windows系统取证
诺卡德交换原理
当两个对象接触时,物质会在这两个对象之间产生交换或者传送。
证据保全
- 保证数据的真实性
- 保证数据的完整性
固定证据
- 固定易丢失的证据
- 固定硬盘
- 部分文件的固定
文件系统
概念
文件系统是操作系统用于明确存储设备或分区上的文件的方法和数据结构,即在存储设备上组织文件的方法。
常见的文件系统
- FAT文件系统
- NTFS文件系统
- ExFAT
- Ext
深入获取
重要性
Windows初始响应在收集易丢失的证据之后,可以继续进行一些调查。两个关键的证据来源是事件日志和目标系统上的注册表。这样,在大多数调查中,就需要对这两个目标进行彻底的调查。
深入获取的途径
- 事件日志
- 注册表
- 系统密码
- 转储易失性数据
日志
三个核心日志:
- System
- Security
- Application
日志事件类型
- 信息(Information):信息事件指应用程序、驱动程序或服务的成功操作的事件。
- 警告(Warning):警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。
- 错误(Error):错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。
- 成功审核(Success audit):成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“ 成功审核”事件。
- 失败审核(Failure audit):失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。
查看日志
windows自带的事件查看器
注册表
概念:注册表由键、子键和值项构成,一个键就是分支中的一个文件夹,而子键就是这个文件夹中的子文件夹,子键同样是一个键。一个值项则是一个键的当前定义,由名称、数据类型以及分配的值组成。一个键可以有一个或多个值,每个值的名称各不相同,如果一个值的名称为空,则该值为该键的默认值。通常,值是0或1,意味着开或关,也可以包含通常以十六进制显示的更复杂的信息。
访问注册表
windows中带的regedit
收集线索数据
- 系统时间:系统时间为以后获取的数据信息构建了时间上下文环境,并且会为系统事件时间线的正确分析提供帮助。
- 打开的文件
- 进程列表:1 系统进程2 用户进程3 开始运行处的进程4 进程分析(操作文件、注册表或者访问网络的情况)
- 进程到端口的映射
- 剪贴板内容
- 服务/驱动信息
- 命令行历史
- 映射的驱动器
- 共享:获取系统中共享给网络的资源。
- 非易变信息:注册表设置 事件日志 设备和其他信息
- 文件和目录
网络信息
概念
入侵者获得访问权限后,有时想要知道网络中还有哪些其他系统可以通过被入侵的系统访问。
网络信息有哪些
- 网络连接:一旦发生了安全事件,就应该收集针对被影响系统的网络连接信息。随着时间的流逝,连接信息会慢慢过期,时间越久,丢失的信息越多。
- 网络轨迹:所谓网络轨迹,是指系统访问网络之后留下来的一些记录。犯罪嫌疑人在利用网络进行犯罪,或因为犯罪嫌疑人对计算机不是很了解,或因为犯罪嫌疑人的疏忽大意,会在Windows系统上留下一些记录。
- 系统服务:计划任务服务 共享服务 远程控制和远程访问服务
用户分析
攻击者通常会在他得到控制权的系统上添加一个管理员帐号,或者将克隆管理员帐户(Administrator)权限到来宾帐户(Guest)
windows取证工具
- ENCASE
- MD5校验值计算工具: md5sum
- 进程工具:pslist
- 注册表工具:autoruns
- 网络查看工具: fport
- 网络查看工具: netstat
- 服务工具:psservice