电子取证学习笔记(一)--电子取证简介&痕迹的提取与分析&日志分析

0x00 前言

一直碰到内存取证的题,但不太会做。但内存取证又是电子取证中的内容。所以简单先开始学习一下电子取证!

0x01 取证简介

1、什么是电子取证

电子取证是指利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。从技术方面看,计算机犯罪取证是一个对受侵计算机系统进行扫描和破解,对入侵事件进行重建的过程。具体而言,是指把计算机看作犯罪现场,运用先进的辨析技术,对计算机犯罪行为进行解剖,搜寻罪犯及其犯罪证据。(来源:百度百科)

简单来说,就是利用计算机软硬件技术,对犯罪行为进行证据进行证据获取、保存、分析和出示的过程。

2、取证的基本流程

1.确定电脑罪犯
2.收集初步证据
3.获取扣押令(如有需要)
4.风险评估
5.在犯罪现场扣押证据,证据编号并安全锁定
6.将证据文件送往鉴定实验室
7.对证据文件建立两份电子副本,不能改变修改原始磁盘
8.生成镜像的(MD5)检验码
9.维护证据链
10.将原数据文件放在安全场所
11.检查证据文件镜像副本
12.标本鉴定报告
13.向客户提交报告
14.如有需要,作为鉴定证人出法庭作证
来源:https://www.cnblogs.com/AnSen001/p/10990762.html

3、取证设备及软件

1.Encase
1.取证大师
1.DC4501
1.winhex
等等
在这里插入图片描述

0x02 痕迹的提取与分析

1、系统痕迹

1.使用cmd获取系统安装的时间(systeminfo)
cmd提示符输入命令:systeminfo
在这里插入图片描述
可以看到一些系统相关信息。其中我们我们看到系统初始安装时间为2019/11/17, 22:43:26(可在注册表修改)
2.注册表提取键值分析
打开注册表命令:regedit
路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\installDate
获取到时间戳:1574001806(更改时间戳,可修改系统初始安装时间)
在这里插入图片描述
对提取到的十进制键值,使用时间转换网址转换:http://tool.chinaz.com/Tools/unixtime.aspx
在这里插入图片描述
其他系统痕迹提取类似。

2、用户痕迹

1.最近访问记录
打开相关软件看最近访问记录(如:office软件等)
cmd提示符输入命令:recent
2.Recent文件夹分析
C:\Users\ASUS\AppData\Roaming\Microsft\Windows\Recent (ASUS当前登录的用户名)
在这里插入图片描述
3.注册表提取键值分析
路径:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDos
在这里插入图片描述
还有其他方法,暂不举例

3、运行程序痕迹

1.Windows预读文件
为了提升系统性能,在计算机运行程序时把一些prefecth下的*.pf文件存到内存中:C:\Windows\prefetch
正常情况下,需要Administrators用户才能打开文件夹。本地测试,也可以打开“属性”,设置相应权限
在这里插入图片描述
可使用WinPrefetchView工具分析这些.pf文件,下载地址
在这里插入图片描述
2.注册表中运行程序分析(ROT13加密)
HKFY_SURRFNT_USER\Software\Microsoft\Windows\CUrrentVersion\Explorer\UserAssist
在这里插入图片描述
pnyp.rkr进行rot13解密得到calc.exe

0x03 日志分析

1、常见的Windows事件(eventvwr.msc)

1.事件保存的位置C:\Windows\System32\winevt\Logs
在这里插入图片描述
2.事件日志记录的内容有
用户登录或注销
远程访问审计
即插即用设备的使用
系统时间的修改记录
无线网络的接入
等等…

2、用户登录或注销

日志文件Microsoft-Windows-User Profile Service%4Operational.evtx
Windows用户登录或注销的事件日志正常流程:

  • ID=1, 已收到用户在会话1上的登录通知。
  • ID=5,加载了注册表文件
  • ID=67, 登录类型: Regular,本地配置文件位置: C:\Users\Binarydata
  • ID=2, 已完成处理用户在会话1上的登录通知。
  • ID=3, 已收到用户在会话1上的注销通知。
  • ID=4,已完成处理用户在会话1上的注销通知。

在这里插入图片描述

3、无线网络的接入

日志文件Microsoft-Windows-NetworkProfile%4Operational.evtx
在WLAN- AutoConfig和NetworkProfile日志文件中有相关信息
在这里插入图片描述
在这里插入图片描述

4、移动设备(即插即用设备的使用)

1.系统事件日志
直接使用事件查看器的筛选功能筛选EventID=20001,20003
2.Windows事件日志
Microsoft-Windows -Kernel-PnP%4Device Configuration
Kernel-PnP: EventlD=400、410、430
Microsoft-Windows-UserPnp/Devicelnstall (8001, 8002)
3.文件记录
Win2000/XP: %windir%\Setupapilog
Win7/Win8: %windir%\lINF\Setupapi.dev.log
Win10/C:\Windows\INF\setupapi.app.log

5、远程桌面

1.远程桌面连接相关日志文件
Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx
2.EventID描述:

  • 21 远程桌面服务:会话登录成功
  • 22 远程桌面服务:已收到Shell启动通知
  • 23 远程桌面服务:会话注销成功
  • 24 远程桌面服务:会话已断开连接
  • 25 远程桌面服务:会话重新连接成功

在这里插入图片描述

6、日志分析工具:LogParser

下载地址
语法:

-i: 指定文件类型
-o: 输出方式
select * from where id=? 基本查询语法

例子:

LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM D:\Security.evtx"
#查看完成登录的用户
LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM D:\Security.evtx where EventID=4624"
LogParser.exe -i:EVT -o:DATAGRID "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username FROM D:\Security.evtx where EventID=4624"
LogParser.exe -i:EVT -o:DATAGRID "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username,EXTRACT_TOKEN(Strings, 8, '|') as LogonType,EXTRACT_TOKEN(Strings, 17, '|') AS ProcessName,EXTRACT_TOKEN(Strings, 18, '|') AS SourceIP FROM D:\Security.evtx where EventID=4624"

在这里插入图片描述
在这里插入图片描述

0x05 后记

本篇记录了电子取证简介、痕迹的提取分析和日志分析,下一篇记录内存取证
参考:
LogParser从入门到实战
漏洞银行丨Windows取证艺术赏析丨咖面85期


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 qwzf1024@qq.com

×

喜欢就点赞,疼爱就打赏