过其他证据文件来定位这些隐藏文件,比如通过原始数据搜索关键词,可能有意外收获。取证大师可以自动校验文件头信息,改后缀名的会直接在可以文件中列出来,这些内容往往要重点关注,可能就隐藏关键信息。

这一类的话其实很繁杂,很难总结全,个人建议的话就是多刷刷misc题,就水到渠成了。

FAT32隐写
隐藏

长文件名的实现有赖于目录项偏移为 0xB 的属性字节,当此字节的属性为:只读、隐藏、系统、卷标,即其值为0F时,DOS 和 WIN32 会认为其不合法而忽略其存在。FAT32隐写通过修改待隐藏文件的目录索引结构,使得 FAT32不能从硬盘上普通数据区中识别出隐藏文件。

当 FAT32 要载入一个文件时,它首先会从根目录开始搜索,遍历每一级子目录定位文件目录项的位置。因此,只要将文件指针的属性字节改为 0x0F、文件长度改为 0 并且首簇地址改为0x00 00 00 00,FAT32 就会把该文件指针当作长文件名而忽略。从而文件目录列表中也就不存在该文件了。FAT32 找到文件目录项之后,从中读出文件首簇的地址,再根据此地址从FAT表中依次读出数据簇链,从而得到文件的完整内容。为了更进一步的保护数据,我们将文件的首簇设置为坏簇,这样就切断了文件的簇链。即使入侵者跳过文件目录,直接扫描硬盘数据,他也无法得到完整的文件簇链,也就不能得到文件内容。
浅谈Windows传统取证
F7.png

读取

直接在空白区域读取数据另存为即可

演示

选取whale.jpg,重命名为whale.jpgwha1etest,即制作长文件名文件

浅谈Windows传统取证
制作FAT32盘,将whale.jpgwha1etest拷贝进去

F2.png

打开winhex,在工具栏选择打开磁盘或者直接F9,打开刚才制作的磁盘

F3.png

转到目录表
F4.png

分析数据
F5.png

文件属性为:20

文件首簇为:0X00040000

文件长度为:00008337

这里把20改成0F即可做到隐藏,如果想更深一点的话就可以把文件大小也改为0。这里我后面实验的时候发现短文件名同样有效,2333。

资源管理器隐藏

F8.png

手动刷新winhex状态,选择专业工具的进行磁盘快照或者按F10

F9.png

选择更新快照

F10.png

这里可以看到文件在winhex已经消失了,吗?
F11.png

查看空闲空间,FFD8,jpg文件头,不用多说了吧,手动提取即可

F12.png

jpg文件尾为FFD9,搜索一下选择全部16进制数值

F13.png

另存为新文件,恢复成功

F14.png

F15.png

NTFS隐写

NTFS通常使用NTFS交换数据流(ADS)来实现隐写。NTFS数据流的表述方式为“文件名:流名”,例如“text.txt:extrastream”。数据流不光无法在Windows资源管理器中无法显现,还不会算入文件属性显示的大小。如果文件被移动到FAT格式的磁盘或者任何其他不支持可选流的位置上时,则只有主流数据会被保留下来。

一些恶意程序可能使用NTFS数据流来隐藏程序代码

隐藏
# 使用echo命令可以创建交换数据流文件
echo wha1e>>test1.txt:test2.txt

其中test1.txt是宿主文件,test2.txt隐藏文件

# 使用type命令可以链接已存在文件
type file1>>file2:file1

其中file2是宿主文件,file1是隐藏文件

读取

notpad为记事本,mspaint为画图软件,调用对应文件查看即可

notpad test1.txt:test2.txt
mspaint test1.txt:picture.png

这里有一个问题就是如果不知道file2的文件名的话就没法恢复了,所以可以借助第三方工具NtfsStreamsEditor直接识别提取。

演示

创建三个例子,分别为test1.txt链接test2.txt,test1.txt链接whale.jpg,whale.jpg链接test1.txt。

ntfs1.png

方法一

直接使用NtfsStreamsEditor一键查看

ntfs2.png

终端使用对应软件查看

ntfs3.png

ntfs4.png

ntfs5.png

资料抹除

数据抹除是最有效的反取证方法。它清除所有的证据。由于原始数据不存在了,取证自然就无法进行。但是系统的删除功能一般只是把被删除的文件标记为可以改写,并没有把它从存储设备中删除。

