版本更新 | 星探网络取证系统(服务器版)R3.0.0.6 安全工具

版本更新 | 星探网络取证系统(服务器版)R3.0.0.6

盘古石星探网络取证系统(服务器版)R3.0.0.6版本更新版本上线啦!该版本更新内容如下,请您查收!安全为先,洞鉴未来,奇安信盘古石取证团队竭诚为您提供手机取证专业的解决方案与服务。如需试用,请联系奇安信各区域销售代表,或致电 4009 303 120,期待您的来电!“盘古石”团队是奇安信科技集团股份有限公司旗下专注于电子数据取证技术研发的团队,由来自国内最早从事电子数据取证的成员组成。盘古石团队以“安全为先,洞鉴未来”为使命,以“漏洞思维”解决电子数据取证难题,以“数据驱动安全”为技术思想,以安全赋能取证,研发新一代电子数据取证产品,产品涵盖计算机取证、移动终端取证、网络空间取证、IoT取证、取证数据分析平台等电子数据取证全领域产品和解决方案,为包括公安执法、党政机关、司法机关以及行政执法部门等提供全面专业的支持与服务。 原文始发于微信公众号(盘古石取证):版本更新 | 星探网络取证系统(服务器版)R3.0.0.6
阅读全文
工具推荐|大连睿海-电子数据底层恢复专家 安全工具

工具推荐|大连睿海-电子数据底层恢复专家

公司简介大连睿海作为一家老牌的取证厂商,想必大家已经非常熟悉了。1994年,东海公司成立,作为睿海的前身,其在手机维修界享有盛誉的东海论坛,让高总在2012年成立睿海之初,就已经积累了大量的实战经验和人才储备。与高总这位电子数据圈的前辈聊天,总会给人一种三分诙谐七分干练,十分儒雅的感觉。微笑着随口一句:“做不了的可以拿来给睿海试试”,恰也体现出了睿海以技术作为基石的企业底蕴,以及拥有强大的研发团队作为后盾的自信。作为国内芯片级取证的发起者,睿海在针对手机的底层数据提取和恢复上一直有着深入的理解和许多非常实用的方案。近几年,睿海已不仅在手机取证和芯片级取证中持续深入研究,也紧随科技发展的脚步和实际办案需求的方向,在大数据分析研判、闪存介质数据恢复、指纹锁、网站和服务器数据远程固定勘验等领域全方位发展,研发出更加多元化和贴近实战的系列产品,并更广泛地服务于各类型案件的侦办工作。大连睿海官网:http://www.rui-hai.com/   东海论坛:http://bbs.eastsea.com.cn/公众号:【睿海科技】订阅号:【大连睿海】                 微信小程序:【睿海微百科】            特色产品下面简单介绍一下睿海很有特色的几款产品:1.RH-5801 Pro 手机数据采集分析系统(专家版)之前使用过RH-5801手机采集分析系统,给我最大的印象是采集速度快,还有就是简单易上手的一键式操作。而今天介绍的这款专家版系统,除了继承普通版的全部功能,也增加了深度提取、文件系统、智能标签、日志分析、关键证据、时序分析、联系人、任务关系、地理位置模块。是一套具备完善方案、提取更加全面、解析更加智能的解锁取证系统。2.RH-6803 物联网存储介质数据恢复系统这款产品刚一面世就着实惊艳到我,毕竟是国内为数不多的可以针对闪存存储芯片数据恢复的工具。闪存存储芯片也就是我们常见的U盘、SD卡和TF卡等,应用场景的广泛程度是不用多说的,存储数据的多样性对取证工作的价值体现也是毋庸置疑的。在社恐、传销、涉黄、涉毒和洗钱等各种类型案件中基于闪存载体的音频、视频、图片、文档和表格类数据恢复工作,都能够提供安全可靠和高成功率的全套恢复方案。而独家提供的RH-601预检箱,搭配上RH-6803的全自动脚本、多通道和超高速的数据恢复系统,更能够防止检材在取证阶段误操作所导致的二次损坏。RH-6803存储介质数据恢复系统RH-601存储介质多功能检测箱3.RH-3601 反电信诈骗精灵这是一款主要针对电信诈骗案件检材数据提取解析的工具,集成了手机诈骗信息上传、整理、手机屏幕录像、报告生成、APP提取固定、APK、IPA动静态逆向分析等功能。支持长短码网站地址解析、三流数据导入、扫码取证、手机端取证工具安装、域名IP数据分析和短信通道识别等很多强大和实用的功能。4.RH-8301 云端数据取证系统传统的电子数据取证我们往往针对本地数据进行提取,随着云空间的普及,很多数据则需要我们从云端固定。这款软件就是针对手机云端备份数据进行提取的产品。支持对云空间、出行类、邮箱类、购物类和银行类等应用的云端数据提取,并能够对数据进行解析、分类,形成可视化数据展示并导出报告。5.RH-2100 高精度指纹仿真解锁系统这个产品给我的第一印象是解决了一些高端机型解锁难的问题,填补了方案上的空白。这是一款基于生物仿生技术研发的指纹仿真解锁设备。该设备通过激光标刻的指纹膜可以广泛应用于配备指纹锁的Android/iOS系统的智能终端、手机,也包括搭载各类型指纹识别器的防盗门、保险箱、笔记本电脑、U盘和移动硬盘等设备的解锁和开启难题。6.案情分析研判平台一款集人像刻画、时序分析、经济分析、行为特征分析、活动区域分析、消息检索、涉案预警和关键词碰撞于一体的大数据分析研判平台。可对数据内容进行系统性的整理归纳,通过关联分析,对比碰撞,以图形及表格、关系网的形式分类展示,形成直观的可视化图谱。也支持根据案件特性从不同的切入点,发现或论证掌握的信息,有效的深度挖掘、及时掌握和弥补遗漏或忽略的线索信息,自动化给出研判思路脑图和推荐思维图谱。主要产品:RH-6900 手机芯片取证系统RH-6900是一套可应用于各种品牌的Android系统手机、IOS系统各版本及型号的手机、同时也支持各种品牌和山寨功能机的手机数据综合提取分析系统。系统内置通用型芯片数据物理提取、EMMC数据物理提取、JTAG数据物理提取、国产手机镜像提取、智能终端数据分析、手机SIM卡/存储卡数据分析等多个功能模块。RH-5820 手机解锁及提取解析系统(8通道)多路采集与分析:最多支持8个进程同时操作逻辑提取、镜像提取、镜像解析等功能。智能浏览模式:多路提取及解析的同时,可随时浏览已提取的数据内容。多路报表生成:多个进程提取的同时,可将已提取的数据生成报表,也可同时生成多个报表文件。支持Android系统、Ios系统手机逻辑提取功能,支持解析应用包括微信、QQ、通讯录、通话记录、短信、浏览内容、位置信息、交易信息等国内外应用APP近200种。全新优化的报表功能:包括业内最快的生成速度、支持在线播放媒体文件,仿真模式的浏览页面,更快捷智能的搜索功能。报表文件可选常规报表模式、简化模式。可生成Html格式、Pdf格式。RH-9100 电子数据存储管理系统该系统是一套数据集中存储,统一管理的数据存储管理产品,对数据进行系统化高效归集,多部门分区分级灵活管理,满足不同组织架构及部门对内对外文档权限的设置需求,推进电子数据统一规范化管理。RH-8600 云鹰网站远程取证系统云鹰网站远程取证系统是一款用于网站远程证据固定的网络勘验系统。主要针对目标网站网页进行获取、固定、保存文件、哈希值计算等功能,确保页面和文件的完整性,以便于法庭科学领域的电子物证检验。RH-8610 云探服务器远程取证系统云探服务器远程取证系统是一套针对网络服务器远程固定取证的系统。可以获取服务器信息并将内容保存到本地因硬盘,支持离线浏览服务器内容,支持磁盘镜像、磁盘挂载、内存镜像、WebShell检测、文件检索、数据表的下载,支持系统日志提取、文件结构导出等功能。RH-3000系列 计算机取证RH-3000系列包含多功能一体化只读设备和告诉硬盘复制设备。一体化只读设备接口丰富,性价比高。具备体积小巧、功能集成度高的特点,在紧凑的空间内集成了包括磁盘、USB、存储卡等电子物证接口。高速硬盘复制设备是目前业内速度最快、技术领先的硬盘复制设备。具有体积小巧、集成度高、性能稳定、了扩展性强等特点。实验室工作台睿海实验室工作台,以根据实验室取证流程和实际工作需要为着眼点,采用高强度、耐腐蚀材质制作,表面可根据不用工作需要覆盖相应材质,美观耐用。配合睿海手机取证模块、硬盘取证模块、闪存芯片取证模块、网络勘验模块等多种设备模块,实现电子数据取证工作所需的全部功能。最后要特别介绍一下睿海微百科这是一个囊括了大多数主流手机品牌,千余型号取证方案查询的工作神器。当拿到一部检材,可以在微百科中迅速查询到相对应型号的解决方案建议、支持工具列表和版本号查询方法等内容。并持续更新实战案例、直观的视频演示、详细的操作说明和丰富的网课内容。工具试用云鹰试用下载链接http://pan.rui-hai.com/app/connector.php?sharelink&hash=b799b79a复制链接到浏览器,下载后可通过睿海微百科查找对应地区大区经理申请试用APK逆向工具的下载链接http://pan.rui-hai.com/app/connector.php?sharelink&hash=e98a01ba 本文始发于微信公众号(网安杂谈):工具推荐|大连睿海-电子数据底层恢复专家
阅读全文
工具推荐|新一代电子数据取证专家 苏州龙信信息科技有限公司 安全工具

