Windows 取证秘籍（二）

原文：annas-archive.org/md5/754b7f24cff88edfa357c78aee3d6840

译者：飞龙

协议：CC BY-NC-SA 4.0

第九章：电子邮件和即时通讯取证

在本章中，我们将介绍以下教程：

• 使用 Intella 解析 Outlook 邮箱

• 使用 Autopsy 解析 Thunderbird 邮箱

• 使用 Magnet AXIOM 进行 Webmail 分析

• 使用 Belkasoft Evidence Center 进行 Skype 取证

• 使用 SkypeLogView 进行 Skype 取证

介绍

通过电子邮件和即时消息获取嫌疑人的通讯将帮助你解决许多案件；而且你会经常被要求找到并提取这些工件。无论案件是钓鱼攻击、知识产权盗窃，还是恐怖主义行为——计算机取证审查员必须能够定位、解析和分析嫌疑人的数字通讯。

在本章中，我们将展示如何解析和分析来自最常见 Windows 邮件客户端的工件——Microsoft Outlook、Mozilla Thunderbird 和 Skype 即时消息。

使用 Intella 解析 Outlook 邮箱

Intella 是一个非常强大的数字取证和电子发现工具，能够处理、搜索和分析电子存储信息（ESI）。它的主要特点之一是可视化分析功能。这个功能可以帮助审查员更好地理解 ESI 和保管人之间的关系。在本教程中，我们将展示如何使用此工具解析 Outlook 邮箱。

准备工作

如果你没有有效的 Intella 许可证，可以从 Vound Software 网站获得免费的 14 天试用版（请查看另见部分）。你还需要一个PST或OST文件来完成这个教程。获取一个很简单：只需使用你自己的电子邮件地址并在 Outlook 中配置，然后转到 C:\Users\%USERNAME%\AppData\Local\Microsoft\Outlook，找到你的文件。这将是你的证据来源，在我们的例子中是一个OST文件。

PST 文件用于 POP3、IMAP 和基于 Web 的邮件账户，而 OST 文件用于用户拥有 Exchange 账户并希望离线工作的情况。

如何操作…

我们可以通过按照以下步骤开始这个过程：

1. 从创建新案件开始。为此，运行 Intella（你将看到 Intella 案件管理器），输入你的名字（在我们的例子中是Test），然后点击“添加…”按钮，如下图所示：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/5084cecf-a08a-470b-ae7e-ac6ea6f3c2b6.png

图 9.1. 添加新案件

1. 使用添加案件对话框，审查员可以创建新案件、打开共享案件、添加现有案件或导入案件。

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/86019c26-aca4-4d46-be12-db3ba7781f7f.png

图 9.2. 添加案件对话框

1. 既然我们已经决定创建一个新案件，那么选择创建新案件。现在你可以看到一些需要填写的字段。你还可以选择一个文件夹来存储临时索引文件——这可以提高索引速度！

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/8bb4e037-5a76-4e0e-aa24-4b8f6efb15db.png

图 9.3. 创建新案件

1. 现在是选择我们的证据来源的时候了。正如我们已经提到的，我们将使用一个OST文件，所以选择“文件或文件夹”选项，如下图所示：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/e5900a9a-f025-4d82-b925-77047aba27db.png

图 9.4. 添加新源

1. 在我们的案例中，文件名为test.ost，位于E:\ drive的根目录，如下图所示：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/a960f484-d095-4922-b2d2-c11906334e52.png

图 9.5. 添加文件以供处理

1. 如果你不喜欢源文件的原始名称，可以将其更改为你喜欢的名称。另外，你应该选择正确的时区，或者如果不确定时区，可以选择 UTC。

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/778f04e0-7fef-485b-aa16-b8b16ed3c02e.png

图 9.6. 选择源名称和时区

1. 好的，现在让我们选择要处理的项目。在我们的案例中，它们如下：

   • 邮件归档：我们正在处理一个 Outlook 邮箱，因此这一点非常重要。

   • 归档：可以附加到电子邮件

   • 嵌入在电子邮件和文档中的图片

   • 删除的电子邮件

   • 不支持和无法识别文件类型中的文本片段

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/324da438-04ef-460d-9a78-6f9a87fd3ef8.png

图 9.7. 选择要处理的项目

1. 你可以跳过接下来的两个窗口，直接开始证据处理。一旦索引完成，你将看到概览，见下图：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/424a3906-357e-4427-8fcc-6dadd1821920.png

图 9.8. 索引证据源

1. 点击完成，你将看到带有三个标签页的主窗口；请查看下图：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/72d5190c-c470-42d2-91da-4505b00c9611.png

图 9.9. Intella 搜索标签页

1. 如你所见，我们有 44 个项目，其中 19 个是已恢复的。现在我们可以使用不同的关键词和维度来搜索已索引的数据，如电子邮件地址、电话号码、作者、日期、类型等。此外，我们还可以使用此标签页来创建聚类图、直方图和社交图，这些都非常有用。

2. 好的，接下来让我们进入Insight标签页，如下图所示：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/d99a8a63-e4ac-46c1-8388-4452856aebee.png

图 9.10. Intella Insight 标签页

这里是证据概览。例如，Intella 显示我们正在处理 Microsoft Outlook，已恢复 19 个文件，其中有 6 封电子邮件，全部共有 44 个项目。

1. 让我们查看最后一个标签页——关键词。请看下图：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/d2415598-62c9-42c0-a11d-4c3ec1f71164.png

图 9.11. Intella 关键词标签页

首先，你可以使用此标签页添加自定义关键词列表——这可以节省你的时间！此外，你可以选择搜索的范围。例如，如果你只想在电子邮件的主题中查找关键词，那么可以先取消勾选所有选项，只选择“标题/主题”。

工作原理…

Intella 会对选择的证据源进行索引，并允许计算机取证检查员搜索已索引的数据。它还可以用来创建聚类图、直方图、社交图等。

另见

Intella 概览：

www.vound-software.com/individual-solutions

Outlook 数据文件简介（.pst 和 .ost）：

support.office.com/en-us/article/Introduction-to-Outlook-Data-Files-pst-and-ost-6d4197ec-1304-4b81-a17d-66d4eef30b78

