- 实验题目:数字取证基本工具的使用
- 实验日期:
- 实验目的及要求:
- 熟练掌握数字取证基本工具的使用
- 实现数据库文件、属性文件、时间格式、证据的提取与分析
- 实验环境(平台及软件)
- 实验步骤
序号 | 实验环境 | 环境说明 |
1 | iTunes | 苹果设备备份的驱动软件 |
2 | Pphelper | 通过此工具掌握基础的手机逻辑数据获取,涵盖通信录、通话记录、短信等,此工具优点直接,易懂,缺点物理数据无法获取。 |
3 | MOBILedit Forensic | 优点比很多取证工具稳定,提取效果较好。 |
4 | PChangeTime | UNIX时间戳,如下格式工具可以直接转换 |
5 | Pledit | 使用属性工具可以打开文件,解决查看乱码的效果,提高取证效率。 |
6 | SQLiteExpertPersonal | 手机中的数据库多数采用 Sqlite 轻量级数据库存数据,使用此工具能方便 查看对应的库表结构及数据 |
7 | Hash 校验工具 | SHA-1 是一种数据加密算法,该算法的思想是接收一段明文,然后以一种不可逆(单向性)的方式将它转换成一段(通常更小)密文。 |
8 | FTK Imager | 美国知名取证厂商 Accessdata 公司提供的证据获取以及数据 提取的免费工具。 |
- iTunes
- 软件介绍:
iTunes是一款供Mac和PC使用的一款免费数字媒体播放应用程序,能管理和播放数字音乐和视频。由苹果电脑在2001年1月10日于旧金山的Macworld Expo推出。
iTunes程序管理苹果电脑iPod数字媒体播放器上的内容。此外,iTunes能连线到iTunes Store(假如网络连接存在),以便下载购买的数字音乐、音乐视频、电视节目、iPod游戏、各种Podcast以及标准长片。
它原来是由Jeff Robbin和Bill Kincaid开发,作为一个MP3播放程序被称为SoundJam MP,并且由Casady & Greene在1999年发表。在2000年被苹果电脑购买,给予一个新的使用者界面并且有能力烧录CD,拥有它的记录功能,并且移除面板支持,以及发表做iTunes。起初仅于Mac OS 9的应用程序,随版本2发行的九个月后Mac OS X支持被加入,随版本3的发行Mac OS 9的支持被停止。在2003年10月,与iTunes 4.1 的发行一起,Apple加入对Windows 2000与Windows XP的支持。不过,自Microsoft的最新操作系统Windows Vista发行以后,苹果电脑声称有数个已知的兼容性问题伴随iTunes软件。苹果电脑将很快地发行一个新版本以修正问题。已经可以在win7上运行iTunes了。
iTunes可从苹果电脑的网站免费下载取得,也随所有的Macintosh电脑与一些iPod附带并且提供给Mac OS X。它也提供作为苹果电脑的iLife多媒体应用程序套件的一部分。
- 实验步骤
- 用数据线连接手机
- 修改备份路径
- 开启备份
- 备份成功
- Hash 校验工具
- 软件介绍:
Hash Verification哈希值校验工具是一款小巧的哈希值校验工具,可以快速校验任意文件的MD5、SHA1、SHA256、CRC32校验码。程序提供2种校验算法,分别是内置哈希算法和Windows哈希算法,两种算法的结果应该一致。提供2种算法的好处是可以软件内自行对比校验结果,增强结果的可信度;可以适合更广泛的操作系统,避免某种算法在部分系统上无法使用导致无法给出有效结果;若结果不一致可以及时发现系统存在异常。
本程序无需安装,只要双击运行HashVerification.exe即可运行程序。在主界面标签上拖拽或者单击选择一个文件后即可自动计算该文件的校验值,可以支持任意文件类型,可以支持任意文件大小。
程序支持自适应语言,可以根据您的系统语言自动调整程序显示语言。如您需要指定特定语言,也可以在程序文件夹下新建一个名为“Settings.ini”的文件,在其中添加一行命令:Language=XXX。XXX可以替换为Auto、Chinese、tChinese、English。
本程序支持在系统中所有文件的右键菜单中添加一个快捷链接,通过单击该链接可以快速查看任意文件的校验码。启用该功能的方法是首先运行 HashVerification.exe,然后在主窗口任意位置单击右键,在选项菜单中开启对应的功能即可。此功能开启后,下次再进行校验时,只需到要校验的文件上单击右键,点击“文件校验”即可实现快速校验。
本程序基于Microsoft .NET Framework 2.0.开发,可以支持Windows XP、Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11等全系列Windows操作系统。
- 实验步骤:
1.依次点击“开始”——“文件工具”——“hash文件信息校验”。就可以打开hash文件信息校验工具。
2.点击“浏览”按钮,打开文件选择窗口。
3.在选中要检验的ISO镜像文件之后,点击“打开”。
4.然后就只需等待文件信息校验完成即可。
- Hash 校验工具