在 FAT32 文件系统中,文件通常由三个(至少有一个)部分组成:

1、定义文件属性的目录索引;

2、FAT 中指向数据簇指针链表;

3、一个或多个数据簇。

如果一个文件长度为零,那它就没有数据簇以及指向数据簇的 FAT 指针。,普通的删除只能删除FAT32的根目录,而保留子目录,这种删除只需要使用恢复工具就可以轻松读取信息。如果想要删除的的更彻底,需要将文件的子目录也也一起删除。

在进行电子数据取证时,可以通过DiskGenius,取证大师,R-Studio等软件进行自动数据恢复。R-Studio作为专业数据恢复软件恢复数据的能力还是高于取证大师的。取证大师的数据恢复功能,优先选择签名恢复,需要什么类型文件恢复什么类型,最直接的问题就是恢复大量无用数据耗费时间,浪费资源,并且庞大的数据不利于后续的取证工作。

以下所用到的案例是模拟实际场景,并不同于CTF有明确的flag,模拟场景只有一个主方向,然后朝着这个方向尽可能搜集相关证据。

题目的镜像:

链接https://pan.baidu.com/s/1GxAQrL_-x7I2aOYdIq1HyQ?pwd=0a3u 
提取码0a3u 
--来自百度网盘超级会员V3的分享

灵猴设计图失窃案

Monkey案
案情简介:公司发现丢失一名为“EgisTec_ES603”的U盘,对张三电脑调查获取Monkey.E01,请对其进行分析,查找张三是否具有泄密资料嫌疑,如有,请描述其泄密痕迹,如资料接收者是谁,资料传输模式以及资金流转痕迹等。

泄密痕迹

确认张三盗窃U盘

检查张三的电脑发现有“EgisTec_ES603”的插拔记录。

灵猴0.png

接收资料者及其信息

在即时通讯和邮箱解析中均发现和李四有交流并且提及设计图

SKYPE聊天

张三账号:zhangsan1681

李四账号:lisi16789

灵猴1.png

Outlook邮箱

张三邮箱:[email protected]

李四邮箱:[email protected]

灵猴2.png

资金流转模式

灵猴3.png

灵猴4.png

深度恢复,查看eml文件,获取李四另一个邮箱:[email protected]

灵猴5.png

这里复现完对比发现自己漏了张三还有一个163邮箱藏在许慧欣孤单芭蕾.mp3文件尾

灵猴6.png

获取关键信息:手机尾号86

浅谈Windows传统取证
通过正则表达进行原始数据搜索(如果不记得正则表达式怎么写,取证大师自带正则表达使用说明)

添加关键词:1########86或者1#{8}86

灵猴8.png

命中手机号:13500000286

浅谈Windows传统取证
在加密文件中发现86.dpd

灵猴10.png

在反取证软件中正好有PrvDisk.exe,

然后通过原始数据搜索关键词PrvateDisk找到容器密码(其实我这里非预期,随便翻就翻到了,只能说D\document路径下很多线索)

my.docx中获取PrvateDisk密码:terry123

灵猴11.png

这里用密码恢复一下就获取银行卡号

建行
6123 2345 1900 123
password:224088

工行
5123 6345 4900 0003
password:334099

灵猴12.png

泄密资料

文件名搜索

文件名搜索:monkey,获取monkey1,2,6,10,11

monkey1

灵猴13.png

monkey2

灵猴13.png

monkey6

灵猴14.png

浅谈Windows传统取证
monkey11
灵猴16.png

monkey10

灵猴17.png

邮箱获取

通过查看邮箱数据可以获得monkey7和monkey8,我获取的镜像可能有一点损坏了,无论我怎么恢复monkey7都只有一小部分,但是可以看见部分flag标识MISA以及文件名。

灵猴18.png

灵猴19.png

继续分析邮箱文件,发现分卷压缩包disign.part1.rardisign.part2.rar,解压提示缺少part3,这时分析可疑签名文件,有两个rar文件terry.raroktest.rar

浅谈Windows传统取证
分别重命名为disign.part3.rar进行解压,确定oktest.rar为part3,获取monkey3和monkey4

灵猴21.png

灵猴22.png

恢复文件

这里后知后觉,结合大部分monkey图片都为jpg特性,高级恢复只需要定向选择jpg即可。全部种类恢复虽然全但是耗费时间以及电脑资源,找了好久。甚至导致镜像过大影响原始数据搜索。

