取证技术
Misc题目类型:流量包、日志文件、磁盘内存镜像
用到的工具:Wireshark和Tshark
一般是PCAP格式的流量文件
流量分析常见操作
Wireshark的“统计”菜单可以查看流量包的大致情况,如包含哪些协议,哪些IP地址参与了会话等。
协议分级统计和会话统计帮助快速定位到需要分析的点。
TCP流功能,选中某条数据包,右键单机追踪TCP流,即可获取该TCP会话中双方传输的所有数据。
导出对象功能(“文件”菜单中,可以方便的提取传输过程发送的文件等信息)
内存镜像取证
题目的形式:提供一个完整的内存镜像或一个核心转储文件,需要分析内存中正在执行的进程等信息,解出所需的内容。
工具:Volatility
操作:
首先确定镜像是何种操作系统的,命令imageinfo即可获取镜像信息。
需要获取的是计算机在这一时刻运行了哪些进程。
Volatility提供了众多的分析进程的命令,如pstree、pesscan、pslist……
filescan命令可以对打开的文件进行扫描。
命令dumpfile和memdump命令将相关数据导出,然后对导出的数据进行二进制分析。
小结:只要熟悉Volatility工具的常用命令,并能够对结合其他类型的知识(图片隐写、压缩包分析等)对提取出的文件进行分析,便可轻松解决。
磁盘镜像取证
题目形式:提供一个未知格式的磁盘镜像,需要分析使用者留下的使用痕迹,找出隐藏的数据。
操作:
首先确定磁盘的类型,并挂载磁盘,可以通过UNIX/Linux自带的file命令来完成。
确定类型后,可以使用“fdisk-l”命令查看磁盘中的卷信息,获取各卷的类型、偏移量等。
然后使用“mount”命令将磁盘镜像挂载。
mount命令格式:
mount -o 选项 -t 文件系统类型 镜像路径 挂载点路径
挂载完成后,按照普通的取证步骤,对文件系统中的使用痕迹进行分析。
例如, 在Linux文件系统中的“.bash_history”文件和windos下的recent文件夹中会存在对文件系统的操作历史记录。
在获取到可以文件后,即可提取出来进行二进制分析,大部分情况下, 可以文件本身会使用其他的信息隐藏技术,如隐写术等。
PS:当对文件的分析遇到瓶颈时,不妨了解文件系统本身的特性,以此来寻找突破口。
例如:
EXT系列文件系统的inode恢复、FAT系列文件系统中的FAT表恢复,APFS文件系统的快照特性和纳秒级时间戳特性等。
磁盘镜像取证小结
与内存取证题目类似,往往与压缩包分析、图片隐写等类型的提米结合,只要熟悉常见的镜像,能够判断出镜像种类并挂载或提取出文件,再配合对文件系统的一定了解,便可以顺利地解决硬盘取证相关的题目。
隐写
图片隐写原理:在文件尾部附加其他数据,而一般的图片查看器会忽略掉。
常见的文件头、尾
分离附加文件
使用的工具:Binwalk
LSB(最低有效位隐写)
常用工具:Stegsolve,除了提取出隐藏的字符串,还可以查看图片不同的通道,对图片进行异或对比等操作。
使用方法,提取图片R、G、B三个通道的最低有效位,同样可以提取出隐藏在图片中的字符串。
对于PNG和BMP图片中的LSB等常见的隐写方式,也可以使用zsteg工具直接进行自动化的识别和提取。
视频、音频里的盲水印提取
工具:BlindWaterMark工具(在github下载)
音频中的频谱隐写则可以使用Adobe Audition等工具直接查看频谱从而拿到flag
压缩包加密
方法1:直接暴力破解,工具:windows用ARCHPR,linux用fcrackzip
方法2:伪加密:Binwalk工具的“binwalk-e”命令可以无视伪加密,直接从压缩包中提取文件。
以上,大致的解题思路就是这样,多练题才是王道。