- 软件介绍:
Hash Verification哈希值校验工具是一款小巧的哈希值校验工具,可以快速校验任意文件的MD5、SHA1、SHA256、CRC32校验码。程序提供2种校验算法,分别是内置哈希算法和Windows哈希算法,两种算法的结果应该一致。提供2种算法的好处是可以软件内自行对比校验结果,增强结果的可信度;可以适合更广泛的操作系统,避免某种算法在部分系统上无法使用导致无法给出有效结果;若结果不一致可以及时发现系统存在异常。
本程序无需安装,只要双击运行HashVerification.exe即可运行程序。在主界面标签上拖拽或者单击选择一个文件后即可自动计算该文件的校验值,可以支持任意文件类型,可以支持任意文件大小。
程序支持自适应语言,可以根据您的系统语言自动调整程序显示语言。如您需要指定特定语言,也可以在程序文件夹下新建一个名为“Settings.ini”的文件,在其中添加一行命令:Language=XXX。XXX可以替换为Auto、Chinese、tChinese、English。
本程序支持在系统中所有文件的右键菜单中添加一个快捷链接,通过单击该链接可以快速查看任意文件的校验码。启用该功能的方法是首先运行 HashVerification.exe,然后在主窗口任意位置单击右键,在选项菜单中开启对应的功能即可。此功能开启后,下次再进行校验时,只需到要校验的文件上单击右键,点击“文件校验”即可实现快速校验。
本程序基于Microsoft .NET Framework 2.0.开发,可以支持Windows XP、Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11等全系列Windows操作系统。
- 实验步骤:
1.依次点击“开始”——“文件工具”——“hash文件信息校验”。就可以打开hash文件信息校验工具。
2.点击“浏览”按钮,打开文件选择窗口。
3.在选中要检验的ISO镜像文件之后,点击“打开”。
4.然后就只需等待文件信息校验完成即可。
- SQLiteExpertPersonal(sqlite 数据库管理工具)
- 软件介绍:
SQLite Expert是一个功能强大的工具,旨在简化SQLite3数据库的开发。它是SQLite的一个功能丰富的管理和开发工具,旨在满足所有用户从编写简单SQL查询到开发复杂数据库的需求。
图形界面支持所有SQLite功能。它包括一个可视化查询构建器,一个带语法高亮和代码完成的SQL编辑器,可视化表和视图设计器以及强大的导入和导出功能。
- 实验步骤:
1、启动之后我们必须先建立一个新的资料库,点选左上角红色框框新增资料库,并输入相关设定。
2、新增完资料库后,界面右边可以看到刚刚新增的资料库postman ,在资料库上点选滑鼠右键,选择New Table来新增需要的表。
3、先输入Table name,这里输入post_ code,并且在下面Fields 的部分新增需要的资料表的列。这里要注意的是如果要使用自动递增auto increment功能的话,必须要把该列的Type设定成INTEGER。新增完成后点选下方的Apply.
- Pledit(属性查看工具)
- 软件介绍:
Pledit是一款用于查看和编辑Windows系统中文件属性的工具。它可以显示文件的详细信息,包括文件大小、创建日期、修改日期、访问日期、文件版本号、文件路径等等。此外,Pledit还可以用于编辑文件的属性,例如文件名称、文件版本号等。
- 实验步骤:
(1)下载并安装Pledit软件;
(2)打开Pledit软件,点击“打开”按钮,选择需要查看属性的文件;
(3)在“属性”选项卡中,可以查看文件的各种属性信息,例如大小、创建日期、修改日期、访问日期等;
(4)在“版本”选项卡中,可以查看文件的版本号信息;
(5)在“字符串表”选项卡中,可以查看文件中包含的字符串信息;
(6)在“图标”选项卡中,可以查看文件的图标。
以下是使用Pledit编辑文件属性的实验步骤:
(1)打开Pledit软件,点击“打开”按钮,选择需要编辑属性的文件;
(2)在“属性”选项卡中,可以编辑文件的名称、版本号等属性信息;
(3)点击“保存”按钮,保存修改后的文件属性;
(4)如果原文件被占用,则需要先释放文件占用,再进行编辑操作。
- Pphelper(PP 助手)
- 软件介绍:
PP助手是一个免费的iOS设备管理工具,可以用于下载、安装和管理iOS设备上的应用程序和游戏。
- 实验步骤
(1)下载并安装PP助手软件,可在官网下载或在第三方下载网站下载。
(2)连接iOS设备到计算机上,打开PP助手软件。
(3)在PP助手界面上,可以看到设备的基本信息,包括设备名称、操作系统版本、序列号等。
(4)在“应用”选项卡中,可以搜索并下载喜欢的应用程序和游戏。也可以在“游戏”选项卡中找到热门游戏,例如王者荣耀、绝地求生等。
(5)在下载应用程序或游戏时,需要先在设备上安装PP助手的插件。安装完成后,可以通过PP助手直接安装应用程序和游戏,也可以将下载好的IPA文件拖到PP助手的安装界面中安装。
(6)在“我的应用”选项卡中,可以管理已安装的应用程序和游戏,包括卸载、导出、更新等操作。