使用 Autopsy 解析 Thunderbird 邮箱

Thunderbird 是 Mozilla（Firefox 浏览器的开发者）提供的一个免费开源邮件客户端。如果用户没有使用 Outlook，他们很可能会使用 Thunderbird。在本教程中，我们将展示如何使用免费的开源数字取证平台 Autopsy 提取 Thunderbird MBOX 文件中的数据。

准备工作

Thunderbird 将邮件数据存储在 MBOX 文件中。这些文件可以在以下位置找到：

C:\Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles

在这里，你会找到一个用户配置文件文件夹，可以使用一款取证软件导出并处理，在我们的案例中是 Autopsy。

当然，你也可以使用整个取证镜像进行处理，但如果只使用配置文件文件夹，将节省很多时间。

获取一个 Thunderbird 配置文件文件夹或取证镜像，并启动 Autopsy。如果你还没有安装它，可以使用“另见”部分中的下载链接。

如何操作…

我们可以通过以下步骤开始这个过程：

1. 首先创建一个新案件并填写案件详情。我们计划使用 Thunderbird 配置文件文件夹作为数据源，因此在 选择数据源 窗口中，我们选择 逻辑文件。

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/6474c26d-3633-4114-92eb-befec203be7a.png

图 9.12. 在 Autopsy 中选择数据源

你还可以为你的证据源选择显示名称。你会注意到我们将其命名为 Thunderbird 测试。

1. 现在是选择摄取模块的时间了。我们强烈推荐始终选择 关键词搜索 模块，因为它非常有帮助。当然，这次要确保选中 电子邮件解析器。

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/cf63d196-81de-48db-8500-d79059e496f1.png

图 9.13. 在 Autopsy 中配置摄取模块

1. 一旦数据源处理完毕，你可以分析结果。你可以在左侧的邮件消息部分找到这些结果，如下图所示：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/ed449d10-bd0d-43ff-94ae-b77d9d913fdb.png

图 9.14. 解析后的邮件消息

1. 如你所见，Autopsy 提取了 487 条邮件消息。在右侧，你可以找到所有分析所需的信息：发件人、收件人、邮件正文、时间戳等。

它是如何工作的…

Autopsy 根据计算机取证 examiner 指定的数据源进行处理，并从支持的容器中提取电子邮件数据，如 MBOX 和 PST。

另见

Autopsy 下载页面：

sleuthkit.org/autopsy/download.php

MBOX 邮件格式：

www.loc.gov/preservation/digital/formats/fdd/fdd000383.shtml

使用 Magnet AXIOM 进行 Webmail 分析

正如你所知道的，有些人（包括作者）只使用网页邮件，而不使用邮件客户端。那么，是否可以从驱动器镜像中恢复此类取证证据呢？答案是——可以！在这个操作步骤中，我们将向你展示如何使用 Oleg 喜爱的数字取证工具——Magnet AXIOM 恢复网页邮件活动。

准备工作

我们相信你已经在工作站上安装了 AXIOM。现在运行该工具并创建一个新案件。接下来，最有趣的部分是证据来源。如果你已经在第八章中学习过提取 Web 浏览器数据的操作步骤，网页浏览器取证，你可能猜到我们接下来要做什么。没错，网页邮件证据可以从pagefile.sys、swapfile.sys和hiberfil.sys中提取。因此，你可以使用这些文件中的一个作为数据来源，或者使用整个取证镜像——AXIOM 会自动从这些文件中寻找并解析数据。

如何操作…

我们可以按照以下步骤开始操作：

1. 使用 AXIOM Process 处理数据源；不要忘记包括 pagefile.sys 和 hiberfil.sys，并确保邮件证据被勾选。处理阶段完成后，进入 AXIOM Examine 并查看 EMAIL 部分。在这里，你将找到提取的电子邮件证据，包括网页邮件，我们的例子是 Gmail，如下图所示：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/893c8695-94df-4aef-a778-65ccdf770a50.png

图 9.15. 提取的网页邮件证据

1. 如你所见，已经提取了 194 条 Gmail 网页邮件证据。让我们检查这些证据的来源，特别是第一个证据。点击该证据并查看 EVIDENCE INFORMATION 部分。

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/a6586594-0bf6-437c-8806-d19b5e506a02.png

图 9.16. 证据信息

查看前面的图，你会看到证据是从 hiberfil.sys 中提取的。你还可以看到地址信息，这对于文档记录非常重要。

工作原理…

Magnet AXIOM 会遍历 hiberfil.sys（或 pagefile.sys）文件，并提取可用的网页邮件证据，如 Google 的 Gmail、Microsoft 的 Hotmail/Outlook.com 和 Yahoo Mail。

另见

现代 Windows 休眠文件分析：

www.504ensics.com/uploads/publications/modern-windows-hibernation.pdf

使用 Belkasoft Evidence Center 进行 Skype 取证

在现代 Windows 系统中，Skype 默认安装，因此对于取证检查员来说，从这个应用程序中提取用户数据非常重要。这些数据包括通话记录、消息、传输或接收的文件等等。在本操作步骤中，我们将向你展示如何使用 Belkasoft Evidence Center 解析这些宝贵的证据。

准备工作

首先，你需要获取一个 Skype 个人资料文件夹。同样，你可以使用取证镜像，但为了节省测试时间，我们建议使用个人资料文件夹作为数据源。你可以在以下路径找到 Skype 个人资料文件夹（是的，可能会有多个文件夹，因为在同一设备上可以使用多个帐户）：

C:\Users\%USERNAME%\AppData\Roaming\Skype\

获取工具后，确保你的工作站已安装 Belkasoft Evidence Center（有效许可证或试用版），然后我们就可以开始了。

如何操作…

我们可以通过以下步骤开始操作：

1. 创建一个新案例，并将之前导出的个人资料文件夹作为数据源添加。选择选定的文件夹，如下面的图示所示：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/d3b81acb-3e56-4e1d-8e94-de64ed38d502.png

