准备工作:要求录屏的提前测试录屏软件,加密容器(VeraCrypt),取证软件的授权
拿到容器密码后第一时间将检材文件优先解压到 ssd 中(不要放在移动硬盘里),并开始分析
安卓手机
app分析:星源平台,雷电 APP 智能分析
手机分析:盘古石手机取证,手机取证大师,火眼证据分析软件V4
1.开打开发者选项(usb 调试)
2.全盘加密,重启之后第一次需要输入密码(类似 windows 的 bitlocker)
3.隐私空间/应用分身(文件夹的结构)0/999
4.应用锁/隐私锁/保险箱
5.图片(华为的缓存是在 sqlite 库中,可以导出)
6.日志文件,记录应用数据的 db 库,软件无法提取的时候需要手工查看
7.sms 记录有没有被篡改,vx 的附件有没有被篡改,记录中的文件 md5 值于数据库中不一致(真实性的案件),数据中的 id 是否连续
电脑检材
电脑分析:盘古石取证,取证大师,火眼证据分析软件V4
1.软件做过什么操作,日志,数据库中的记录,
2.电脑的密码,浏览器记录的密码(需要电脑的密码),bitlocker 的密码,vc 加密卷
3.个人使用的习惯,桌面,文档,wps 备份,notepad 缓存,windows(最近打开的文档或者程序)
4.找文件,加密文件,表格,压缩包。(用其中一个题目中涉及到的时间去推其他的题目中要求的文件的大致范围时间)
5.电脑中的控制软件,向日葵,todesk,RustDesk,安卓模拟器的群控
6.虚拟机硬盘,容器的硬盘,(套壳使用 winhex 去全区搜索)
全虚拟化,hyper-v,ESXI,kvm,PVE
半虚拟化,VirtualBox,vm 桌面版 (中间存在操作系统层)
容器,wsl
7.文件恢复的逻辑,固定的文件格式,文件删除之后恢复的原理
8.加密的文件(表格,acess 数据库,压缩包)passware(密码规则 8 位的数字),一般来说需要密码库,题目中提到密码的位数和部分掩码 177******30
9.ai 换脸,作弊软件,
服务器
1.历史命令,fstab、ssh、 绕过密码(仿真软件可以做到)centos7 的密码绕过,mysql 的密码绕过,windows 的密码绕过
2.系统环境的搭建,环境(java、php、.net) ,数据库(redis、mysql、mssql、sqlite)
3.网站的权限,数据库的权限,备份脚本,启动脚本