这是别人写的计算机取证(单机取证)分析指南这个教程这个教程主要讲单机取证的一些思路和指南，主要针对比赛而出的教程有需要参加相关比赛的可以好好看看学习一下。

简介

计算机取证 (Computer forensics 也称为计算机取证科学）是数字取证科学的⼀个分⽀，涉及在计算机和数字存储介质中发现的证据。

计算机取证的⽬标是以合法的⽅式检查数字媒体，⽬的是识别、保存、恢复、分析和呈现有关数字信息的事实和观点，在国内⼜叫做计算机单机取证

在实际⽣活中尽管计算机取证通常与各种计算机犯罪的调查有关，但计算机取证也可⽤于⺠事诉讼。

在美国来⾃计算机取证调查的证据通常遵循与其他数字证据相同的准则和做法，它已被⽤于许多备受瞩⽬的案件中，并在美国和欧洲法院系统中被认为是可靠的

.E01 ⽂件扩展名

属于磁盘映像⽂件类别 references：

DD 镜像和 E01 镜像的主要区别

E01 ⽂件扩展名代表 EnCase 软件使⽤的 EnCase 映像⽂件格式。

该⽂件⽤于存储数字证据，包括卷映像，磁盘映像，内存和逻辑⽂件。 Encase 创建了⼤⼩为 640 MB 的多个 E01 ⽂件，⽤于存储获取的数字数据。

该⽂件格式最显着的特征之⼀是，对于每个新的 E01 ⽂件，⽂件的扩展名将为创建的每个新⽂件

⽽更改。

由于 EnCase 最初是以 Expert Witness 的名义引⼊的， E01 ⽂件通常可以被称为 Expert

Witness ⽂件。

如何打开和查看 E01 ⽂件扩展名？

E01 只能使⽤ Encase 软件打开⽂件。

鉴于信息安全管理与评估赛项–计算机单机取证特别说明

 

 

常⽤⼯具

leadlife

Autopsy ⭐ references：

Autopsy 使⽤⼿法中⽂指南

简介

AutopsyForensic Browser 是数字取证⼯具 TheSleuthKit（TSK） 的图形界⾯，⼀个⽤来分析磁盘映像和恢复⽂件的开源取证⼯具。提供在磁盘映像中进⾏字符串提取，恢复⽂件，时间轴分析，chrome，firefox 等浏览历史分析，关键字搜索和邮件分析等功能。

 

⼯作流程

记录 Autopsy 的⼯作过程，为后⾯⼯具使⽤做好铺垫，逻辑清晰才好继续⼯作

1. 创建案例：案例是⼀个或多个数据源的容器。在分析数据之前，必须先创建⼀个。
2. 添加数据源：将⼀个或多个数据源添加到案例中。数据源包括磁盘映像和本地⽂件。
3. 使⽤摄取模块进⾏分析：添加数据源后，摄取模块将在后台运⾏以分析数据。结果实时发布到界

⾯，并在必要时提供警报。⽰例摄取模块包括哈希计算和查找，关键字搜索以及 Web ⼯件提取。

可以开发第三⽅模块并将其添加到管道中。

1. ⼿动分析：⽤⼾浏览界⾯，⽂件内容和摄取模块结果以识别证据。可以标记有趣的项⽬，以便以后进⾏报告和分析。
2. 报告⽣成：⽤⼾根据选定的标签或结果启动最终报告。

 

实战提升

BelkaCTF #1 Insider Threat

.E01 计算机单机取证

使⽤ autopsy 4.2 version 操作

leadlife

实战 1 [easy]

题⽬描述

原⽂：

1 What is the full name of the laptop owner? Format: First Name Last Name.

译⽂：笔记本电脑所者的全名是什么？

1

我们将通过以下步骤，简单地记录一下Autopsy框架的使用过程，这个操作十分简单。

第一步：以管理员权限运行Autopsy，这是为了避免因为权限问题造成的分析遗漏。运行之后会出现一个界面，我们选择“新建实例”(New Case)。

题⽬分析

通过分析数字证据，简单使⽤ Autopsy 得到 Windows 普通⽤⼾即可 (通常不包含 system ⽤⼾ administrator ⽤⼾，以及 domain ⽤⼾组的⽤⼾)

注意这是国外的题⽬，需要提供名字以及姓⽒，所以按照国外的名字规律，我们需要⼆次分析(国内的题⽬则⽆需如此繁琐)

 

2.我们可以随意命名实例以及文件夹的保存位置。也是说，在创建实例或文件夹时，我们可以自由选择它们的名称，并且可以选择将它们保存在计算机的任意位置。

leadlife

 

 

4

：

创

建

完实

例

化

，

引

⼊

数

据

：

第

⼆

项

选

择

选

择

 

Disk Image or VM File

：

选

择

引

⼊

数

据

源

，

点

击

 

Browse

，

引

⼊

 

