在窝点勘验计算机过程中,我们对其易失性数据的固定尤为重要。计算机一断电或重启易失性的数据就丢失。所以若不及时固定这些数据往往会造成数据的灭失而造成后续的取证分析无法进行。
01
开机状态计算机内存固定
内存取证固定是计算机取证固定中的一环。
内存数据中的信息包括系统当前运行的进程、线程信息、网络连接信息,以及网页地址、口令、加密密钥和正在编辑的文件内容等。
办案人员可以通过平航现场勘验工具PK-Q2对开机状态的计算机制作内存镜像。
将PK-Q2通过USB线连接计算机,打开平航现场快速取证系统,选择内存镜像模块,然后勾选上密钥类型即可制作内存镜像固定开机状态的计算机内存,如下图所示。
02
内存镜像实战应用
内存镜像+平航介质取证分析软件
(一)解密PC端微信数据库
窝点计算机运行的微信,一般只能通过录屏或截图的方式来固定其中的聊天数据。当登录PC端的微信时,手机端的微信数据删除并不会影响PC端的微信数据。
通过PK-Q2制作的微信密钥结合平航介质取证分析软件即可提取PC端微信的数据,如下图所示。
(二)获取TrueCrypt容器密码
许多涉案人员会使用TrueCrypt容器来加密他们的重要文件,当办案人员在现场没有固定TrueCrypt容器内的数据且未制作内存镜像,那么后期取证分析会非常困难,只能嫌疑人自己交代或者利用Passware等密码破解工具暴力破解容器加密卷文件。
我们可以通过平航介质取证软件中的内存镜像工具分析内存镜像来提取其加密卷密钥和文件路径,为我们办案人员节省了更多的时间,如下图所示。
(三)内存镜像之解密BitLocker锁
Windows BitLocker驱动器加密通过加密Windows操作系统卷上存储的所有数据可以更好地保护计算机中的数据,帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。
现场开机的计算机若存在BitLocker锁,往往是处于解锁状态的,如下图。
虽然E盘处于解锁状态,但是制作的物理镜像仍然是处于加密状态。所以这种情况可以对其中的E盘符制作一个逻辑镜像,而制作的逻辑镜像则可以查看里面的内容,如下图所示。
那么我们同样可以提取开机状态BitLocker处于解锁状态时制作的内存镜像中的密钥文件,来解锁有BitLocker锁的物理镜像。
来源:平航科技
原文始发于微信公众号(电子物证):【计算机内存取证与实战应用概述】
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论