工具推荐|新一代电子数据取证专家 苏州龙信信息科技有限公司

公司简介苏州龙信信息科技有限公司专注于电子数据取证、大数据、信息安全等领域,核心业务主要涵盖取证工具研发、大数据融合分析、案件技术支持、取证能力培训等,先后为执法部门提供了—系列先进的电子数据取证和大数据分析等产品。龙信集合了大批网络安全和电子物证领域的顶尖人才。具备行业领先的研发实力,公司的管理层,技术骨干均具有深厚的电子数据取证、互联网、通信、终端等行业背景,经验丰富。龙信科技发展至今,已拥有数百人的研发团队,公司秉承“软件即服务”的理念,在苏州/南京/广州/成都/北京/武汉等多地设立研发及技术支持中心,服务超过10000家执法单位。未来,龙信科技将持续投入优势资源,为更多的客户提供领先的产品和优质的服务,与执法部门共同实现“数据赋能”。构建完整数据取证生态圈凭借自身在取证行业的多年耕耘,龙信科技始终秉承“软件即服务”的理念,率先推出取证数据生态圈的理念,独家推出定制化的电子数据取证方案。形成了以取证技术为核心,取证产品为手段,围绕执法部门取证需求的,集定制化培训服务,案件技术协助等为抓手的完整的取证生态圈。部分重点产品介绍龙信科技持续投入优势资源,积极投身智慧警务、数字政府等工程,不断深挖数据智能场景,以完整的数据取证全品类产品,为执法部门精准赋能。新/一/代/电/子/数/据/取/证/专/家手机取证解决方案手机取证解决方案新/一/代/电/子/数/据/取/证/专/家数据分析解决方案新/一/代/电/子/数/据/取/证/专/家介质取证解决方案更多技术产品咨询请扫下方二维码关注龙信科技公众号了解详情 本文始发于微信公众号(网安杂谈):工具推荐|新一代电子数据取证专家 苏州龙信信息科技有限公司
阅读全文
【拓知识库】NirSoft取证工具集部分分享 安全工具