(7)在“工具箱”选项卡中,可以进行一些设备管理工具的操作,例如备份、恢复、重置设备等。
- FTK Imager
- 软件介绍:
FTK Imager是一款由AccessData公司推出的数字取证工具,主要用于采集、分析和保存电子设备上的数据。它可以在Windows、Linux和MacOS等多个操作系统上运行。
FTK Imager主要有以下几个功能:
采集数据:可以采集电子设备上的数据,包括硬盘、USB驱动器、光盘、SD卡、手机等设备上的数据。
分析数据:可以分析采集到的数据,包括查看文件内容、文件属性、文件系统等信息。
导出数据:可以将采集到的数据导出到本地计算机上,支持多种格式,如E01、DD、RAW等。
- 实验步骤:
以下是使用FTK Imager进行数字取证的基本步骤:
- 下载安装FTK Imager软件,并打开软件。
- 在主界面上选择“File”-“Create Disk Image”,选择要采集的设备,设置采集选项,如采集格式、数据范围等,选择保存路径,最后点击“Start”开始采集数据。
- 采集完成后,在主界面上选择“File”-“Add Evidence Item”,选择采集到的数据文件,添加到分析列表中
(4)可以通过“View”菜单查看文件列表、文件属性、文件内容等信息,也可以通过搜索功能查找特定文件或关键字。
(5)在分析完成后,可以将数据导出到本地计算机上,支持多种格式,如E01、DD、RAW等。
总的来说,FTK Imager是一款功能强大、易于使用的数字取证工具,可以帮助取证人员采集、分析和保存电子设备上的数据。
- MOBILedit Forensic (捷克手机取证工具)
- 软件介绍:
MOBILedit Forensic支持多种手机操作系统,包括Android、iOS、Windows phone等,并且可以解析多种数据格式,包括短信、通话记录、通讯录、图片、视频等。该软件界面简洁,操作简单,适合初学者使用。
- 实验步骤:
(1)下载并安装MOBILedit Forensic软件。
(2)连接手机并选择手机操作系统。MOBILedit Forensic支持多种连接方式,包括USB、WiFi、蓝牙等。
(3)选择需要提取的数据类型。MOBILedit Forensic支持多种数据类型的提取,包括短信、通话记录、通讯录、图片、视频等。
(4)开始提取数据。MOBILedit Forensic会自动搜索手机中的数据,并将其提取到计算机中。
(5)分析数据。MOBILedit Forensic提供了多种分析工具,可以帮助用户更好地理解提取的数据。
(6)导出数据。MOBILedit Forensic支持多种数据格式的导出,包括Excel、PDF等。
- PChangeTime(时间转换工具)
- 软件介绍:
PChangeTime是一款Windows平台下的免费软件,可以修改文件的创建时间、修改时间和访问时间。它可以用于一些需要修改文件时间戳的场景,例如文件备份、调整照片拍摄时间等。
- 实验步骤:
- 下载PChangeTime软件,并解压缩至任意文件夹中。
- 打开PChangeTime软件,点击使用当前时间按钮。结果如下图。
-
填写需要的时间戳。
数据文件的信息:
-
-
填写时间戳:
- 点击转换即可看到转换的结果。
- 实验心得:
通过本次实验,对数字取证的全流程有了更加全面详细的了解。
在实验中遇到的困难有:
1.在使用Pphelper进行越狱时,可能会遇到设备无法连接或者越狱失败的情况,需要多次尝试或者更换设备进行越狱。
2.在使用SQLiteExpertPersonal查看数据库文件时,可能会遇到文件损坏或者无法打开的情况,需要使用其他工具进行修复或者恢复。
3.在使用Hash校验工具计算文件哈希值时,可能会遇到计算时间较长或者无法计算的情况,需要检查文件是否正确或者使用其他工具进行计算。
4.在使用FTK Imager获取硬盘镜像时,可能会遇到硬盘坏道或者无法识别的情况,需要使用其他工具进行修复或者恢复。
5.在使用MOBILedit Forensic获取移动设备数据时,可能会遇到设备无法连接或者数据无法获取的情况,需要检查设备是否正确连接或者使用其他工具进行获取。
通过解决这些困难让我得知,实践出真知,更加巩固复习并且学习到了新的知识。数字取证在日常生活中学习数字取证可以帮助个人、组织或机构收集、分析和保护数字证据,包括文件、图像、视频、音频和其他数字数据。数字取证技能对于许多行业都非常重要,包括法律、执法、企业安全、信息技术和网络安全等领域。通过学习数字取证:
(1)帮助了解数字证据:数字取证可以帮助人们了解数字证据的来源、格式、存储方式和解释方式。
(2)收集证据:学习数字取证可以帮助人们正确地收集证据,以确保证据的完整性和准确性。
(3)分析证据:数字取证可以帮助人们分析证据,以确定其是否与案件有关,以及帮助人们更好地理解证据的含义。
(4)保护证据:学习数字取证可以帮助人们保护证据,以防止证据被篡改、删除或损坏。
(5)帮助取证过程:数字取证可以帮助人们更好地了解取证流程,包括数据的收集、分析和保护等方面。
(6)帮助解决案件:数字取证可以帮助人们解决各种案件,包括法律案件、企业安全案件、网络安全案件等。