Windows环境取证

已于 2024-03-13 09:12:50 修改
阅读量2.7k 收藏 32
点赞数 24
分类专栏: 网络安全 电子取证 安全 文章标签: windows 安全 安全威胁分析 网络安全 系统安全
于 2024-03-13 09:10:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/stillaway/article/details/136669566
版权

  当前多数个人计算机使用微软的操作系统平台,所以计算机取证调查人员应通过掌握微软的系列文件来了解Windows和DOS操作系统下,计算机储存文件的方式。尤其是引导过程、FAT系列和NTFS的相关知识。操作系统储存文件的方式决定了隐藏数据的位置。当以取证调查为目的检查一台计算机时,就需要找到这些隐藏位置,检查是否隐含了能作为犯罪或违规证据的文件或文件片段。

实验内容

FTK Imager展开计算机取证:

实验过程与结果(可贴图)

一、利用FTK Imager 进行取证复制

1、开启FTK Imager的磁盘备份创建模块

2、打开镜像创建界面

3、镜像格式选择

4、证据信息输入界面

5、镜像目的对话框

6、AD加密凭据

7、完成设置的镜像创建

8、FIK Imager 进行镜像验证

9、FTK Imager的取证镜像验证结果

10、FTK Imager进行取证镜像制作后生成的文件

11、FTK Imager的磁盘文件和目录初步分析结果

二、利用X-Ways Forensics进行取证复制

1、开启X-Ways Forensic的磁盘备份创建模块

X-Ways Forensic展开计算机取证

  1. 打开镜像创建界面

3、镜像格式选择

4、证据信息输入界面

5、镜像目的对话框

6、AD加密凭据

7、完成设置的镜像创建

8、X-Ways Forensic 进行镜像验证

9、X-Ways Forensic 的取证镜像验证结果

10、X-Ways Forensic 进行取证镜像制作后生成的文件

  1. X-Ways Forensic 的磁盘文件和目录初步分析结果

  • Windows注册表调查

1、打开可信任的CMD.exe文件,并存储在指定目录中

2、使用reg命令将注册表中的项目输出并存储在指定目录中

  1. 使用MD5工具固定证据

使用windows powershell自带MD5:

4、使用diskgenius工具查看注册表信息

  • Windows文件目录调查

1、自启动目录。

以winXP举例。由于winXP没有安装任何应用,所有目录下为空。

2、Windows系统中的重要目录。

以WinXP为例主要在主目录、Documents and Settings目录和 Windows目录。

以Win10为例主要为windows目录。

  • Windows日志调查
  1. 事件日志的调查

查看事件日志的标准机制是使用事件查看器,通过cmd运行eventvwr可启动。

2、网络日志的调查

(1)查看winXP防火墙日志

防火墙日志默认是关闭的,需要自行打开。在cmd运行firewall.cpl

打开完成,进入windows目录即可查看。

(3)HTTP日志。存放于windows\System32\Logfiles文件夹中,其中HTTPERR目录仅记录错误信息。

  • Windows的进程和网络痕迹调查

1、系统进程

2、用户进程

3、开始运行处进程

  1. 进程查看

pslist列出系统正在运行的进程状况:

netstat列出系统当前连接状况:

Windows取证
风炫的博客
03-26 7405
Windows取证 基础 取证通常作为一个公司的事件响应调查人员或者司法调查的取证人员,通过调查被入侵的机器,将被入侵者的行为轨迹梳理出来,还原整个入侵的过程。对于入侵者而言,了解电子取证,可以更全面的了解到自己能够在系统中留下的痕迹,从而具有针对性的消除痕迹,而对于取证人员来说,电子取证无疑是了解整个入侵过程的关键。电子取证近年来也发展为了一个独立的学科,其中在安全竞赛中,电子取证也作为一部分考察内容,被纳入到杂项的大类中,也有只考察取证的竞赛。下面从技术层面介绍Windows取证的相关知识。 审查日志
Windows取证分析
kanone0seele的专栏
06-23 5452
RT
取证FTK Imager学习笔记
shy的博客
10-11 3373
1)物理驱动器整个驱动器,如:识别到的是整块硬盘、U盘等,而不管你分几个分区;2)逻辑驱动器(L)分区,如:一块硬盘分C盘、D盘等;3)映像文件(I)镜像文件,如:DD、E01等镜像文件;4)文件夹内容(F)文件夹,就是可对文件夹做出镜像;5)Fernico设备(多个CD/DVD)(D)对光盘做镜像;
【电子数据取证】E01、dd等文件如何手动仿真
longxintec的博客
07-24 1489
总而言之,手动仿真 DD 和 E01 文件格式有助于理解其工作原理和内部结构。通过学习手动仿真,可以更好地应对复杂的数据恢复和取证任务。数据取证和存储分析领域中,E01和DD文件格式是非常常见的磁盘映像文件。了解如何手动仿真这些文件格式,对于理解其结构和使用场景非常重要。选择镜像文件 -> 加载方法选择:“Block Device / Writeable” -> 点击装载 -> 记住驱动号(Drive)。挂载成功后,会在原来的镜像文件目录下,生成一个 .adcf文件,它是用来存放镜像虚拟写入的文件的。
墨者—Windows硬盘文件分析取证(恢复删除文件) [亲测,全对]
heze0的博客
02-17 288
包可以的,兄弟们
第八届美亚杯团队赛--王景浩苹果计算机镜像取证(巧用X-Ways解题)
m0_37867238的博客
09-04 1820
第八届美亚杯团队赛--王景浩苹果计算机镜像取证(巧用X-Ways解题)涉及苹果计算机解析与日志取证
计算机调查取证采集篇
weixin_33961829的博客
08-16 505
什么是计算机取证(Computer Forensic) 信息技术的高速发展,正在深刻地改变人们的生活,与此同时,人类社会对信息技术的依赖,也带来了巨大的安全风险。计算机犯罪正越来越多的在我们身边发生,这种犯罪行为包括了窃取和破坏数据、传播恶意程序、提供违法信息、诈骗以及恐吓等多种多样的形式。因为计算机罪犯往往可以不受限制的获取进行犯罪所需的专业知识,实施犯案行为不受地域限制,并具有高隐蔽性的特征...
Windows取证篇】Window日志分析基础知识(一)
蘇小沐的电子数据取证博客
01-17 5767
Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核,一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能,我们在系统审计取证分析时,可以根据案情、特定的时间点、事件ID进行取证溯源分析—【蘇小沐】
windows取证
02-21
取证分析,从日志,内存等方面去分析当一个机器被入侵后,会出现一些什么情况。还有涉及到注册表,以及一些文件夹里面存在的历史记录等等。还有浏览器浏览记录
Windows取证实验
qq_63855830的博客
03-26 2685
Windows取证实验
最强大的windows取证工具
01-09
该工具包中所包含的python代码支持对windows不同版本、linux以及android系统的取证分析,功能强大,包罗万象
Windows取证分析Windows Forensic Analysis)随书工具盘
05-06
Windows 取证分析——dvd工具包,提供大量利用Perl脚本编写的程序。
计算机取证
02-13
作者:A J Sammes, Brian Jenkinson 语言:英文 内容:取证、文件系统、电子机构、硬盘结构
volatility内存取证软件,可用于windows环境
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
WTE:取证 Windows 分类环境-开源
06-15
WTE 是一个易于使用的集成取证系统,使调查人员能够安全地成像、预览和分析内部硬盘驱动器 (DeadBox),并使用他们选择的工具进行实时取证 (LiveBox) 或数据恢复。 无需拆卸计算机或笔记本电脑,或使用物理写拦截器...
Windows与Linux取证分析
PICACHU+++的博客
07-18 4585
格式化HFS+文件系统时,生成文件系统卷头(2号扇区),类似FAT和NTFS的DBR,卷头偏移量0X10-0X1F处记录了创建、修改、备份、最后检查时间四个时间信息,创建时间以本地时间保存,其他时间以GMT/UTC时间保存。文件的属性时间是确定文件的创建 、修改和访问的重要标记。注册表被称为Windows操作系统的核心,它的工作原理实质是一个庞大的数据库,存放了关于计算机硬件的配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备的说明以及各种状态信息和数据。
Chrome浏览器取证分析
MSB_WLAQ的博客
10-12 2431
Chrome浏览器取证分析 做个笔记,记录下最近学习的有关Web浏览器取证的知识,其中包括研究如何解密Chrome浏览器保存在本地的加密登录信息,以及当前进程上下文为SYSTEM或者管理员的情况下如何切换Windows权限,还有遇到多用户在线的情况下如何解密多个用户的密码。 Chrome浏览器登录信息存放在哪里? Google Chrome的配置文件存放在%LocalAppData%目录下。例如,具有两个Google Chrome账号配置文件的windows用户admin将有一个目录,其中包含每个配置
计算机调查取证分析
weixin_34129145的博客
08-16 320
前言 在计算机取证的采集篇中,我们侧重讲述了证据采集方面的内容,计算机调查取证的另一项重要工作就是对采集的“电子证据”进行分析。单凭原始证据是无法满足诉讼要求的,我们必须进行正确的处理以对恶意行为进行还原;因为即使对专业人士来说,电子证据也是隐晦而难于理解的。下面我们就着重向大家介绍一下计算机调查取证中的分析工作。 我们分析什么 通常在完成了证据采集工作之后,我们会获得一份被调查机器的介质镜...
我眼中的 Nginx(六):深入 Nginx/Openresty 服务里的 DNS 解析
wuli1024的博客
11-22 1392
DNS 解析在 Nginx/OpenResty 的服务里是不可分割的一个功能,本文主要来介绍下 Nginx 和 OpenResty 服务里的一些不同的 DNS 解析方式以及它们之间的优缺点。
FTK imager取证过程
最新发布
02-20
### FTK Imager 数字取证操作指南 #### 一、软件简介 FTK Imager 是一款广泛应用于数字取证领域的工具,能够帮助调查人员获取并处理来自各种存储介质的数据。该工具不仅支持多种磁盘映像格式的创建与浏览,还提供了强大的文件恢复功能以及详细的报告生成功能。 #### 二、准备工作 启动程序前,请确认已下载适合版本的应用程序安装包[^1]。对于初次使用者来说,在正式开展工作之前建议先熟悉界面布局及其主要特性。 #### 三、证据采集 为了确保所收集到的信息具有法律效力,必须严格按照标准流程执行: - **连接设备**:通过USB接口或其他方式将目标硬盘接入计算机; - **制作镜像副本**:选择`Create Disk Image`选项来复制整个物理驱动器的内容至安全位置保存;此时可以选择不同的输出格式(例如E01, DD等),其中原始位流格式常用于保持最真实的源数据状态[^2]; ```bash # 创建DD格式的磁盘镜像示例命令 (Linux环境) sudo dd if=/dev/sda of=./disk_image.dd bs=4M status=progress ``` #### 四、数据分析 完成上述步骤之后就可以利用FTK Imager内置的功能来进行初步审查了: - 浏览分区结构和目录树形图; - 查看特定类型的文件列表; - 提取感兴趣的文档或图片; - 预览已被删除但仍存在于未分配空间内的残留碎片。 #### 五、导出结果 最后一步是整理发现的关键线索并向相关部门提交书面材料。可以借助软件自动生成HTML格式的总结性报表,方便阅读理解的同时也便于存档备案。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值