图 9.17：在 Belkasoft Evidence Center 中添加数据源

1. 选择正确的数据类型。我们有一个 Skype 个人资料文件夹，所以进入聊天记录，找到 Skype 并勾选它。点击完成后，稍等片刻，让数据解析完成，如下图所示：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/075f0d8f-84da-4952-9faf-c67b237d8e58.png

图 9.18：在 Belkasoft Evidence Center 中选择数据类型

1. 数据处理完成后，你可以使用概览或案例浏览器选项卡来分析提取的数据，包括通话记录、消息（包括语音）、图片等。需要注意的是，Belkasoft Evidence Center 还可以从 Skype 数据库（main.db）中提取已删除的消息，并分析chatsync文件，这些文件可能包含不在主数据库中的消息。

工作原理…

Belkasoft Evidence Center 处理计算机取证检查员指定的数据源，并从可用源中提取 Skype 证据，包括 SQLite 空闲列表、未分配空间、chatsync文件、pagefile.sys、hiberfil.sys等。

另见

Belkasoft Evidence Center 试用版：

belkasoft.com/trial

恢复销毁的 SQLite 证据、iPhone/Android 消息、已清除的 Skype 日志：

belkasoft.com/recover-destroyed-sqlite-evidence-skype-and-iphone-logs

使用 SkypeLogView 进行 Skype 取证

在工具箱中拥有一些免费的软件总是不错的。对于 Skype 取证，有一些免费且开源的工具，其中之一就是 NirSoft 的 SkypeLogView。你可能已经熟悉一些 NirSoft 的工具，在本教程中，我们将展示如何使用 SkypeLogView 进行 Skype 取证。

准备工作

从 NirSoft 的网站下载 SkypeLogView（请参阅另见部分中的下载链接）。在写本文时，工具的最新版本为 1.55。解压缩文件后，你就可以开始使用了。你也可以使用之前教程中导出的 Skype 个人资料文件夹。

如何操作…

我们可以通过以下步骤开始操作：

1. 启动工具后，你将看到一个数据源窗口，如下图所示：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/c7471c59-0502-4fa0-9bea-fbaa816b43ce.png

图 9.19. 在 SkypeLogView 中添加数据源

1. 现在你只需要点击“确定”，魔法就开始了，如下图所示：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/c12f2666-7b58-4e9e-8e58-c303f0de0c9a.png

1. 当然，你可以通过不同的列来对提取的数据进行排序。如果你希望时间戳以 GMT 显示，请前往选项 - 显示时间为 GMT。

2. 最后，你可以创建一个 HTML 报告。为此，请前往视图 - HTML 报告。

它是如何工作的…

SkypeLogView 使用指定的文件夹并提取可用的 Skype 痕迹文件，例如聊天记录、语音邮件、通话记录等。此外，检查员还可以为所有痕迹或用户选择的痕迹创建 HTML 报告。

另见

SkypeLogView 下载页面：

www.nirsoft.net/utils/skype_log_view.html

第十章：Windows 10 取证

在本章中，我们将涵盖以下内容：

• 解析 Windows 10 通知

• Cortana 取证

• OneDrive 取证

• Dropbox 取证

• Windows 10 邮件应用

• Windows 10 Xbox 应用

介绍

Windows 10 的出现引发了用户和法医调查人员的争议。许多终端用户对隐私和安全性表示担忧，因为 Windows 10 上自动设置的隐私设置并不强大。还有人表达了对 Windows 机器现在强迫用户迁移到 Windows 10 的方式的担忧，即使他们对当前版本感到满意。

从法医角度来看，Windows 10 提出了许多新的独特挑战。大多数程序已经被修改，外观和感觉更像是智能手机或平板电脑上的应用程序，而且许多程序的行为与其前身大不相同。Cortana 的出现为法医调查人员提供了更多的数据，并且随着许多应用程序互联互通，数据量也有所增加。

在本章中，我们将查看 Windows 10 的一些常见功能，以及法医分析师如何与其合作。

解析 Windows 10 通知

Windows 10 具有名为 Toast 的通知，会在屏幕的右下角弹出。这些通知可以根据不同的需求进行设置，但默认情况下会显示与应用程序更新和安全性相关的新闻。

用户可以设置通知来提醒自己任务、事件和电子邮件提醒。在本章中，我们将探讨 Windows 10 通知在法医调查中的实用性，以及如何解析这些通知。

准备工作

通知的详细信息存储在以下位置：

\Users\Username\AppData\Local\Microsoft\Windows\Notifications

数据库的名称会根据安装在计算机上的 Windows 10 构建版本而有所不同。从周年更新版开始，它们存储在 wpndatabase.db 中；在此之前，可以在 appdb.dat 中找到它们。

如何操作……

解析 Windows 10 通知的步骤如下：

1. 如果你没有 SQLite 管理器，请下载一个。

2. 打开你的 SQLite 管理器并点击打开数据库。

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/80602cca-3eb2-4bc4-a970-913aec310887.png

图 10.1. 添加数据库

1. 浏览到 C:\Users\Username\AppData\Local\Microsoft\Windows\Notifications 并在文件夹中找到 .db 文件。打开它。

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/46988caf-91f6-4b1f-904a-f3e7aff7fb1c.png

图 10.2. 通知数据库文件

这将显示哪些通知已弹出，以及它们的 RecordID，可以用来识别这些程序的其他实例。

它是如何工作的……

一个 SQLite 查看器可以显示哪些程序定期弹出通知，哪些已被禁用。

• 在下面的示例中，用户查看了 20 个 Toast 通知——这些是出现在屏幕右下角的小矩形框。然而，只有五个标题通知。这指的是开始菜单上看到的应用程序图标。如果磁贴通知的数量非常低，可能意味着用户已将多个程序从开始菜单取消固定。

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/e1099d51-877c-4d48-9b92-b86227ec28d1.png

