超级会员免费看
私有云存储取证:SeaFile案例研究
1. Server Forensics概述
在对SeaFile服务器进行取证时,需要对服务器上的工件进行识别、保存、收集和分析。
2. 证据源识别
通过回顾从SeaFile客户端恢复的同步、文件管理以及认证和加密元数据,可以在网络捕获、提交文件、ccnet.config、latest_account.xml、group.com.seafile.seafilePro.plist和seafile.log文件中定位服务器的名称和逻辑地址。假设托管SeaFile实例的物理服务器位于执法机构的管辖范围内。
3. 证据收集和保存
- 物理隔离 :为防止证据源被进一步篡改,将服务器从网络断开。为便于研究,对扣押的服务器进行逐位镜像(采用原始dd格式),并使用raw2vmdk将镜像转换为.VMDK格式,这样就能使用VMWare播放器启动取证镜像,进而访问SeaFile服务器的MySQL数据库以及服务器环境中数据仓库上传的文件。
- 远程收集 :可以通过Web API调用从SeaFile服务器远程收集工件,具体步骤如下:
- 从管理员或客户端设备获取管理员凭据。
- 使用“obtain auth”API调用创建Web API调用的授权令牌,例如:
curl –d "username=<Email Address>&password=<Password>" 
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