【拓知识库】NirSoft取证工具集部分分享

在本期拓知识库,小拓会与大家分享Nir Sofer大神琳琅满目的工具中,与电子取证相关的十款实用工具,无论你是电子取证,信息安全相关的爱好者,还是已经在取证行业深耕多年的行家,相信你们都会在使用他们,研究他们时收获新的灵感与经验。NirSoft是何方神圣互联网上可提供免费软件的网站有很多,但若论软件款式、功能覆盖面和开源性,想必也只有NirSoft一家为大。该网站中除了一些编程开发常用工具,还包括许多与取证相关工具,所有软件已有100余款,而且每一款功能都相互独立。不过当你访问到他的官网时,你绝对不会想到他的官网竟然长这个样子:真 · NirSoft官网截图有没有感觉突然穿越回了互联网的古早年代?而这个网站的创始人,也是站内所有实用工具的开发者,是一位名为Nir Sofer的老哥。Nirsoft说是一家公司,实际上从软件开发,到网站运营维护都是由Nir Sofer老哥一个人独自打理。如果你抱着诸如“在这种蛮荒时代网站上的软件,一定是上古老物,在新系统上不是报错就是打不开”的想法使用Nirsoft的软件工具集,你会惊奇的发现基本上每一个都能流畅使用。之所以如此,是因为老哥精通windows底层API,而这些API至今为止变化都不大,所以大多数工具页面的介绍上系统要求都直接从windows2000一路飙到windows10。而且作者基本都会为工具提供32位与64位两个版本,兼容性可以说比很多长得好看的软件要6的多。更让人惊为天人的还有两点:1.  NirSoft创办于2001年2. 截至今日,Nir Sofer老哥依旧在更新Nirsoft的工具集虽说单打独斗的年代已经过去,但这对远古大神并不适用,大神之所以为大神,就是以一人之力完成一个团队要做的工作。20年来孜孜不倦地更新,Nir Sofer老哥可以说是用自己的键盘(指敲代码)见证了世界互联网的风云变迁。NirSoft取证工具集分享01LastActivityViewLastActivityView是一款电脑历史记录查看器,其直接调用系统日志,能显示以下时间的发生时间、名称、路径:执行 exe 文件、打开文件、文件夹、安装软件、系统启动、系统关机、网络连接、蓝屏事件、用户登陆等等。下载链接:http://www.nirsoft.net/utils/computer_activity_view.html02USBDeviewUSBDeview是一个USB痕迹检查工具,可列出当前连接到您计算机的所有USB设备,以及您以前使用过的所有USB设备。对于每USB设备,都会显示以下扩展信息:设备名称/描述、设备类型、序列号(对于大容量存储设备)、添加设备的日期/时间、供应商ID、产品ID等。下载链接:http://www.nirsoft.net/utils/usb_devices_view.html03BrowsingHistoryViewBrowsingHistoryView是一个浏览器历史记录检测工具,可以读取不同Web浏览器(Mozilla Firefox、Google Chrome、Internet Explorer、Microsoft Edge、Opera)的历史数据并在一张表格中显示所有这些Web浏览器的浏览历史记录。浏览历史表包括以下信息:访问的URL、标题、访问时间、访问次数、Web 浏览器和用户配置文件。BrowsingHistoryView 允许您查看正在运行的系统中所有用户配置文件的浏览历史记录,以及获取外部硬盘驱动器的浏览历史记录。下载链接:https://www.nirsoft.net/utils/browsing_history_view.html04WebBrowserPassViewWebBrowserPassView是一个浏览器密码恢复工具,可显示Internet Explorer(版本 4.0 - 11.0)、Mozilla Firefox(所有版本)、Google Chrome、Safari 和 Opera等浏览器存储的密码。只要您在访问网站时选择了密码保存,那么此工具可用于恢复您丢失或者忘记的网站的密码,包括流行的网站,例如 Facebook、Yahoo、Google和GMail,即可。下载链接:https://www.nirsoft.net/utils/web_browser_password.html05WirelessKeyViewWirelessKeyView是一个WiFi秘钥检测工具,可以恢复存储在您计算机中的所有无线网络安全密钥/密码 (WEP/WPA)、Windows XP 的“无线零配置”服务或 Windows Vista、Windows 7、Windows 8、Windows 10和Windows Server 2008 的“WLAN AutoConfig”服务。此工具允许您轻松地将所有键保存到text/html/xml文件,或将单个键复制到剪贴板。您还可以将无线密钥导出到文件中,然后将这些密钥导入另一台计算机。下载链接:https://www.nirsoft.net/utils/wireless_key.html06SearchMyFilesSearchMyFiles是Windows 标准“搜索文件和文件夹”模块的替代方案。它允许您通过通配符、上次修改/创建/上次访问时间、文件属性、文件内容(文本或二进制搜索)轻松搜索系统中的文件和文件大小。SearchMyFiles允许您进行Windows搜索无法完成的非常准确的搜索。例如:您可以搜索在过去10分钟内创建的所有大小在 500 到 700 字节之间的文件。下载链接:https://www.nirsoft.net/utils/search_my_files.html07EncryptedRegViewEncryptedRegView是一款适用于Windows的工具,用于扫描您当前正在运行的系统的注册表或您选择的外部硬盘驱动器的注册表,搜索使用DPAPI(数据保护API)加密的数据。当它在注册表中找到加密数据时,它会尝试对其进行解密,并将解密后的数据显示在 EncryptedRegView的主窗口中。使用此工具,您可以找到Microsoft产品和第三方产品存储在注册表中的密码和其他机密数据。下载链接:https://www.nirsoft.net/utils/encrypted_registry_view.html08SecurityQuestionsViewSecurityQuestionsView 是一款专门针对WIN10用户开发的注册表检测与密码恢复软件,该软件可以帮助用户扫描注册表信息,同时还能对系统磁盘进行扫描,解决密码遗失问题,帮助用户建立一道安全的系统防线,确保用户的数据安全。同时,此工具可以显示Windows 10系统上所有用户的设置的安全问题及答案。下载链接:https://www.nirsoft.net/utils/security_questions_view.html09Network Password RecoveryNetwork Password Recovery用于恢复Windows中有关于系统管理员的密码、网络连接密码、本地网络和互联网的密码,具体包括LAN 上远程计算机的登录密码、Exchange 服务器上的邮件帐户密码、MSN Messenger / Windows Messenger 帐户的密码、Internet Explorer 7.x 和 8.x受密码保护的网站的密码(“基本身份验证”或“摘要式访问身份验证”)、IE7 密码的项目名称始终以“Microsoft_WinInet”前缀开头、远程桌面存储的密码等。下载链接:https://www.nirsoft.net/utils/network_password_recovery.html10TurnedOnTimesViewTurnedOnTimesView是一个专门检测您计算机开关机日志的工具,对于计算机开启的每个时间段,都会显示启动时间、关闭时间、持续时间、关闭原因、关闭类型、关闭过程等。下载链接:https://www.nirsoft.net/utils/computer_turned_on_times.html结语作为一个开源的工具集分享网站,Sofer老哥编写的代码依旧有比较高的参考价值,能够为程序兼容性、数据获取方式等方面提供一些新的思路。对于工具使用者,其取证工具便携,小巧,兼容性高,可以为一线取证工作提供不错的补充手段。在这里小拓要引用Sofer老哥在官网对自己工具的承诺:这些工具都奉行一个原则——实用,能让电脑干的活,就不需要手动操作。1.大部分软件是由C++开发,快速,小巧、有效2.大多不需要任何安装,单个实用程序的大小通常小于 100KB3.所有的软件(除了一些非常旧的工具)不写任何东西到注册处或个人资料文件夹,可以从 USB 闪存驱动器中使用它们,而无需在所使用的计算机中留下痕迹4.大部分公用软件都可以在命令行使用,而无需显示任何用户界面5.无需必注册或发送电子邮件,直接可在网站在线下载6.软件不会从用户的计算机中收集任何个人信息,他们永远不会向任何人发送任何信息7.所有软件都是完全免费而在制作本期拓知识库时,小拓在搜寻相关文献时发现了一个非常有趣的事。无论是在微信、知乎、还是各大搜索引擎,能够检索到的有关Nir Sofer或NirSoft的信息是少之又少。老哥仿佛是一位不世出的高人,静静地在桃花源写代码。而能够引起一点水花和讨论度的地方,也只有CSDN这种IT行业工作者聚居区(但讨论度也依旧比不上大厂相关话题的文章)。大家如果有兴趣,可以去NirSoft官网围观Sofer大神更新,希望阅读结束后您能有所收获,我们下期再见! 本文始发于微信公众号(网安杂谈):【拓知识库】NirSoft取证工具集部分分享
阅读全文
涉网案件的调查取证方法与流程 安全闲碎

