电子取证科学地使用提取和证明方法来保护、收集、验证、识别、分析、解释、存档和呈现从电子数据源中提取的证据,以帮助进一步重建犯罪事件或帮助识别某些与程序操作无关的未经授权的活动。在网络安全环境中,信息安全可以看作是解决事前防御的问题,而电子取证则是解决事后追责的问题。电子取证的发展创立时期:从1984年到90年代中期,FBI成立了计算机分析响应小组(CART)。ScientificWorkingGrouponDigitalForensics(SWGDE),该小组首先提出了计算机潜在证据的概念,并形成了计算机取证概念的雏形。计算机技术取证技术工作组(TWGDE)在技术层面对“数据取证”技术进行了更多的研究。科学工作组(SWG)的发展。特点:公布了数字证据相关实验室建设的概念、标准和原则。到1995年,美国48%的司法机构都建立了自己的计算机取证实验室。初期发展时期:20世纪90年代中期至90年代后期典型计算机取证产品:Encase:美国GuidanceSoftware公司开发,用于证据数据收集和分析。DIBS:由美国一家计算机取证公司开发,一种镜像数据的备份系统。FlightServer:由英国Vogon公司开发,用于证据数据的收集和分析。其他工具:密码破解工具、列出磁盘上所有分区的LISTDRV、软盘映像工具DISKIMAG、搜索特定逻辑分区上未分配或空闲空间的工具FREESECS等。理论完善时间:从1990年代末到目前,计算机取证的概念和过程模型已得到充分研究。五类典型模型:基本流程模型、事件响应流程模型、执法流程模型、流程抽象模型、其他模型、科学体系建设、电子取证技术分类及相关领域在中国开展数字取证。我国网络安全界曾从战略高度提出如何建立威慑入侵者的主动防御策略:基于主动防御的网络安全技术改变了过去仅依靠防火墙、扫描、检测这些传统网络安全工具的方式,促进了我国信息监控、数字取证等技术的发展和相应产品的推出。2000年5月,华南成立了以计算机犯罪案件为重点,以电子数据证据为核心,以计算机犯罪侦查为主要内容的专门技术研究中心。计算机取证研究被纳入该项目,并出现了一批早期的研究论文和文章。取证业务涉及本行业刑事案件侦查、取证和诉讼活动中的大量电子证据。此类案件的侦查取证一般由公安系统和检察院共同完成,由第三方鉴定机构进行司法鉴定并出具司法鉴定报告。该领域也是我国电子证据技术标准和规范较为完善的领域。使用的技术手段和产品都比较先进,但大多是国外的或国外产品的OEM版本。民事案件中的证据涉及电子证据的提取、分析和鉴定。一般由证明方提取识别。但是由于这个领域涉及到普通人,电子证据的重要性还没有被充分认识到,也没有特别适合普通人使用的取证产品。行政诉讼案件的举证需要电子证据的相关技术,该领域刚刚认识到电子证据的重要作用。例如,工商行政执法已经开始意识到,治理互联网违法行为需要获取电子证据,但还没有特别适合的技术和产品。中外大型企业,尤其是企业内部的安全工作涉及到电子证据的收集,因此对技术和产品都有需求。电子取证技术规则数字取证面临的问题采集或检验会改变证据的原始状态,数据容易被篡改。计算机调查和数字证据对于执法机构、法院和立法机构来说是全新的。呈指数级增长的数字媒体密度和计算平台的普及深度。数字或隐藏数据的非直观性。信息技术及其广泛应用日新月异。合格法医人员的技能和培训。数字信息的短暂性。电子数据的来源(一)物理存储:包括传统媒体,如软盘、硬盘、移动硬盘、磁带等磁性媒体,以及光盘等光学媒体。新型物理存储,如固态硬盘、手机芯片、闪存(包括U盘、存储卡)等介质。(2)逻辑存储:电子数据的逻辑状态不同,操作系统以一定的代码存储电子数据。这些电子数据逻辑存储包括:用户文件(电子文档、电子邮件、音视频文件、日程表、网络访问记录/收藏夹、数据库文件、文本文件等)。操作系统文件(配置文件、备份文件、cookies、交换文件、系统文件、隐藏文件、临时文件等)。保护文件(压缩文件、加密文件:隐藏文件等)。日志包括系统日志、IDS、防火墙、FTP、WWW和杀毒软件日志。电子数据可能存在于其他数据区域,如未分配空间、松弛空间、隐藏分区等。电子数据取证架构电子取证涉及计算机科学和法律的各个层面。它集中了所有计算机科学知识,并与法律紧密结合。重技术而忽视法律,或者固守法律而不研究技术,是无法从根本上理解电子数据取证的。数字取证过程该过程是指从实验室开始的技术取证活动,涉及对电子证据载体的检索。第一步:预览并决定是否进一步分析。第二步:得到它。第三步:克隆并创建一个与原硬盘内容相同的目标硬盘。第四步:分析,采用各种技术手段对目标硬盘进行分析,提取有用的数据信息。