图 10.3. 用户已查看的通知

• 上述图像显示，用户只查看了一个 Badge 通知。这些是弹出在任务栏上，显示在程序旁的小数字——有点像你在 Facebook 或 Twitter 上看到的通知图标旁边的小数字值。

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/d51fc342-3c52-4d77-b20d-7ee211af2fc2.png

图 10.4. 开始菜单上的磁贴

• 如果你已经关闭了任务栏上的图标，点击 Wi-Fi 和音量标志旁边的上箭头时，可能会看到这些通知。

另见

• SQLite Expert 下载: www.sqliteexpert.com/download.html

• DB Browser for SQLite: sqlitebrowser.org/

Cortana 法医分析

Cortana 是微软的语音助手，但它做的远不止响应命令。Cortana 在不同的设备间链接，按需提醒，并且了解用户。它能够识别个人的声音和手写等多种内容。因此，许多 Windows 用户因隐私问题关闭了 Cortana 功能——特别是因为在某些设备上，Cortana 默认是开启的，即使设备处于休眠模式。

Cortana 还可以响应特定的事件——例如，用户可以指示 Cortana 在下次给某人打电话时提醒自己说些什么。这无疑是一个对许多人非常有用的工具，同时也是一座法医信息的宝库。

准备就绪

从法医角度来看，关于 Cortana 的最有趣的信息片段可以在以下位置找到：C:\Users[User]\AppData\Local\Packages\Microsoft.Windows.Cortana_xxxx\LocalState\ESEDatabase_CortanaCoreInstance\CortanaCoreDb.dat

在这里，你将能够发现诸如用户去过的地点、他们设置的提醒、这些提醒何时以及在哪里触发、以及提醒何时和在哪里被标记为完成等信息。

如果你的案件需要证明某人在某个特定时间出现在某个地方，这一点可能尤为重要。同样，一个未标记为完成的提醒可能表明用户的计划在最后一刻发生了变化。

如何操作…

你将需要一个 SQLite 浏览器来访问该数据库。

1. 一旦你启动 SQLite 浏览器并访问数据库，你将能够看到一个包含有用项的值表格，例如联系权限和位置。

2. 你可以直接在 SQLite 浏览器中处理这个数据库，或者将其导出为 CSV 文件，然后使用 Microsoft Excel、Google Sheets 或其他你选择的程序打开。

3. 值得注意的是，CortanaCoreDb.dat 文件中的一些数据可能被隐藏。根据你要寻找的内容，在打开文件确认其包含数据之后，你可能希望通过更先进的取证程序来揭示这些数据。

4. CortanaCoreDb.dat 文件中的 Reminders 部分与日历提醒有关，这可以作为展示用户意图的一个有用方式。例如，用户可能设置了一个提醒，提示他们在某个特定时间前往某个地点，这可能将他们带到犯罪现场。如果与 CortanaCoreDb.dat 中 LocationTriggers 部分的实际位置数据相结合，这可能成为有罪或无罪的关键证据。

彻底检查上述路径中的 Cortana 文件夹内的所有项目是一个好主意。最相关的数据可能会在 CortanaCoreDb.dat 中找到，但某些项目——如地理位置搜索和一些语音记录——可能会出现在文件夹的其他部分。正如取证检查中常见的做法，值得在时间允许的情况下仔细查看所有证据。

它是如何工作的…

Cortana 的工作原理基本上是监听并且感知计算机周围发生的一切。即使计算机被锁定，它仍然保持这种状态，这一点在取证调查中尤为重要。通常情况下，尤其是笔记本电脑的用户，会将计算机保持开机状态，但屏幕进入睡眠模式，长时间忘记计算机仍然在开机。

尽管这在隐私倡导者和普通公众中引起了可以理解的忧虑，但它对调查目的极其有用。通过前述方法，可能揭示出对话片段、用户的位置信息、语音搜索、提醒和使用的设备等数据，这些都可以为个人的行为和动机提供无价的线索。

另见

Bhupendra Singh；Windows 10 Cortana 搜索的取证分析；《计算机与安全》第 66 卷，2017 年 5 月

Thomas Rose；Windows 搜索功能、Cortana 和 Windows 8/8.1 以及 Windows 10 的通知中心的取证调查；2016 年 BSc 论文

OneDrive 取证

OneDrive 是微软的云服务，允许用户将数据保存在云端，并且只要登录微软账户，就能从任何设备访问这些数据。OneDrive 集成了 Word、Excel、PowerPoint、Outlook、日历、联系人等功能，是 Microsoft 产品用户确保永远不丢失文档的便捷方式。它也是取证调查中的重要数据来源。

OneDrive 对于法医调查员特别有用的一种情况是，当某个设备因某种原因无法访问时。例如，可能一部手机已经被扣押，但它被锁定并且无法恢复密码；或者可能一台电脑有一个密码，且破解起来极其困难。在这些情况下，如果调查员能够访问同一用户拥有的其他设备，他们通常可以在 OneDrive 备份文件中找到有用的信息。

在 Windows 10 操作系统中，OneDrive 是保存新文件的默认位置，而不是将其保存在本地计算机的“我的文档”中，这曾是默认设置。这意味着，除非用户手动更改了设置，否则应该可以通过 OneDrive 获取到大量法医信息。

准备工作

首先，重要的是要弄清楚如何访问你的 OneDrive 文件。你是否可以访问 Windows 10 机器本身，还是查看 Android 备份？

如果你使用 Android 手机访问 OneDrive，你可以在 /mnt/sdcard/Android/data/ 下的 com.microsoft.skydrive 文件夹中找到需要的内容。OneDrive 的前身是 SkyDrive，因此得名。

如果你使用运行 Windows 10 的 PC 或笔记本电脑访问 OneDrive 数据，你可以在 C:\Users\<USERNAME>\AppData\Local\Microsoft\OneDrive\logs 中找到需要的内容。