涉网案件的调查取证方法与流程

 本文由湖北警官学院19网安黄仁飞同学编写,转载请注明。引言:暑假期间,我在鉴定所完成了为期一个月的实习工作。期间接触了线上微信聊天诈骗、实体医院医疗诈骗、短信电话网络诈骗等的案例。电子数据取证,就是利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。本文将从电子取证流程的角度,分享亲身经历的工作要点及注意事项。    我们的工作是电子取证,而不是侦查,我们遇到的类型只有两种,一种是公安机关送来的检材,例如服务器、主机、手机、笔记本电脑、移动硬盘;一种是需要去现场提取证据的的检材。一,送检材料(一)服务器、主机、Windows笔记本和一体机、移动硬盘的取证这类计算机硬件一般拥有较大的存储空间,内部涉案重要信息,可以帮助侦查办案人员理清犯罪团伙结构、犯罪手段、受害者信息,还是法院定罪量刑的重要依据。小编曾在一个犯罪嫌疑人的手机中发现了5个微信,一个家用,一个联系上下级,剩余三个用来“钓鱼”,小编当时很是惊讶,没想到他还是个“海王”,而这部手机的微信记录取了近百万条,想来以后的日子应该是相当有“判”头了。回归正题,当公安机关送来这类检材时,可能是用封条封住机箱盖处的,也可能是用证物袋密封的,这是为了确保电子数据不会被篡改、破坏,保证电子数据的原始性、完整性。因此,我们在拆卸服务器硬盘、主机硬盘、笔记本硬盘时,应当全程录音、录像,并且在拆卸之前,拍摄检材外观信息,确保封条、密封袋完整无缺,笔记本、一体机序列号也要清晰可辨。拆卸时,也要整体拍摄检材内部情况。拆卸完成,得到硬盘后,应贴上标签和检材编号,再进行拍照。在得到硬盘和检材照片之后,需将照片放入取证报告中,硬盘放入取证设备的只读插槽制作镜像,再对镜像取证,并根据侦查办案部门的要求进行提取、分析、检验、鉴定、出示、存档工作。在这里需要强调的是,原始检材我们只能进行只读操作,不能有任何其他操作,否则此证据可能会无效。(二)手机、Mac笔记本和一体机的取证和上一类检材的取证最主要的区别就是无法拆机,必须原始检材设备进行取证操作,这就需要我们在取证过程谨记取证规范,不能胡乱操作。这类检材的取证也可以分为两小类,一类是手机。我们将手机连接电脑,然后按照提示操作即可。(如果想学习如何制作手机镜像和手工取证手机,还是烦请移步本公众号其他文章)。最后,还要拍摄手机基础信息照片放入取证报告中。另一类就是Mac笔记本和一体机的取证,当然也包括部分Windows一体机,只能打开电脑,根据侦查办案人员的要求,对检材本身进行操作。Mac笔记本和一体机也大部分存在这个问题。因此,取证这类检材,我们要在找寻证据时录屏,将寻找证据和证据展示的全过程录制下来作为证据,再对数据进行分析。二,现场勘察现场勘查就是前往犯罪现场,对犯罪证据进行固定、提取,简称现勘。小编在实习过程中出过一次现勘,当进入到诈骗窝点后,被满墙的GOIP设备震惊到了,下图是小编从网上扣下来的设备图,因为是办案现场,不能拍照上传网络,就无法带领大家观赏到满墙的GOIP设备的壮观“景象”了,小编大致算过,书房大小的房间插了近3000张电话卡!现勘的第一步,就是拍照,将现场的设备进行整体拍照。第二步,就是证据的固定了,此时,对于现场电子数据的取证有两种情况。一种是处于关机状态,不要开启系统,应该记录相关连接状态,拍照留证,再拔下机箱硬盘数据线和电源线,进入BIOS记录机器当时的时间,这样做的目的是防止对象故意修改系统时间,导致文件时间属性有偏差。另一种是处于开机状态的主机或者服务器,此时不能立即关机,应当对易丢失数据进行提取固定。针对易丢失数据,应该拍照以记录系统当前运行状态及时间信息,关键数据获取数据工具提取其他信息。取证完成后,按照正常步骤关闭主机或服务器。小编跟着师傅出现勘时,经过现场评估,再与前期勘察网警沟通之后,决定开启主机获取证据。开启主机之后的第一步就是拷贝取证软件,开启录屏功能,之后才能开始取证。开启录屏之后,应首先打开国家授时中心的官网主页,展示时间。电信诈骗类案件层出不穷,过半的刑事案件也都属于涉网类案件。电信诈骗案件的手段也是日新月异,我们的取证技术也要与时俱进,但是唯一不变的,就是要合理、合法、合规,只有这样的取证结果,才能真正打击电诈犯罪。    原文始发于微信公众号(电子取证及可信应用协创中心):涉网案件的调查取证方法与流程
阅读全文
盘古石取证 - 国庆节假期服务值班表 安全新闻

