FinalShell作为一款功能强大的远程终端管理工具,其用户可以通过它连接到不同类型的服务器,如Linux、Windows等,许多网站开发、运维人员会使用FinalShell辅助工作开展。
此类远程终端管理工具往往会保存着目标服务器的账号密码,所以在各类涉网案件窝点勘查过程中,针对FinalShell等工具的取证也变得至关重要。
通常情况下,FinalShell安装目录下的conn文件夹里记录了连接账号密码。
本文笔者将以两种非常简便的思路,与大家分享FinalShell记录的密码提取方法,协助进一步挖掘案件线索。
方法一:通过专业取证工具自动获取
当发现现场犯罪分子通过FinalShell远程控制涉案服务器时,可使用平航计算机现场快速取证系统对目标计算机进行痕迹扫描。
将快速取证系统工具接入目标电脑,并启动:
选择痕迹分析>新建策略>选择工具模块;
平航计算机现场快速取证系统支持FinalShell、Xshell、XFTP等终端远程工具分析。
痕迹分析完成后,系统将自动生成痕迹分析报告(报告格式为HTML)。
查看分析报告,即可查看详细的涉案服务器基本信息,如IP地址、端口号、账号、密码等。
方法二:通过手工方式获取密码
通过平航计算机现场快速取证系统能够在现场勘查过程中,高效完成关键数据获取。但在条件与环境不适用工具的情况下,如何完成目标信息获取呢?
——借助三方在线工具,手工破解。
在目标电脑中找到FinalShell安装目录下的conn文件夹,例如:D:finalshellconn;
conn文件夹中以***.json为后缀的文件即FinalShell连接记录的配置文件。
查看FinalShell会话配置文件,其中user_name、password为FinalShell记录的账号密码字段。
然后通过java在线工具运行java代码,即可对密码进行解密。
最后,不论是借助手工还是自动的方式获取到账号密码和地址,均可在平航服务器远勘软件上,对涉案服务器进行深度勘查,获取与案件关联的日志、用户活动等关键信息。
原文始发于微信公众号(平航科技):【技术分享】远程终端连接工具的取证实战-以Finalshell为例
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论