如何操作……

执行 OneDrive 法医分析时，需要遵循以下步骤：

1. 打开你选择的法医软件，并导航到相关文件夹，具体取决于你是使用智能手机还是计算机进行法医分析（见前面的段落获取详细信息）。

2. OneDrive 文件夹的后台实际上并不特别具有法医价值。在上述 logs 文件夹中，你会找到两个子文件夹：Common 和 Personal。Common 文件夹列出了操作系统自动运行的所有元素，即 StandaloneUpdater 和 telemetryCache 文件。这些文件涉及 OneDrive 的自动更新。

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/3d6bf499-d95e-4886-9362-8da8817b73b7.png

图 10.5 Common 文件夹中的 StandaloneUpdater 和 telemetryCache 文件

1. Personal 文件夹包含 SyncEngine、telemetryCache 和 TraceArchive 文件。这些文件会每隔几天自动更新。通常，这些文件中找到的内容对法医调查并没有太大价值；它们只是用户计算机的自动备份，但文件本身并不包含任何信息。唯一可能的法医应用是用来证明没有使用：例如，一个经常使用计算机的用户如果消失并且没有打开任何 Windows 机器，就会在 OneDrive 日志文件中显示出异常的活动缺失。文件如下图所示：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/fba04b95-f38b-47ac-9cec-ff945da12c3b.png

图 10.6. 在 Personal 文件夹中找到的文件

1. 当然，OneDrive 的前端是另一回事。如果取证人员能够访问，它提供了大量的信息。OneDrive 文件本身通常不受密码保护，所以您只需要设备的密码以继续进行取证。

2. iTunes 应用商店上也有 Windows OneDrive 应用程序，所以如果您知道调查对象同时使用 Windows 和 Apple 设备，这也值得留意。

OneDrive 可以上传任何类型的文件，但最常见的是 Microsoft Office 套件中的文件：Word 文档、Excel 电子表格、PowerPoint 演示文稿等。OneDrive 文件不存储在本地计算机上，但可以通过 OneDrive 应用程序访问。只要计算机连接到互联网，也可以通过 Web 浏览器访问这些文件。除了计算机和智能手机，OneDrive 文件还可以从 Xbox 游戏机访问。

任何可以打开传统 Microsoft Office 文件的取证软件都能够提取 OneDrive 文件进行查看。一旦文件中的信息与最后访问的日期和时间等元数据进行比对，就可以构建出案件更为详尽的概要。

工作原理…

OneDrive 根据用户是个人账户还是商业账户有所不同，了解这些差异非常重要，因为它们可能对您的取证调查产生影响。

当 OneDrive 将计算机上的文件同步到云端时，在 OneDrive 商业版中会进行一些小的修改。这个版本的 OneDrive 在上传文件时会自动在文档开头添加几行代码。这对取证具有重要的影响，因为这意味着原始的 MD5 哈希值不匹配，并且可能导致文件本身略微增大。似乎只要打开这样的文件，即使没有进行任何修改，这个过程也会发生 - 这是自动同步过程的一部分。因此，如果您正在分析 OneDrive 商业版文件，请确保将此作为流程的一部分考虑进去，否则如果案件进入法院，您可能会遇到一些棘手的问题！

另见

Daryabar, Farid; Dehghantanha, Ali; Eterovic-Soric, Brett & Choo, Kim-Kwang Raymond; OneDrive、Box、GoogleDrive 和 Dropbox 应用在 Android 和 iOS 设备上的取证调查; 澳大利亚法医科学杂志, 48:6, 615-642, DOI: 10.1080/00450618.2015.1110620

Dropbox 取证

看起来，微软试图使用户在智能手机、平板电脑和个人电脑之间的过渡更加流畅，在 8 及以上版本中，微软将它们的程序重新命名为应用程序，并为桌面界面带来了更多智能手机的感觉。

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/fcd55d0e-5bfb-4ccf-b372-82768afe0a27.png

图 10.7. 现在的开始菜单包括磁贴，使计算机更像智能手机。

现在，用户不再通过网页浏览器下载程序，而是可以购买应用程序——其中许多是免费的——这些应用程序能提供更顺畅的用户体验。

Dropbox 是一个文件共享应用程序，允许用户上传几乎任何类型的文件，并轻松与他人共享。所需的唯一条件是一个电子邮件地址来注册。到 2016 年，Dropbox 全球用户已达到 5 亿人次，而且这一数字还在持续增长。

从取证的角度来看，用户之间的文件共享可以提供大量有用的信息。让我们来看一下如何从 Dropbox 应用中获取数据。

准备工作

大多数你需要的 Dropbox 信息可以通过简单的 SQLite 浏览器查看，就像我们在上文关于 Cortana 取证的部分中所使用的那样。

然而，一些更有趣的信息可能被加密，为了访问这些信息，我们需要一个 Dropbox 解密器。Magnet Forensics 提供了一个免费的解密器，可以从他们的网站下载，链接位于本文末尾。

你将在 C:\Users\<USERNAME>\AppData\Local\Microsoft\Dropbox 找到所有与 Dropbox 相关的信息。

如何操作…

Dropbox 取证的步骤如下：

1. 打开你的 SQLite 浏览器，导航至：C:\Users\<USERNAME>\AppData\Local\Microsoft\Dropbox。你将在此文件夹内找到几个 .db 文件。

2. 文件夹中最有趣的文件是 filecache.db。它列出了 Dropbox 帐号中的所有文件和文件夹，只要它们没有被删除。你可以在同一文件夹中的 sigstore.db 中找到每个文件的大小详细信息。filecache 数据库默认是加密的，但它是可以通过 Magnet 的 Dropbox 解密器解密的，解密后你不仅可以看到文件名，还能查看任何相关的元数据。

3. Dropbox 解密器还可以从 config.db 文件中提取信息，包括账户所有者注册时使用的电子邮件地址，以及最近被更改的文件列表。在一些调查中，这些信息尤其重要，因为可能有人试图掩盖自己的痕迹。在某些情况下，Dropbox 文件可能已经被删除。已删除的文件不会保存在本地计算机上，因此不能仅通过 Windows 10 的取证方法访问。然而，如果你知道账户的用户名和密码，Dropbox 的网页版会将这些文件保存在云端。文件保留的时间长短取决于账户类型：免费账户的已删除文件会保留 30 天；而付费账户的则会永久保留。