这里在恢复出的JPG文件夹中再次获取四张monkey,因为恢复的文件被重命名,所以不编号。

灵猴23.png

其中important_00121在D盘的document路径下的important.doc文档末尾也有,藏得很深,这里直接恢复出来了,比较幸运。

解密获取

上文获取银行卡号与密码同时获得,不再赘述

灵猴12.png

总共获取14张灵猴照。

泄露机密信息案

在一起涉嫌泄密调查中调查人员获取了员工赵能嘉使用的U盘怀疑其中保存有公司机密图片现对U盘镜像后委托进行电子数据司法鉴定尽可能提取固定公司机密图片图片左上角存在数字水印
检材数据的哈希值
MD536784AA6F25855F7529240758FDF7151
SHA256D695060864FCBFA8F86C3DB81F4F81330AF286A637E4C07A5B835DB6927E35FE

校验检材

校验md5值

信息1.png

解出BitLocker锁

打开镜像,提示D盘有Bitlocker锁

关键字搜索失败,改成正则表达搜索,格式:

#{6}-#{6}-#{6}-#{6}-#{6}-#{6}-#{6}-#{6}

命中,在word文档末尾

589215-329483-204215-213444-235455-273735-036311-409585

信息2.png

取证大师右键选择bitlocker解密

浅谈Windows传统取证
浅谈Windows传统取证
解密后重新自动取证

可疑文件分析

回收站发现一个图片(这张随处可见)

1   1007907.jpg jpg K:\dell\Drivers\R42232\1007907.jpg  分区2_本地磁盘[D]:\$RECYCLE.BIN\S-1-5-21-3437217094-766600938-390505164-1000\$R3EFDNL.jpg 160,895 2020-03-31 14:37:12 已删除

信息5.jpg

加密文件中发现secret.zip,

信息6.png

但是有密码,跳转到源文件,路径为C:\User\nlyz\Desktop

看到dict.docx,dict即词典的意思,同时dicx.docx末尾就是bitlocker的恢复密钥。根据文章制作字典

信息7.png

先利用notepad把标点符号替换掉,然后可以写一个脚本进行空格转回车,如果没有脚本的话,也可以使用在线网站处理一下:https://www.67tool.com/text/spaces-to-newlines

信息8.png

这里挺无语的,随便试了一下就获取pass了,只能说运气好外加那个虹色太明显了
信息9.png

使用字典破解获取第二张图片,密码为Crownpoint

浅谈Windows传统取证
信息11.png

时间线

根据secret.zip可以知道这个镜像创建时间在2020年,所以查看2020年得时间线,然后根据修改时间进行排序

在settings.docx中看到图片,意外收获

信息11.png

获取head.jpg
信息12.png

找到一个压缩包_rchive.7z,这里可以看到之前找到的一些数据都在一起
浅谈Windows传统取证
浅谈Windows传统取证
打开发现套娃压缩包

信息15.png

跳转到源文件,路径为C:\Users\nlyz\My Documents

周围的docx文件没有关键信息,所以试着进行暴力破解

信息16.png

试着纯数字或纯字母,破解得密码为wonder

信息17.png

数据恢复获取信息

这里找不到什么可疑得数据了,于是定向恢复图片文件,人工查找。

在PCX画笔图片找到未分配簇_00004.pcx

信息18.png

C盘找到三张图片未分配簇_02988.pcx未分配簇_02982.pcx未分配簇_02981.pcx

信息19.png

E盘找到两张图片未分配簇_00204.pcx未分配簇_00206.pcx,不知道为啥,恢复的图片还是受损的,反复看了半个小时才找到

信息20.png

定向图片找不到关键信息之后,尝试恢复其他文件寻找线索,最终在C盘恢复未分配簇_00061.zip找到最后一张图片

信息21.png

一共12张花图

参考

江西警察学院龚红辉老师计算机取证与分析

https://blog.csdn.net/IO1n0/article/details/104920229?spm=1001.2014.3001.5502

中国知网《最小侵入式数据隐藏系统的设计与实现》(史茜)

FROM:tttang . com

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月31日13:44:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   浅谈Windows传统取证http://cn-sec.com/archives/1071767.html

发表评论

匿名网友 填写信息