告别金秋十月,迎来仲冬十一月,同时迎来的是首届电子数据取证小程序大赛。随着投稿截止时间的一天天到来,越来越多的用户参与到本次小程序大赛,用自己的力量参与取证知识创新,为营造良好的取证技术生态赋能。
上期美美通过第四届美亚杯中国电子数据取证竞赛中与FTP日志解析相关的部分题目为大家介绍了一种对电子数据进行提取和分析的取证小程序(了解更多:技术分享 | 取证小程序开发之第四届美亚杯FTP日志分析快速解题),小伙伴们学会了吗?本期美美将为大家介绍另一种类型的取证小程序,快快往下浏览了解吧~
取证小程序实战
在美亚杯比赛时,证据文件硬盘信息的知识点是必考的,在第三届和第四届美亚杯都有出现相关考题,而取证软件不一定都有直接答案,下面来了解下如何使用取证小程序解决第四届美亚杯资格赛中涉及硬盘信息的题目。
第四届“美亚杯”中国电子数据取证竞赛题目(部分)
取证小程序快速编写技巧
取证小程序分为应用解析和功能扩展两种类型。应用解析主要是检测提取某种应用软件的数据,解析并入库到取证大师的取证结果中。功能扩展主要是针对取证结果进行二次分析,可结合图形可视化进行展示等。下文将为大家介绍的证据文件硬盘信息小程序便是功能扩展类型的小程序。
1. 了解取证大师小程序接口
通过点击取证大师小程序管理界面->帮助->接口说明,可以查看一些封装好的接口说明。以下介绍部分封装好的接口模块。
forensics.db模块主要是对数据库的操作,包括案件数据库或者其他sqlite数据库。功能扩展小程序可通过调用这个模块的接口来读取取证结果进行二次分析。
forensics.file模块主要是取证大师结构化后的文件信息获取接口,可通过这些接口遍历证据文件并获取文件信息,如文件名、大小、子文件等等。
forensics.gui模块是一些封装好的gui接口,可帮助用户快速创建人机交互界面。
forensics.utility模块封装了一些常用功能的接口,如层级创建目录、格式化目录路径等等。
2. 编写取证小程序功能扩展-证据文件硬盘信息
第一步,使用gui接口,构建交互窗体,用以展示证据文件中的硬盘信息。
第二步, 通过file.fm_get_device_list()接口获取设备列表,遍历设备列表,获取硬盘、硬盘镜像以及分区进行信息获取。
第三步, 通过调用file.FmHardDiskInfo来获取硬盘信息并进行展示。
第四步, 遍历当前硬盘下的子文件,获取硬盘下的分区。
第五步, 通过调用file.FmVolumeInfo来获取分区信息并进行展示。
3. 利用证据文件硬盘信息小程序进行解题
运行编写好的证据文件硬盘信息小程序,即可展示证据文件中的硬盘信息,通过这些信息可快速进行解题。
5104
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