4. 在 Dropbox 上找到已删除的文件很容易。你只需要将鼠标悬停在页面右侧的“显示已删除文件”选项上。

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/858f0e72-bb53-47e2-a71c-cfb189b8fa82.png

图 10.8. 一个选项允许用户查看已删除文件

一旦你看到被删除的文件，就可以点击“恢复”来查看该文件。这时会弹出一个小框，值得点击主文本下的“查看其他版本”链接，如以下截图所示：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/1584c26d-c7f9-4ae0-abdb-5abb251d2cfe.png

图 10.9：“查看其他版本”选项在取证过程中非常有帮助。

以下截图展示了一个文件有多少个版本，何时编辑以及何时删除：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/54354aae-bb39-4328-94f4-10f68eb46a12.png

图 10.10：你将能够看到文件版本的名称和修改日期。

逐个点击这些文件，会显示文件本身的预览版本，之后可以与其他版本进行比较：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/a7258454-25d7-48b5-bccb-72ab29c146b7.png

即使它们的文件名相同，两个版本之间也可能有很大的不同，正如通过比较以下图示可以看到的那样：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/61852e69-2469-4c3c-aebb-9229560e1615.png

然后可以查看每个文件版本的内容。

如何操作…

Dropbox 本质上通过将文件备份到云端来工作，尽管与某些其他基于云的应用不同，它仅在用户手动添加文件时才进行备份，而不是自动更新计算机的内容。这对于展示意图非常有用。

Dropbox 的取证技术通过访问 Dropbox 应用在 Windows 计算机上留下的数据库，或者通过调查员访问在线 Dropbox 账户并筛选其中的文件来进行。

另见

Magnet Forensics Dropbox 解密工具：www.magnetforensics.com/free-tool-dropbox-decryptor/（访问时间：05/07/17）

Windows 10 邮件应用

Windows 10 邮件应用与之前的应用在用户体验方面相似，但有一些取证上的差异。主要的区别在于电子邮件存储的方式。它们不再以 .eml 文件格式保存；而是现在以 HTML 或 .txt 文件格式保存。

新版邮件应用的另一个有用功能是能够连接多个账户。就像 Gmail 一样，邮件现在也可以在不同账户之间切换——用户现在可以将其他电子邮件服务提供商（如 Gmail 和 Yahoo）添加到 Microsoft 邮件应用中。

准备工作

几种取证工具可以从邮件应用中提取数据。在本例中，我们将讨论 FTK Imager，但无论使用哪个工具，提取数据的过程，尤其是像文件路径和文件夹位置这样的元素，都是相同的。

首先，打开 FTK Imager 并添加一个新的证据项。你要查找的数据将位于 \Users\Username\AppData\Local\Comms 文件夹中。

打开此文件夹，你将看到五个子文件夹：Temp、Unistore、UnistoreDB、UserDataTempFiles 和 Volatile。这些是我们将在本章中查看的目录位置。

如何操作…

data 文件夹包含大量有用的信息，但这些信息被隐藏在子文件夹中：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/4e0103ce-c2d0-4e34-990c-5cb3d8a87387.png

图 10.11 ‘data 文件夹中的一些子文件夹

1. 对于本章目的，我们特别关注的子文件夹是 3 和 7，分别与邮件和附件相关。在这些子文件夹中还有更多子文件夹，每个文件夹的名称对应一个字母。在这些文件夹中，我们需要的数据可以找到。

2. 由于电子邮件现在以 HTML 或纯文本格式存储，因此查看其内容变得容易。只需点击按字母顺序命名的子文件夹中的 .dat 文件，你就可以在 FTK 中看到消息的预览。要查看任何附件，请导航到文件夹 7，并进入其中的字母顺序子文件夹。然后，这些消息和附件可以导出到报告中供客户使用。

有些邮件未被发送，这些邮件的部分内容可能会出现在 \Users\Username\AppData\Local\Comms 中的 UserDataTempFiles 文件夹内。这些数据是易失性的，并且经常被覆盖，因此其中可能没有任何有用的信息。然而，有时你会发现一些信息碎片，从中可以提取某些有用的信息。

1. 邮件应用中还有一个值得注意的元素是 People 文件夹。这个文件夹包含了用户曾经发送邮件的所有联系人。你可以在 \Users\Username\AppData\Local\Comms\UniStoreDB\store.vol\Contact 中访问这些数据。

这里最有趣的三个元素是 Contacts.txt 和 Pcontacts.txt 文件，它们展示了用户联系人的姓名和电子邮件地址。如果联系人保存了额外的信息，如地址或电话号码，也会以纯文本的形式存储在这些文件中。

它是如何工作的…

邮件应用是本地安装在用户设备上的，尽管越来越多的人选择转向微软的基于云的服务，正如前一部分所讨论的那样，这也带来了某些取证挑战。

基本信息，例如用户经常联系的联系人，会存储在 \Users\Username\AppData\Local\Comms 文件夹中，以便用户在想发送新邮件时能够轻松调取。幸运的是，这也使得它可以用于取证调查！

Windows 10 Xbox 应用

如名称所示，Windows 10 的 Xbox 应用允许用户在其 Windows 10 机器上玩 Xbox 游戏。乍一看，这似乎不是一个特别有取证价值的信息来源。然而，仔细查看后我们可以发现大量可以在调查中利用的数据。本节将带你了解如何实现这一点。

准备工作

我们需要查找的信息可以在以下位置的 Packages 目录中找到：

\Users\Username\AppData\Local\LocalState\ModelManager

您需要查找 Xboxlivegamer.xml 文件，该文件包含可能与您的案件相关的信息。此外，由于 Xbox 是一个游戏平台，许多人仅用于休闲目的，因此如果用户采取了反取证措施，这也是一个他们可能忽视的位置。

