目录
一、识别和浏览图像缓存(缓存审计工具)
1.1、简介:
调查人员会尝试检查一些提供数据隐藏软件下载的知名网站, 完全有必要分析可疑计算机访问的网站和上网历史。数据隐藏软件很可能是通过进行数据隐藏操作的同一台计算机下载的, 那么分析这台计算机访问过的URL和缓存图像后就可以决定是否有必要对该计算机进行进一步的全面调查。而且, 还能据此判断使用该计算机的嫌疑人是否是某个在线聊天群的成员, 进而发现其发布的一些与数据隐藏相关的信息。
对于取证调查人员来说, 除了浏览可疑计算机中的静态图像外, 检测其中的缓存图像也很重要。如果数据隐藏程序、载体文件和有效载荷文件已经被嫌疑人删除, 但缓存目录中可能还存在相关的图像, 其中可能包含嫌疑人访问数据隐藏软件网站的证据。
以恐怖主义为例, 缓存图像中的某些图像可能是恐怖分子上传到恐怖分子网站, 供另一个狱中的恐怖分子下载的。分析这些缓存图像还能找到数据隐藏软件的使用痕迹, 进而促进隐藏消息的发现。
1.2、STG Cache Audit
简介:
是一个基于Windows的、网页缓存、cookie和历史记录的高级查看器。使用它可以检查可疑计算机的上网行为,通过设定过滤关键字并查看访问过的与某些关键字相关的网站, 还可以根据不同的规则对检测结果进行排序, 生成详细报告。单击“SiteView" 可以查看网站的访问频率。
展示了使用STG Cache Audit检查可疑计算机得到的结果, 即嫌疑人访问过的网站清单。
下载:
(网上都能搜到)
使用:
上面一排是可以选择的检查的
单击“History View" 可以按时间顺序显示历史网络浏览事件, 还可以进一步展开到具
体的URL
用STG Cache Audit 检测访问过的网站
STG Cache Audit 的检测结果可以以多种格式导出, 包括HTML 、纯文本、CSV 和
Excel 表格, 导出结果就是取证调查活动的有效证据信息
用STG Cache Audit 检查历史网络浏览事件
二、缩略图中的痕迹
2.1、简介:
在可疑计算机上还可以检测另一类缓存信息:缩略图。在Windows 操作系统中, 缩略图主要用于快速浏览文件夹中的文件。但是, 大多数人都不知道, 缩略图视图同时还会在文件夹中创建一个thumbs.db文件,该文件夹中存储了图像形式的文件最小版本,还有文件首页(比如,Power Point文件的第一页)等信息。
虽然,我们并不能直接从缩略图中检测到隐藏数据,但的确可以使调查人员从中发现一些可能已经嵌入到了其他文件中的可疑数据。
例如,一个恐怖分子利用隐写技术将一个大厦的地图嵌入到了一个载体文件中,但同时thumb.db文件中也保留了原始地图的缓存版本。如果这个恐怖分子足够聪明,则他会卸载隐写程序,删除原始地图和载体文件。但他可能并不会想到清理其他痕迹,比如,thumbs.db文件中残留的原始地图副本。
2.2、缩略图:
查看缩略图数据库的方法:
win7:
进入Folder Option(文件夹选项), 选择View, 然后在如图10.12所示的界面中取消选择“ Hide protected operating system files"(隐藏受保护的操作系统文件)(在Window 7中,查看路径为:在Windows资源浏览器中选择Organize ----> Folder and Search Options)
win10、win11
设置--->隐私和安全----->开发者模式
(取消勾选)隐藏受保护的操作系统文件
设置完成后,即可利用Windows资源浏览器在当前文件夹中看到thumbs.db文件。
该文件是一直存在的,只是默认情况下是隐藏起来的,需要进行上述设置取消隐藏才可以显示出来。
文档缩略图会被自动保存在当前文件夹的thumbs.db 文件中, 你可以在Windows ME 、Windows 2000 、Windows XP 和Windows 2003 中禁用自动保存缩略图的功能。需要注意的是, 在Windows 2000 的NTFS 分区中, thumbs.db 文件是存储在交换数据流(Alternate Data Stream, ADS) 中的, 因此根本就不会在文件夹中显示。
在Windows Vista 和Windows 7 中, thumbs.db 文件集中存储在用户文件夹中, 位于
%userprofile%\AppData\Local\Microsoft\ Windows\Explorer
2.3、Thumbnail Database Viewer
简介:
是一个免费软件,可以查看和分析thumbs.db 文件。
官网下载:
使用:
通过它你可以浏览缩略图数据库, 可以自行选择待分析的thumbs.db 文件, 也可以通过它的搜索功能找到所有的thumbs.db 文件。此外, 还可以用它浏览当前和上一个缩略图,并为系统中的图像、视频和Power Point 等创建审计轨迹
http://www.itsamples.com/thumbnail-database-viewer.html
2.4、分析:
即便文件被删除了, 它的缩略图也会一直保留在thumbs.db文件中, 除非手动删除thumbs.db文件。即删除了计算机中的所有图像,我们还有机会在thumbs.db文件中找到它们的缩略图。如果文件系统使用EFS加密,但Windows系统未打补丁,那么我们还能以非加密形式显示thumbs.db文件中的图像缩略图。
移动到其他存储介质中。把图像从硬盘拷贝到U盘,同样会在原始硬盘中留下thumbs.db文件,因此, 即使找不到移动介质,我们也能在可疑计算机中找到关键证据。这是到目前为止, 分析可疑计算机中都存储过哪些图像的最有效方法
用户还可以禁用thumbs.db文件。例如, 在Window 7中通过修改注册表来禁用Thumbs.db文件,来隐藏图像的存储证据。将注册表项拷贝到记事本文件中, 保存为disablethumbsdb.reg文件
Windows Registry Editor version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Policies\Explorer]
"NoThumbnai lcache"=chword:00000001(不要瞎搞,后果自负)
双击该文件,将其加入到注册表,然后重启计算机即可。
注: 修改注册表有风险, 后果自负。
三、查找隐藏目录和文件
3.1、简介:
在Windows系统中的交换数据流中。很多工具都可以用来检测交换数据流中隐藏的文件
3.2、LNS
简介:
这个工具为例在交换数据流中查找隐藏文件。
是一个免费软件, 可以用来在安装Windows系统的可疑计算机中检测交换数据流中隐藏的文件。在Ins命令后面加上待查找的路径或者盘符,就可以执行递归查询了
下载:
www.ntsecurity.nu/toolbox/lns/
3.3、streams
简介:
也具备LNS类似的功能,可以在微软的网站下载
Streams将检查您指定的文件和目录(请注意,目录也可以具有备用数据流),并通知您在这些文件中遇到的任何命名流的名称和大小。Streams使用未记录的本机函数来检索文件流信息。
下载:
扫一扫
446
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