盘古石取证 - 国庆节假期服务值班表

欢度国庆 普天同乐奇安信盘古石团队祝愿祖国繁荣富强祝愿大家幸福安康盘古石取证-发现更多假期技术支持服务不打样2021国庆假期 - 技术服务团队值班表“盘古石”团队是奇安信科技集团股份有限公司旗下专注于电子数据取证技术研发的团队,由来自国内最早从事电子数据取证的成员组成。盘古石团队以“安全为先,洞鉴未来”为使命,以“漏洞思维”解决电子数据取证难题,以“数据驱动安全”为技术思想,以安全赋能取证,研发新一代电子数据取证产品,产品涵盖计算机取证、移动终端取证、网络空间取证、IoT取证、取证数据分析平台等电子数据取证全领域产品和解决方案,为包括公安执法、党政机关、司法机关以及行政执法部门等提供全面专业的支持与服务。 本文始发于微信公众号(盘古石取证):盘古石取证 - 国庆节假期服务值班表
阅读全文
【Windows内存取证】 安全文章

【Windows内存取证】

随着计算机的高速发展和互联网的普及,个人乃至社会越来越意识到信息安全的重要性,大到计算机服务器系统安全,小到应用程序的加密处理,都给取证带来不小的麻烦。 面对这种情况,内存取证应运而生,因为内存中往往含有很多有价值的易失性信息,例如即时通讯聊天记录、网站浏览记录、BitLocker密钥等重要信息,因此内存取证也成为了计算机取证的重要一环。下面就给大家介绍内存的获取与分析。 内存获取 当拿到嫌疑人电脑后,有以下常见的获取物理内存的方法: (1)内存获取软件获取 (2)直接内存访问(DMA)方式获取. 在Windows电脑处于可进入系统桌面下,可以使用内存获取软件获取内存镜像,常见的内存获取软件有Dumplt、Magnet RAM Capture等。 这里以Magnet RAM Capture为例。运行软件后,可选择分段大小,之后选内存镜像保存路径,点击“start”后,软件自动获取物理内存镜像。   除了内存镜像中的数据外,Windows还使用页交换文件(Pagefile.sys)来协助内存的工作,当内存不满足系统所需的情况下,会释放部分内存数据到Pagefile.sys文件中,因此,当设备断电后,若无法拿到内存镜像,可以通过分析Pagefile.sys文件获取有价值的内存数据。 当Windows系统处于休眠状态下,系统会在磁盘中生成一个休眠文件(Hiberfil.sys)用于存放内存中的数据,当计算机重新加电时,又将休眠文件中的数据重新写到物理内存中 ,这个文件也会包含很多价值的内存数据。 这里补充一个知识点:在计算机电源选项中,有睡眠和休眠两种选项,这俩者有什么区别呢? 首先在睡眠模式下,内存中的数据不会保存到硬盘中,而是一直保存在内存中,因此,电脑启动速度更快,但设备断电后,内存数据就会消失。 其次在休眠模式下,内存数据保先存到硬盘,设备断电也不会造成内存数据丢失,重启后可恢复,可加快电脑启动速度。 在睡眠模式下,内存中的数据不会保存到硬盘中,而是一直保存在内存中,因此,电脑启动速度更快,但设备断电后,内存数据就会消失。 内存分析 天鉴计算机取证分析系统 天鉴计算机取证分析系统支持内存取证功能,包含系统信息、系统痕迹、文件信息、即时通讯、上网记录等多种痕迹解析。   以QQ为例,由于QQ电脑版中的数据库文件Msg3.0.db为加密文件,因此在物理镜像中无法解析聊天记录,但是可通过下图看到,在内存镜像中,解析出了QQ聊天记录。   Volatility内存取证软件 Volatility内存取证软件是一款开源的内存分析工具,支持各种操作系统,采用命令行的方式分析内存镜像。下面就介绍常用的指令来分析内存。 1. //拿到内存镜像后,首选需要判断内存镜像的配置文件。   2. volatility.exe -f memory.raw imageinfo      1. //使用pslist查看内存中的进程信息。  2. volatility.exe -f memory.raw –profile=Win81U1x86 pslist    1. //查看被隐藏的进程,例如某些隐藏的病毒文件  2. volatility.exe -f memory.raw --profile= Win81U1x86 psxview    1. //将内存中的某个进程保存出来。   2. volatility.exe -f memory.raw --profile= Win81U1x86 memdump -p 4 -D C:111     1. //列举缓存在内存的注册表   2. volatility.exe -f memory.raw --profile= Win81U1x86 hivelist     1. //查看Windows帐户密码Hash   2. volatility.exe -f memory.raw --profile= Win81U1x86 hashdump     1. //如需用到其他的指令或插件,使用指令   2. Volatility.exe -h     除此之外,通过内存还可提取到加密密钥。在实际的现场取证中,会遇到未知Windows电脑屏幕密码的情况,若电脑开启了BitLocker加密,则使用冷机拷贝出的物理镜像为加密镜像,无法进行解析。面对这种情况,可使用PC快速解密系统获取到嫌疑人电脑的内存从而提取出BitLocker密钥,来解密加密的物理镜像。 PC快速解密系统操作演示 (1)将PC快速解密系统与上位机和目标机进行连接   (2)打开软件,选择“启动命令行1”,即可在未进入系统的情况下分析嫌疑人电脑的内存从而获取到BitLocker密钥,就可以解密物理镜像。   以上就是内存取证的基本方法及分析,感兴趣的小伙伴可以多多尝试练习。 来源:天鉴科技 现场勘查过程中内存数据的提取方法 通过强网杯看内存镜像取证分析 内存数据库中的索引技术 内存镜像获取和解析(取证大师) 内存取证分析的实战演练 内存取证分析 【计算机内存取证技术】 电脑内存数据的提取和分析 内存取证初探 【打破全盘加密之道】如何在内存中提取密钥? 【恶意程序如何实现自我删除?】内存中找证据! 【动态内存】这样取证! 【Windows】内存取证分析 【Linux内存分析工具】Volatility 信息时代电子数据取证程序的反思与重构——兼评《电子数据取证规则》的谬误与修正(上) 信息时代电子数据的取证程序的反思与重构——兼评《电子数据取证规则》的谬误与修正(下) 相关推荐: 车联网安全监管策略研究 【摘要】:车联网作为信息化与工业化深度融合的重要领域,对促进汽车、交通、信息通信产业的融合和升级,对相关产业生态和价值链体系的重塑具有重要意义。当前伴随车联网智能化和网联化进程的不断推进,车联网网络安全形势日趋严峻。安全作为关系到车联网能否快速发展的重要因素,…
阅读全文
2021年中科实数杯团队赛手机部分考题write up CTF专场