由于我们将要查看的大多数文件是 .xml 文件，因此您无需额外的取证软件即可访问数据。然而，大多数知名软件，如 FTK、EnCase 等，都可以检查这些文件及其元数据。

如何操作…

对于 Windows 10 Xbox 应用程序的取证，需遵循以下步骤：

1. 导航至上面列出的路径，并浏览文件列表。

2. 在 Xboxlivegamer.xml 中，您将找到用户的个人资料详情，包括他们的头像和电子邮件地址。

3. 向下进入一个子文件夹，进入 \Users\Username\AppData\Local\LocalState\ModelManager\People，将使您能够查看社交连接。

4. 要查找联系人详情，包括消息、关系和朋友信息，您需要查看以用户 Xbox ID 命名的 .xml 文件。您可以在 Xboxlivegamer.xml 文件中找到此 ID。

5. 除了所有常规的朋友数据外，您还应该能够看到朋友的列出位置，如果您正试图确定某人是否与特定地点有某种联系，这些信息可能特别有趣。

6. 一个非常有用的地方是 Messaging 子文件夹，其中包含所有已发送和接收消息的详细信息，包括时间戳、发送或接收消息的用户，以及消息本身的纯文本：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/2de00045-bb65-4f2b-ad08-bee7e1e75b66.png

图：10.11. 来自 Xbox 应用的消息数据

1. 录制游戏是许多用户会做的事情，要么是为了之后在互联网上发布，要么是为了优化技术，或者只是与朋友分享。然而，有些人还使用 Xbox 应用程序的这个便捷内建功能，在运行其他应用程序时录制屏幕。您可以在 \Users\Username\XboxApp\GameDVR\OnThisPC 中找到录制的游戏数据。在该文件夹中，您应该能看到一个名为 Videos 的子文件夹，其中又包含一个名为 Captures 的文件夹。然后，您可以打开并播放这些视频。

它是如何工作的…

Xbox 应用程序本质上是将 Xbox 游戏平台的体验带到 Windows 10 PC 上。它以纯文本和原始视频文件的形式存储数据，因此在取证检查中，它是一个有用的信息库。

第十一章：数据可视化

在本章中，我们将介绍以下内容：

• 使用 FTK 进行数据可视化

• 在 Autopsy 中创建时间线

• Nuix 的 Web Review & Analytics

介绍

准确查看和分析结果是任何调查的重要组成部分。然而，即使在最终结果阶段之前，查看和操作案例中的不同因素也可能很有用，以便确定可能需要进一步深入挖掘的地方，并发现可能被忽视的相关性。

尽管数字取证工具的主要目标不是外观美观，而是揭示、分析和报告数据，但可视化过程仍然是任何软件的重要组成部分。

一个精心设计的数据可视化工具可以展示联系人之间的联系，构建时间轴并识别沿着时间轴的潜在兴趣点，揭示可能与调查相关的地理区域，并提供可以帮助调查人员理解下一步应该采取哪些措施的基本统计输出，等等。

在本章中，我们将研究三个取证套件中的数据可视化技术和选项。首先，我们将看看AccessData的 FTK 如何在调查中对重要领域进行视觉报告。然后，我们将讨论开源免费软件 Autopsy 如何创建时间轴。最后，我们将看看 Nuix 的取证工具套件，包括他们新的 Web Review & Analytics 附加组件，该组件位于 Nuix Investigator Lab 之上。

使用 FTK 进行数据可视化

此工具允许您创建和过滤时间线，将数据分割为不同类别，查看电子邮件及相关元数据，分析流量和社交连接，并在用户友好的环境中观察地理位置数据。它还允许用户指定特定主题或颜色方案，使其具有可定制的感觉。

准备工作

打开 FTK 并加载一个案例（如果您不确定如何操作，请参阅第三章 使用 FTK Imager 在 E01 格式中进行驱动获取，Windows 驱动获取。）

在案例中选择一个数据集，然后点击屏幕右上角的可视化图标。这将启动可视化工具。

如何操作…

可视化工具有各种可能的用途，因此我们将逐一讨论它们：

1. 首先，如果您希望这样做，您可以更改 FTK 的主题。您可以通过转到 CaseManager|Tools|Preferences 在 FTK 中进行此操作，然后会打开一个列出几个选项的框。这些选项与旧版本 Windows 中曾提供的选项非常接近，因此对许多人来说应该是熟悉的。

2. 可视化工具集中最有用的项目之一是时间线功能，它允许用户查看设备上某一特定时间段内的操作。

   1. 首先，你必须告诉 FTK 你希望聚焦的日期。你可以通过在时间轴部分选择一个日期范围来做到这一点。

   2. 一旦你的日期范围加载到时间轴中，你将看到页面上有三个横向部分：

      • 第一部分是时间轴本身，显示了你指定日期范围内的不同兴趣项。

      • 中间部分是仪表盘，它提供了关于时间轴数据的更多细节。在这里，你可以看到按类别划分的数据——例如，电子邮件与图像、文件和其他兴趣项的比例。

      • 同样，底部部分是数据列表，它的结构与 FTK 的其他部分类似，因此应该容易导航。顾名思义，它提供了一个可以单独选择的项目列表，如果你希望进一步钻研某项内容，可以点击该项目。

3. 一旦你面前有了日期范围，就可以进一步聚焦于更具体的时间段。例如，如果你看到某个特定日期发生了很多活动，你可以使用滑块仅查看该日期的详细信息。同样地，你也可以关注特定的小时、分钟，甚至是秒。

4. 更详细地查看仪表盘部分，如果你在概览标签页上选择类别分布图，它会放大并显示按类别划分的数据。这些类别会根据你的案件有所不同，常见的选项包括文件夹、文档、电子邮件和图形。

5. 如果你点击任何特定类别，它将在屏幕底部的数据列表窗格中显示。这将允许你对特定类别的数据进行排序和分析。排序数据很简单：只需点击你感兴趣的标题并将其拖到上方的蓝色栏中。排序完成后，你可以扫描列表并标记出需要进一步探究的项目。标记项目的方法是，选择它并在屏幕右侧点击“标记所选项目”。这时会弹出一个框，提供多种选择，包括添加标签或创建书签。