SUSPECT.E01

leadlife

leadlife

后

续

⼀

键

下⼀

步

即

可

，

当

进

⼊

读

条

时

，

切

记

不

要

取

消

。

5

：

结

束

引

⼊

后

我

们

得

到初

步

分

析

结

果

，

详

细

的

分

析

结

果

还

需

要

等

待

右

下

⻆

的

读

条

完

成

 

leadlife

好的，我们开始解题，题⽬要求我们得到 Windows 的⽤⼾ SID，简直是送分

点

击

右

侧

的

 

OS Account

 

节

点

，

我

们

即

可

得

到

答

案

的

第

⼀

部

分

：

PC

使

⽤

者

的

名

字

 

anit

继

续

来

到

 

ysis Results

 

节

点

中

的

Web Account Type

即

可

通

过

email

得

到

PC

使

⽤

者

全

名

答

案

：

Anit Ghosh

1 现在让我们验证他们⼯作的公司。公司办公室的完整地址是什么？完整的地址⾏，包括。国家的名字。

 

题⽬分析

题⽬要求我们得到公司的完整地址⾏，国家名字，我们可以通过如下思路获得对应信息：

实

战

2 [easy]

 

题

⽬

描

述

 

原

⽂

：

译

⽂

：

Now

 

let

‘s verify the company they’

re

 

working

 

at

.

 

What

 

is

 

the

 

full

 

address

 

of

 

company

‘s office? Full address line incl. country name.

1

leadlife

检查电⼦邮件内容

检查 Windows 中 Active Directory 域

转到同名站点并查找办公室的实际地址 (线下⽐赛⼀般没⽹，所以只是⼀种思路)

解题过程

来

到

 

Data Artifacts

 

节

点

的

 

Email Messages

 

节

点

即

可

得

到

结

果

点

击

Default

进

⼊

后

，

我

们

另

存

为

数

据

为

CSV

⽅

便

我

们

查

看

发现第⼀封邮件是传给 anit 的，同时我们得到了 anit 的邮箱后缀 (企业邮箱)

打开该站点，来到版权以及联系处我们即可获得结果：

leadlife

 

实战 3 [easy]

题⽬描述

原⽂：

1 On November 16th security department got a signal of unauthorized attempts to obtain company’s trade secrets. When did the suspect first show interest in those?

译⽂：

11

 

⽉

 

16

 

⽇

，

安

全

部

⻔

收

到

未

经

授

权

试

图

获

取

公

司

商

业

机

密

的

信

号

。

嫌

疑

⼈什么

时

候

第

⼀

次

对

这

些

表

现

出

兴

趣

？

1

 

题⽬分析

我们需要考虑，什么传输通道会泄露公司机密？最容易也最简单的⽅式是通过⽹络 (email)

解题过程

还是⼀样，继续打开我们第三题另存为的 CVS ⽂件，观察其中的⽂件内容：来到第 29 ⾏，得到时间：

 

实战 4 [easy]

题⽬描述

leadlife

原⽂：

What

 

3

 

employees

 

should

 

be

 

asked

 

questions

 

about

 

unauthorized

 

requests

 

from

 

the

 

suspect?

1

译⽂：

关

于

嫌

疑

⼈

未

经

授

权

的

请

求

，

应

该询

问

哪

 

3

 

名员

⼯

？

1

 

题⽬分析

这个题⽬没什么意义，纯粹读英⽂阅读理解，感兴趣可以⾃⼰去分析，观察传输数据即可

解题过程

答案：John Finney、Noelle Johnson、Rachel Corbin

 

实战 5

嫌

疑

⼈

获

得

的

产

品

⽂

档

的

 

SHA256

 

哈

希

值

是

多

少

？

1

 

题⽬分析

我们需要关注⽂档信息，以及传输通道，获得相关产品⽂档，从⽽得到 hash

解题过程

题

⽬

描

述

 

原

⽂

：

译

⽂

：

What

 

is

 

the

 

SHA256

 

hash

 

of

 

the

 

product

 

documentation

 

obtained

 

by

 

the

 

suspect?

1

leadlife

⾸

先

应

当

关

注

 

Data Artifacts

 

节

点

中

的

 

Recent Documents

 

分

⽀

得

到

⽂

档

记

录

：

然

后

关

注

 

Metadata

 

分

⽀

得

到

⽂

档

元

数

据

：

后续分析步骤⾃由发挥分析逻辑，线索为⽂档，我们应当注意特殊的⽂档名，以及后缀。

最终发现到可以⽂档：

双击进⼊数据源查看：

leadlife

右击该⽂档，将其另存为到本地，分析内容

打开后发现，的确是对应产品⽂档：来到将其放⼊ Linux (Kali 之类均可)，得到其 SHA256 hash

 

实战 6

题⽬描述

原⽂：

leadlife

What

 

URL

 

did

 

the

 

suspect

 

manage

 

to

 

obtain

 

the

 

product

 

source

 

code

 

from?

 

Exact

,

including

 

file

 

name

.