取证基本流程计算机数据取证过程中常用的取证工具必不可少,如Tcpdump、Argus、NFR、Tcpwrapper、Sniffers、Honeypot、Tripwires、Networkmonitor、volatility、PTF、取证大师、MagnetAXIOM、镜像工具等.目前计算机取证过程中常用的工具有镜像工具和专业取证软件,但大多数取证工具都是付费软件,个人无法直接下载使用,但也有一些开源工具可以取得很好的效果。根据取证工具的不同功能和作用,取证工具可以分为:磁盘和数据抓取工具、文件查看器、文件分析工具、注册表分析工具、互联网分析工具、电子邮件分析工具、移动设备分析工具、MacOS分析工具、网络取证工具、数据库取证由于工具篇幅,本文选择VolatilityFramework取证工具进行简单介绍。VolatilityFramework是一个完全开放的内存分析工具集,它基于GNUGPL2许可,用Python语言编写。由于Volatility是一种开源且免费的工具,因此可以免费对内存数据进行高级分析。由于代码具有开源的特点,当遇到一些无法解决的问题时,也可以对源代码进行修改或扩展。Windows操作系统平台下,有两种方式运行波动率工具。第一种是先独立安装Python运行环境,然后下载Volatility源码执行命令行。二是下载Volatility单机Windows程序,无需额外安装配置Python环境。Volatility最新版本为V2.6,可在官网下载。在Windows64位平台上,最方便的方法是直接使用单机Windows程序的Volatility版本。进入管理员命令行模式,运行volatility_2.6_win64_standalone.exe程序。程序如下图所示:Volatility常用命令行参数:-h:查看相关参数和帮助说明。--info:查看相关模块名称和支持的Windows版本。-f:指定要打开的内存映像文件和路径。-d:启用调试模式。-V:开启详细信息模式(verbose)。get--profileparametervolatility-fmem.vmemimageinfovolatility-fmem.vmem--profile=WinXPSP2x86shell命令:dt("Kernelkeydatastructurename")例如:dt("_PEB")列出进程:pslistvolatility-fmem.vmem--profile=WinXPSP2x86pslist列出缓存在内存中的注册表:hivelistolatility-fmem.vmem--profile=WinXPSP2x86hivelisthivedump打印出注册表中的数据:volatility-fmem.vmem--profile=WinXPSP2x86hivedump-o获取SAM表中的用户从注册表的虚拟地址:printkeyvolatility-fmem.vmem--profile=WinXPSP2x86printkey-K"SAM\Domains\Account\Users\Names"获取上次登录系统的账户:volatility-f内存。vmem--profile=WinXPSP2x86printkey-K"SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon"提取内存中记录的信息当时运行了哪些程序,运行了多少次,最后一次运行的时间etc.volatility-fmem.vmem--profile=WinXPSP2x86userassist以dmp格式在内存中保存一个进程数据。volatility-fmem.vmem--profile=WinXPSP2x86-p[PID]-D[保存转储文件的目录]提取内存中保留的cmd命令用法。volatility-fmem.vmem--profile=WinXPSP2x86cmdscan获取当时的网络连接状态。volatility-fmem.vmem--profile=WinXPSP2x86netscan获取IE浏览器使用情况。volatility-fmem.vmem--profile=WinXPSP2x86iehistory获取内存中的系统密码,我们可以使用hashdump提取出来。volatility-fmem.vmem--profile=WinXPSP2x86hashdump-y(注册系统的虚拟地址)-s(SAM的虚拟地址)volatility-fmem.vmem--profile=WinXPSP2x86hashdump-y0xe1035b60-s0xe16aab60maximum去提取内存中的信息,可以使用timeliner插件。