2021年中科实数杯团队赛手机部分考题write up

本文由湖北警官学院19级网安乔靖雯编写,转载请注明。    今年五月份在江苏警官学院参加中科实数杯时,部分参赛选手在解题时一度卡在了模拟器的锁屏密码上,导致无法打开模拟器,后面的题目也因此全军覆没。但其实这只是“山重水复疑无路”而已,学会灵活试用X-ways、APK Messenger、JADX和GPA等软件,我们依然可以看到“柳暗花明又一村”。首先我们来看前面基础的一个问题。11,请找出操作系统中安装的Android模拟器名称和安装日期    一般的自动取证方法就是用取证大师自己跑,很容易就可以知道模拟器名称和安装时间,为“夜神模拟器”,这道题目可以说是入门级别的难度了,只要电脑带的动取证大师就可以了,但想必这道题目的主要意义不是要考验你的电脑性能,做到后面你就会发现这其实是一个伏笔。    而如果想要手工取证的话,我们可以使用软件X-ways打开这个E01,几秒钟内X-ways就可以将数据展示到你的眼前,这也是我最常使用的手动取证软件,功能齐全,非常实用。    众所周知,win7系统的Program Files (x86)是一个系统文件夹,一般的32位应用程序都会默认安装在Program Files (x86)文件中,而64位应用程序则会安装在Program Files文件夹中。在这里如果想节约时间取巧一下的话(此电脑只有一个分区,结构简单,故尝试),直接点开这两个文件夹就可以看到系统安装的软件了。再用心观察一下,就不难发现一个名为的NOX文件夹,其就是常见的安卓模拟器—夜神模拟器。    但是注意,这里看到的文件夹创建时间并不能等同于模拟器的安装时间,准确的安装时间应该打开注册表看。    如果想要手工取证得到准确的安装时间,可以首先使用X-ways软件过滤功能得到注册表文件,右键打开,然后右键创建报告,选择相应的模板打开就可以看到准确的软件安装日期甚至时刻。    其次,我们再看后面的Android 模拟器分析部分,其中大部分的题目都是围绕着模拟器中一个叫“大某”的软件展开的,一般的解题思路就是通过FTK软件挂载镜像然后仿真进入计算机模拟器分析,这时我们就会遇到模拟器的手势密码问题,具体解题过程可以参考我校17级朱学长的推文。https://mp.weixin.qq.com/s/go9IgKTWucYploSkEQVEHw    如果在赛场上没有这样的编程水平,也没有好运气直接试对密码,难道就束手无策,准备放弃?其实不是这样的,上文说到的伏笔就是解决后面这些问题的钥匙,在NOX文件夹中可以找到一个wmdk文件(虚拟机VMware创建的虚拟硬盘格式),在这里其实就是模拟器的镜像备份文件。利用X-WAYS的恢复功能(相当于取证大师的导出)将这个文件提取到本地,再次使用X-ways打开就可以不需要密码地看到模拟器的内部数据。    然后,再次通过X-ways的过滤功能找到APK文件,通过文件名可以推测base.apk,应该就是我们要找的软件(其余为系统软件)。    再次恢复至本机,用自己下载的模拟器(亲测夜神,雷电模拟器皆可)打开apk即可看到,这就是我们需要的“大某“APP。    这样后面的很多问题我们就可以解决了。用APK Messenger、JADX和GPA打开APK可以直接看到APK的部分信息。    再逐题分析一下其它题目。  22、请分析给出“大某”应用的签名里的国家代码。使用APK Messenger解析apk可得到,国家代码为PH。     23、请通过分析给出Android设备的序列号    直接使用X-ways的文本搜索功能,搜索关键词serial_number即可得到序列号为dd172a69056b7ebc,模拟器解锁后也可以在状态信息中直接查看。    小技巧:逆向搜索之前找到的序列号可以发现persist.nox.serial就是记载序列号的文件。  24、请通过分析给出“大某”应用用户登录信息保存在本地的文件名。    通过登录的用户名在X-ways中同步搜索djujjf即可找到,保存登录信息的本地文件名为ds-preferences.xml。               25、请提供“大某”应用使用的权限。可在APK Messenger直接查看,也可以在模拟器的权限管理中查看。             27、请通过分析给出Android版本号。    直接使用X-ways的文本搜索功能搜索关键词os_version即可得到安卓版本号为7.1.2,解锁模拟器后也可以在状态信息中直接查看。    小技巧:逆向搜索可直接在文件persist.nox.fingerprint中看到安卓版本号。 29、请分析给出“大某”应用的签名中记录的有效期。    可在JADX中的资源文件下的APKsignature中查看,可知签名有效期至:Mon Apr 10 16:55:33 CST 2045        30、请通过分析给出登录“大某”应用使用的账号。打开应用即可知道账号为djujjf                32、请分析给出“大某”应用的主Activity。在GDA中可以直接看到主Activity(Main Activity)为 org.zywx.wbpalmstar.uex11818.activity.SplashActivity。      35、请分析给出“大某”应用版本号。可在APK Messenger直接查看,其版本号为59。            36、请通过分析给出“大某”应用中使用的“极光推送”的AppKey值。    百度百科:极光推送(JPush)是独立的第三方云推送平台,致力于为全球移动应用开发者提供移动消息推送服务。2016年6月,国内一站式开发者服务平台极光推送发表公开声明,宣布品牌正式全面升级为大数据综合服务商“极光”。    在GPA中可以发现与该服务有关的内容如下所示,则可知JPUSH(极光推送)的APPKEY为a7a058c20bdb5d8e65aa6786。              37、请提供“大某”应用包名称及安装日期。    在APK Messenger可以直接看到大某的包名,为com.elughkhktu.leohwiuirgk;再通过X-ways看APK的详细内容,就可以知道其安装日期为2021/05/05d11:50:22 +8               38、请通过分析给出连接的WiFi名称。Android是基于Linux内核的系统,所以在X-ways打开路径miscwifi就可以看到有关WIFI的信息,记录于wpa_supplicant.conf和networkHistory.txt中,WIFI名称为WiredSSID。PS:自动化取证软件中也可以直接跑出结果。         40、请提供“大某”应用安装包的SHA256哈希值。用HashTab直接计算X-ways恢复出来的base.apk。也可以在X-ways中使用磁盘快照功能计算。值为0C92EAA124C89F406A38EF6C77731505D84EE7D857621AF7914554491C06E9F6    小结:我们在比赛和实际中经常会遇到有密码的检材,有些密码可以通过软件直接破解,但总会遇到自己现阶段水平无法解开的密码。这时不意味着我们就要选择放弃,而是在提醒我们要仔细审题,冷静思考,想办法通过其他方法解决问题,同时也在要求我们更加深入地学习取证知识,同时不断提高我们各方面的能力,学会使用除自动化取证软件之外的,更加方便、有力的各类软件来解决问题。只有不放弃问题,才能解决问题。PS:感谢举办方提供的学习机会。现在回顾起来,仍然觉得考题逻辑强,设计巧妙,是训练的好材料。 本文始发于微信公众号(电子取证及可信应用协创中心):2021年中科实数杯团队赛手机部分考题write up
阅读全文
取证分析 | Volatility工具使用 安全工具