1

译⽂：

嫌

疑

⼈

是

从

哪

个

 

URL

 

获

取

产

品

源

码

的

？

准

确

，

包

括

⽂

件

名

。

1

 

题⽬分析

注意传输通道，特别是 HTTP 数据，同时注意 Windows 默认的下载路径其中的⽂档

(C:\Users\%USERNAME%\Downloads)

解题过程

来到 Data Artifacts 节点中的 Web Downloads 分⽀，得到仅有的 3 个 URL，其中 2

个压缩包需要我们注意。

右击第 2 个特别⻓的⾏，进⼊对应⽬录：

leadlife

来到⽬录后将其全部保存在本地然后分析：

解压后发现 README ⽂档，打开后发现的确为产品⽂档，确认答案 URL

答案：http://git.pm.internal/GBringley/xraicommend/archive/761263a55b8cfed4bcb8f87cbbb 68beaf2ec2423.tar.gz

 

实战 7

题⽬描述

原⽂：

1 What e-mail address did the suspect’s backdoor code send reports to?

leadlife

译⽂：

嫌

疑

⼈

的

后

⻔

代

码

将

报

告

发

送

到

哪

个

电

⼦

邮

件

地址

？

1

题⽬分析

注意电⼦邮件信息

注意 HTTP 传输信息

注意后⻔关键字

bash

sh

IP 地址

端⼝

也可能编码传输(base64、base32 最为常⻅)，注意 base64 等编码关键字

解题过程

leadlife

来

到

右

上

⻆

，

检

索

全

局

关

键

字

 

base64 -d

发现可以操作，观察路径可以发现 git 的⾝影，或许这次 git 的备份是后⻔的关键点。

观察其内容，我们将之解码：

得到邮箱答案：alert872802737@protonmail.com

 

实战 8 – 分析 hiberfil.sys

references： https://diverto.github.io/2019/11/05/Extracting-Passwords-from-hiberfiland-memdumps

https://medium.com/@denizxk/how-to-extract-and-yze-windows-hi bernation-file-7be1cc761788

题⽬描述

原⽂：

1. What is the SHA256 hash of the file exfiltrated?
2. What happened by the scenario: The suspect archived the obtained source code, documentation and instructions with his crypto wallet into a password protected 7z-archive, logged into WhatsApp Web in Incognito mode, uploaded the archive to anonfiles.com file hosting, sent the link to their counterparty, closed the lid of the laptop, the laptop went into hibernation —in this state we acquired the disk image.

leadlife

 

译⽂：

1. 泄露⽂件的 SHA256 哈希值是多少？
2. 场景发⽣了什么：嫌疑⼈⽤他的加密钱包将获得的源代码、⽂档和说明存档到密码保护的 7z 存档中，

以隐⾝模式登录 WhatsApp Web，将存档上传到 anonfiles.com ⽂件托管，发送链接给对⽅，合上笔记本电脑的盖⼦，笔记本电脑进⼊休眠状态——在这种状态下我们获取了磁盘镜像。

 

题⽬分析

注意 7z 后缀压缩包，注意缓存信息

解题过程

全局检索

全局搜索没能找到想要的信息，那么这⾥我们转换⽅向，来到缓存信息点，着重关注 7z 后缀

leadlife

发现了 1 个 7z 压缩包

双击，来到对应的 Source ⽬录，并没得到所需要的压缩包，猜测可能已经被删除，但删除数据中也并不存在，我们对应 Path 路径，⼿⼯来到 Desktop/ ⽬录，看看是否存在 tmp 结果是并不存在，转换思路，我们尝试从 RAM 中提取

Windows 使⽤ hiberfil.sys 作为存储休眠 (RAM) 数据的⽂件。它通常的位置是

C:\hiberfil.sys并且是隐藏的系统⽂件，所以直接复制它会有问题。有⼀篇很棒的⽂章7 Tools to Copy Locked or In Use Files可以帮助您从实时系统中获取它。

leadlife

由于我们是直接使⽤的数字映像分析，所以直接将其 extract 出来即可。

操

作

关

键

字

搜

索

右

键

提

取

提取后，直接调⽤ Linux 的 strings 命令进⾏分析检索

发现⼀个信息点：AnonFiles ，该名称站点是⼀个⽂件分享功能的站点，类似于国内的百度云之类我们再检索相关 AnonFiles 信息，分别发现 4 个 URL，⼀个⼀个访问，最终下载到该 7z ⽂件

leadlife

不过去访问后，⽂件已经不在了，因此⽆法完成题⽬

最终答案如下：

root@vsi

:

~#

 

sha256sum

 

PHOTOS

.7

z

d96d26861e81673f7255f4e039384f77fe07f6c6e489670db6000e52c4b72113

 

PHOTOS

.7

z

1

2

 

由于后续题⽬均涉及 PHOTOS.7z 所以⽆法完成

 

leadlife

BelkaCTF #2: Drugdealer Case

在练习 2 时，注意导⼊，由于我们已经获取了所有源⽂件，所以直接导⼊为 Local

导⼊源注意项

1：新建 Case，名字随便取

2

：

导

⼊

数

据

源

leadlife

然后下⼀步下⼀步即可，之后 Autopsy 即可实时分析

leadlife