它从多个位置收集系统活动信息volatility-fmem.vmem--profile=WinXPSP2x86timelinerfilescangrep'flag.ccx'fileexportvolatility-fmem.dump--profile=Win7SP1x64dumpfiles-Q0x000000003e435890-D./electronicdataforensicstechnology-windowsoperatingsystemforensicslogforensicsWindows事件日志事件日志为操作系统和相关应用程序获取重要软件和硬件信息的方法。微软将事件定义为系统或程序中需要通知用户的任何重要事件。事件由Windows事件日志服务统一收集和存储。它存储来自各种数据源的事件,通常称为事件日志。事件日志可以为取证人员提供丰富的信息,也可以关联系统中发生的各种事件。事件日志通常可以为取证人员提供以下信息:发生了什么:Windows内部的事件日志记录了丰富的历史事件信息。发生时间:事件日志记录了丰富的时间信息,通常也称为时间戳,记录了各种事件发生的具体时间。涉及的用户:在Windows操作系统中,几乎每一个事件都与相关的系统账号或用户账号有关。涉及系统:在网络环境下,取证人员很难仅通过记录主机名来进一步追溯回溯访问请求的来源信息。资源访问:事件日志服务可以记录详细的事件信息。常用的取证和分析方法(1)如何查看事件日志文件的内容。通常,商业计算机取证软件用于直接分析事件日志文件,如EnCase、FTK、X-WaysForensics、SafeAnalyzer、ForensicMaster、ForensicDetective等,操作简单快捷。在Windows操作系统中运行eventvwr.exe,可以调用系统自带的事件日志查看器。具体操作方法如下:在命令行中输入eventvwr.exe,或同时按下Win+R组合键,然后在运行输入框中输入eventvwr.exe或eventvwr(扩展名可省略)运行系统事件日志查看器。将需要分析的.evtx日志文件通过取证软件导出到取证分析机或复制到取证分析机,然后使用取证分析机系统自带的事件日志查看器查看分析内容。建议将最新的Windows10用于法医分析机的操作系统,以与.evtx文件格式实现最佳兼容性。EventLogExplorer的亮点在于它支持.evt和.evtx格式,提供了丰富的过滤条件,可以正确解析出日志中的计算机名、系统账户或用户SID(SecurityIdentifiers,安全标识符)等信息。(2)常见的Windows事件日志分析方法。Windows事件日志记录的信息中,关键要素包括事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码和任务类别。其中,事件ID与操作系统的版本有关。同一类事件在不同操作系统中的事件ID并不完全相同。最大的区别主要体现在第一版和第二版的事件日志上。(第一版Windows事件日志,即WindowsVista之前的版本,包括WindowsNT3.1到WindowsXP或Windows2003,默认事件日志存放位置为%SystemRoot%\System32\Config。第二版WindowsEventLog,即Vista及以上版本包括Vista、Windows7、Windows8、Windows8.1、Windows10、WindowsServer2008/2012/2016等,采用新的文件格式,文件扩展名是.evtx。)因此,在取证过程中应特别注意。使用事件ID进行过滤器搜索时,需要考虑操作系统版本的差异。(3)事件日志文件结构。事件日志文件是一个二进制格式的文件,文件头的签名是十六进制的300000004C664C65。默认情况下,一个新的事件日志文件的事件日志记录是顺序存储的,每条记录都有自己的自己的记录结构特点。但是,当日志文件超过最大大小限制时,系统会删除较早的日志记录,因此日志记录也会不连续地存储,相同的记录分散在不同的扇区位置。Windows事件日志取证分析注意事项Windows操作系统默认不提供删除特定日志记录的功能,只提供删除所有日志的操作功能。有人故意伪造事件日志记录的可能性仍然存在于电子数据取证过程中。如果遇到这种情况,建议检查日志文件中日志记录ID(EventRecordID)的完整性,比如检查记录ID的连续性。通过事件日志记录ID的连续性,可以看出操作系统记录日志的先后顺序。在用户对任何列进行排序之前,Windows事件日志记录列表视图默认按其事件日志记录编号排序。默认情况下,事件日志记录编号自动连续递增,不会丢失单个记录编号。值得注意的是,当Windows操作系统的用户对操作系统进行大版本升级时,操作系统可能会重新初始化事件日志记录号。