取证分析 | Volatility工具使用

声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。1.Volatility功能介绍Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境。接下来小编将带领大家学习Volatility工具的安装及使用。工具下载地址:https://github.com/volatilityfoundation2.Volatility安装方式目前作者已公布了两个版本的Volatility,Volatility2是基于py2环境,Volatility3是基于py3环境,接下来小编将带领大家分别对这两个环境进行安装。(1)Volatility3环境的安装首先请确保系统中已安装python3环境,安装pycrypto库函数进入到Volatility目录,执行如下指令,即可将Volatility成功安装>>> sudo python3 setup.py install此时,就成功安装了Volatility3工具,可以执行如下指令查看是否安装是成功>>> sudo python3 vol.py -h(2)Volatility2环境的安装首先请确保系统中已安装python2环境,安装pycrypto库函数首先通过网站下载pycrypto安装包:https://ftp.dlitz.net/pub/dlitz/crypto/pycrypto/注意:如果遇到报错可尝试执行如下命令,解决问题:>>> sudo apt-get install python-dev>>> sudo pip install setuptools进入到Volatility目录,执行如下指令,即可将Volatility成功安装>>> sudo python2 setup.py install此时,就成功安装了Volatility2工具,可以执行如下指令查看是否安装是成功>>> sudo python2 vol.py -h3.Volatility使用方式   Volatility2的使用方法(1) 获取系统基本信息>>>python2 vol.py -f ../Target.vmem imageinfo(2) 列出进程信息>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 pslist(3) 提取某进程文件内容>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 memdump -p 516 -D /(4) 查看文件目录>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 filescan(5) 提取某文件内容>>>python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007fe72430 --dump-dir=./(6) 调用mimikatz抓取系统口令>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 mimikatz  Volatility3的使用方法(1) 获取系统基本信息>>>sudo python3 vol.py -f ../Target.vmem windows.info(2) 列出进程信息(3) 提取某进程文件内容>>>sudo python3 vol.py -f /opt/forensic-analysis/Target.vmem windows.pslist --pid 516 --dump(4) 查看文件目录(5) 提取某文件内容(此功能存在问题,待进一步解决!)- 往期推荐 -应急实战 | 记一次日志缺失的挖矿排查安全运维 | Supervisor进程管理工具 本文始发于微信公众号(SecPulse安全脉搏):取证分析 | Volatility工具使用
阅读全文
2021年中科实数杯团队赛手机部分write up CTF专场