通过Windows事件日志的取证分析,取证人员可以追溯操作系统、应用程序、服务、设备等的操作行为记录和时间,重现用户在整个系统使用过程中的行为,分析虚拟电子数据站点重构、理解和掌握案件涉及的关键信息。Windows注册表取证要分析Windows操作系统的注册表文件,最简单的查看工具就是Windows自带的注册表编辑器。分析涉案计算机磁盘或镜像文件的注册表,首先将要分析的注册表文件复制到指定目录,然后用注册表编辑器加载,然后查看注册表文件的内容。此方法无法提取和分析已删除的注册表信息。RegistryExplorer分析注册表RegistryExplorerv0.9.0.0是一个非常优秀的注册表分析工具,它像大多数商业取证软件一样支持恢复已删除的注册表信息。它的搜索能力甚至超过了大多数取证分析软件,并且内置了取证常用的书签功能。选择要查看的注册表信息,可以直接跳转到具体位置。RegistryExplorer支持批量添加多个注册表配置单元文件。在电子数据取证过程中使用该分析工具非常方便,尤其是在不清楚关键值存在于哪个注册表文件时,取证人员可以直接加载所有系统注册表文件和多个用户注册表文件(NTUSER.dat),然后对所有注册表文件进行全面搜索。X-WaysForensics分析注册表文件使用X-WaysForensics取证软件分析注册表文件,您可以通过过滤器找到注册表文件,直接双击注册表文件,X-WaysForensics会自动打开一个独立的注册表查看窗口。ForensicDetectiveAnalysis注册表文件ForensicDetectiveAnalysis软件具有内置的注册表分析功能。除了自动提取系统注册表和用户注册表中的操作系统信息、设备信息、软件安装信息和USB设备使用痕迹外,它还可以分析注册表文件以进行高级手动分析甚至数据解码。取证侦探引入取证结果溯源功能,明确告诉取证人员自动取证采集后结果的数据来源,取证人员可以看到取证结果是从哪个文件读取的,并解析数据。法医侦探还可以手动查看和分析注册表文件、数据搜索和数据解码。可以通过关键字搜索注册表文件中的内容,可以设置搜索类型(如键、值或数据)、搜索范围(当前选中的键或整个注册表),也可以使用通配符进行快速搜索搜索。在Windows注册表中,很多数据都经过编码或加密。ForensicDetective内置的注册表分析工具提供了查看注册表原始数据和高级手动解码的功能。经验丰富的取证人员可以对注册表值数据(如十六进制、ROT-13编码)进行解码,取证工具内置了常用的数字和时间数据的解码方法。内存取证Windows内存取证方法与分析技术内存取证通常是指获取和分析计算机及相关智能设备在运行时物理内存中存储的临时数据,提取有价值数据的过程。内存是操作系统和各种软件交换数据的区域。内存中的数据是易失性的,即电脑关机后数据很快就会消失。常见的物理内存获取方式有冷启动攻击(CoolBootAttack)、基于FireWire1394或ThunderboltThunderBolt接口的直接内存访问(DirectMemoryAccess,DMA)获取,以及内存获取软件工具。不同的操作系统需要不同的物理内存获取工具。Windows操作系统平台支持内存获取的常用工具有DumpIt(早期版本名为Winn32dd)、BelkasoftRAMCapturer、MagnetRAMCapture、WinEn、Winpnen、EnCaseImager、FTKImager、ForensicMaster、ForensicDetective。Linux操作系统中支持内存获取的常用工具有dd(适用于Linux早期版本)、LiME、linpmem、Draugr、Volatilitux、Memfetch和Memdump。MacOSX操作系统支持内存获取的常用工具有MacMemoryReader、OSXPmem、ReconforMacOSX、BlackbagMacQuisition。Windows操作系统平台下的DumpIt是一款简单易用的获取计算机内存映像的工具。通常,该工具直接存放在大容量移动硬盘或U盘中,在运行的Windows操作系统上直接运行即可,按照提示操作即可。在获取物理内存数据时,还需要尽量减少对原始内存数据的覆盖,最大限度地提取内存数据。从Windows操作系统获取的物理内存镜像需要用专门的内存分析工具进行分析。常见的内存分析工具有Volatility、Rekall、ForensicToolkit(FTK)、ForensicMaster和ForensicDetective等,这些工具可以用来分析常见的基本信息,包括进程信息、网络连接、加载的DLL文件和注册表加载信息等。