2021年中科实数杯团队赛手机部分write up

本文由湖北警官学院19级网安乔同学编写,转载请注明。回顾今年五月份在江苏警官学院举办的中科实数杯,作为初出茅庐的参赛选手,解题时一度卡在了模拟器的锁屏密码上,无法打开模拟器,后面的题目岂不是要全军覆没了?有很多队伍都因为这个问题,或多或少地放弃了后面的题目,导致比赛成绩的不理想。但其实这只是“山重水复疑无路”而已,学会灵活使用X-ways、APK Messenger、JADX和GPA等软件,我们依然可以看到“柳暗花明又一村”。首先我们来看前面基础的一个问题。11,请找出操作系统中安装的Android模拟器名称和安装日期    一般的自动取证方法就是用取证大师自己跑,很容易就可以知道模拟器名称和安装时间,为“夜神模拟器”,这道题目可以说是入门级别的难度了,只要电脑带的动取证大师就可以了,但想必这道题目的主要意义不是要考验你的电脑性能,做到后面你就会发现这其实是一个伏笔。    而如果想要手工取证的话,我们可以使用软件X-ways打开这个E01,几秒钟内X-ways就可以将数据展示到你的眼前,这也是我最常使用的手动取证软件,功能齐全,非常实用。    众所周知,win7系统的Program Files (x86)是一个系统文件夹,一般的32位应用程序都会默认安装在Program Files (x86)文件中,而64位应用程序则会安装在Program Files文件夹中。在这里如果想节约时间取巧一下的话(此电脑只有一个分区,结构简单,故尝试),直接点开这两个文件夹就可以看到系统安装的软件了。再用心观察一下,就不难发现一个名为的NOX文件夹,其就是常见的安卓模拟器—夜神模拟器。    但是注意,这里看到的文件夹创建时间并不能等同于模拟器的安装时间,准确的安装时间应该打开注册表看。    如果想要手工取证得到准确的安装时间,可以首先使用X-ways软件过滤功能得到注册表文件,右键打开,然后右键创建报告,选择相应的模板打开就可以看到准确的软件安装日期甚至时刻。      其次,我们再看后面的Android 模拟器分析部分,其中大部分的题目都是围绕着模拟器中一个叫“大发”的软件展开的,一般的解题思路就是通过FTK软件挂载镜像然后仿真进入计算机模拟器分析,这时我们就会遇到模拟器的手势密码问题,具体解题过程可以参考我校17级朱学长的推文。https://mp.weixin.qq.com/s/go9IgKTWucYploSkEQVEHw    如果在赛场上没有这样的编程水平,也没有好运气直接试对密码,难道就束手无策,准备放弃?其实不是这样的,上文说到的伏笔就是解决后面这些问题的钥匙,在NOX文件夹中可以找到一个wmdk文件(虚拟机VMware创建的虚拟硬盘格式),在这里其实就是模拟器的镜像备份文件。利用X-WAYS的恢复功能(相当于取证大师的导出)将这个文件提取到本地,再次使用X-ways打开就可以不需要密码地看到模拟器的内部数据。    然后,再次通过X-ways的过滤功能找到APK文件,通过文件名可以推测base.apk,应该就是我们要找的软件(其余为系统软件)。再次恢复至本机,用自己下载的模拟器(亲测夜神,雷电模拟器皆可)打开apk即可看到,这就是我们需要的“大发“APP。    这样后面的很多问题我们就可以解决了。用APK Messenger、JADX和GPA打开APK可以直接看到APK的部分信息。    再逐题分析一下其它题目。  22、请分析给出“大发”应用的签名里的国家代码。使用APK Messenger解析apk可得到,国家代码为PH。     23、请通过分析给出Android设备的序列号    直接使用X-ways的文本搜索功能,搜索关键词serial_number即可得到序列号为dd172a69056b7ebc,模拟器解锁后也可以在状态信息中直接查看。    小技巧:逆向搜索之前找到的序列号可以发现persist.nox.serial就是记载序列号的文件。  24、请通过分析给出“大发”应用用户登录信息保存在本地的文件名。    通过登录的用户名在X-ways中同步搜索djujjf即可找到,保存登录信息的本地文件名为ds-preferences.xml。               25、请提供“大发”应用使用的权限。可在APK Messenger直接查看,也可以在模拟器的权限管理中查看。             27、请通过分析给出Android版本号。    直接使用X-ways的文本搜索功能搜索关键词os_version即可得到安卓版本号为7.1.2,解锁模拟器后也可以在状态信息中直接查看。    小技巧:逆向搜索可直接在文件persist.nox.fingerprint中看到安卓版本号。 29、请分析给出“大发”应用的签名中记录的有效期。    可在JADX中的资源文件下的APKsignature中查看,可知签名有效期至:Mon Apr 10 16:55:33 CST 2045            30、请通过分析给出登录“大发”应用使用的账号。打开应用即可知道账号为djujjf                32、请分析给出“大发”应用的主Activity。在GDA中可以直接看到主Activity(Main Activity)为 org.zywx.wbpalmstar.uex11818.activity.SplashActivity。             34、请分析给出“大发”应用的开发者姓名。    可在APK Messenger直接查看,其开发者姓名为Bee Weng。              35、请分析给出“大发”应用版本号。可在APK Messenger直接查看,其版本号为59。            36、请通过分析给出“大发”应用中使用的“极光推送”的AppKey值。    百度百科:极光推送(JPush)是独立的第三方云推送平台,致力于为全球移动应用开发者提供移动消息推送服务。2016年6月,国内一站式开发者服务平台极光推送发表公开声明,宣布品牌正式全面升级为大数据综合服务商“极光”。    在GPA中可以发现与该服务有关的内容如下所示,则可知JPUSH(极光推送)的APPKEY为a7a058c20bdb5d8e65aa6786。              37、请提供“大发”应用包名称及安装日期。    在APK Messenger可以直接看到大发的包名,为com.elughkhktu.leohwiuirgk;再通过X-ways看APK的详细内容,就可以知道其安装日期为2021/05/05d11:50:22 +8               38、请通过分析给出连接的WiFi名称。Android是基于Linux内核的系统,所以在X-ways打开路径miscwifi就可以看到有关WIFI的信息,记录于wpa_supplicant.conf和networkHistory.txt中,WIFI名称为WiredSSID。PS:自动化取证软件中也可以直接跑出结果。         40、请提供“大发”应用安装包的SHA256哈希值。用HashTab直接计算X-ways恢复出来的base.apk。也可以在X-ways中使用磁盘快照功能计算。值为0C92EAA124C89F406A38EF6C77731505D84EE7D857621AF7914554491C06E9F6        小结:我们在比赛和实际中经常会遇到有密码的检材,有些密码可以通过软件直接破解,但总会遇到自己现阶段水平无法解开的密码。这时不意味这我们就要选择放弃,而是在提醒我们要仔细审题,冷静思考,想办法通过其他方法解决问题,同时也在要求我们更加深入地学习取证知识,同时不断提高我们各方面的能力,学会使用除自动化取证软件之外的,更加方便、有力的各类软件来解决问题。只有不放弃问题,才能解决问题。 本文始发于微信公众号(电子取证及可信应用协创中心):2021年中科实数杯团队赛手机部分write up
阅读全文