以电子邮件为例——假设你找到了一个感兴趣的邮件，想要了解更多关于发件人及其动机的情况。最简单的方法是使用社交分析工具。要访问此工具，只需选择你想了解的电子邮件，然后点击列表上方的“社交分析器”。

1. 这个工具包含了丰富的信息，并且非常易于使用。首先，你会看到一个包含多个气泡的框，每个气泡内会有一个名字。这些是用户最常频繁沟通的域名。气泡越大，表示来自这些域名的电子邮件收发频率越高。这在知识产权欺诈案件或调查不满员工时尤为有用。点击任意一个气泡，会在它们之间显示出连接线。这些连接线展示了不同域名之间收发的邮件数量。线条的粗细表示域名之间的流量大小。

你可以展开域名，查看每个用户的列表。将鼠标悬停在某个特定用户上，会显示该用户的电子邮件地址。你还会看到更多的气泡出现在该用户周围——就像前面提到的域名一样，这些气泡展示了该用户曾发送邮件的其他人。再次强调，气泡的大小表示连接的程度。如果你想退出社交分析工具，并继续基于在那里找到的数据处理案件，你可以点击屏幕左侧的“提交结果”，然后在弹出的框中勾选“标记”。这将会为你查看的所有电子邮件添加标签，方便你在返回主案件视图时根据这些标签进行数据分类。

1. 互联网历史是另一种常用的取证信息来源，FTK 的可视化工具在这方面也提供了多个选项。它涵盖了所有最流行的浏览器，并且同样可以将这些数据放入时间轴中，然后深入挖掘具体的关注点。然而，你每次只能查看一个浏览器的数据。如果你已经加载了数据，进入“证据|附加分析|证据处理”并选择“处理互联网浏览器历史记录进行可视化”。这会弹出一个时间轴。一旦进入时间轴视图，你可以像查看邮件数据一样，点击具体的日期和项目，深入查看详情。同样，你可以通过从列表中选择项目并点击右侧屏幕上的“标记选定项目”来标记它们。这将允许你为这些项目添加标签，以便在主案件中查看时能够轻松访问。

2. 地理位置数据可以提供丰富的有用信息和进一步调查的机会，并且它的一个额外优势是，即使对于非技术客户也容易理解。在 FTK 案件中，地理位置功能默认启用，但你必须连接到互联网才能访问它。因此，可能值得关闭正在进行的实时案件，并打开一个副本，以防止数据的潜在污染。一旦选择了地理位置标签，你将能够看到数据在全球范围内的分布。你可以通过点击你想要检查的国家或地区上的气泡，进一步缩小范围。点击气泡后，地图会放大，并显示具体的兴趣点。你可以点击其中一个兴趣点，查看该位置发生的具体情况。选择了特定位置后，你可以右键单击该位置，会弹出多个选项。这些选项允许你更改图钉的颜色或将其更改为图标，查看该位置的经纬度，并通过标注或创建书签来标记该位置。再次提醒，任何添加的标签都可以在主案件中进行处理。

它是如何工作的…

可视化工具通过使用图形界面突出显示案件中的重要元素。它根据用户设置的偏好，按时间或位置进行结构化展示。

在可视化工具中深入分析数据集，还能让用户标记出特定的关注项，之后可以在主案件中进行复审。

在 Autopsy 中创建时间线

Autopsy 是一款广受欢迎的开源免费软件，在数字取证社区中有众多支持者。该工具执行所有调查工作所需的基本功能，同时也让技术用户通过创建兼容插件轻松扩展它。

时间线功能通常在已运行的案件中加载，理想情况下需要启用几个选项，以便高效使用，这些选项包括：

• 使用 NSRL 进行哈希查找

• 最近活动

• EXIF 数据

准备工作

首先，在 Autopsy 中加载你的案件，然后点击页面顶部的时间线（Timeline）。此时会弹出一个新窗口，让你访问时间线功能。

尽管 Autopsy 的时间线功能没有 FTK 的可视化工具或 Nuix 的 Web Review & Analytics 插件那么多花哨的功能，但它仍然是深入分析数字取证数据的一个很好的起点。

如何操作…

初看时，你会看到一个条形图，显示每年发生的事件数量。点击某一年会将该时间段细分为月份；点击某个月份将把时间线细分为天；最后，点击某一天会显示逐小时的时间线视图。目前没有比这更精细的时间粒度。下图展示了按月细分的时间线：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/b8fb8f37-15c4-4b01-a8f3-c27dd6a259e4.png

图 11.1. Autopsy 中的时间线视图。

准备时间线的过程：

1. 一旦选择了时间段，你将能够在屏幕的左下角查看任何相关数据。这里会显示一系列感兴趣的项目；具体显示什么内容将取决于你加载案件时选择的选项。点击任何一个列出的项目，将在屏幕右下角的面板中生成预览，如下图所示：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/11e2fe38-6df4-40f3-96d1-7b7ef64d295d.png

图 11.2. 预览面板将显示在屏幕的右下角。

点击时间线视图上方的分隔线，可以调整预览窗口的大小。

1. 在屏幕左侧的主时间线视图中，你会看到几个选项。这些选项可以告诉 Autopsy 你特别感兴趣的案件信息。选择其中任何一个选项，Autopsy 将自动为其加上颜色编码，并将其添加到时间线视图中，如下图所示：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/fd0aba83-393c-46f0-9dd4-7f20079781fb.png

图 11.3. 为时间线应用过滤器

1. 一旦找到感兴趣的项目，你可以在列表面板中右键点击它们，选择“标记结果”，然后为它们指定一个标签，如下图所示：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/95bf2ac0-2a50-4f00-92a7-2c1f6368f8c3.png

图 11.4. 标记结果生成时间线

1. 查看屏幕顶部，你会看到三个选项，位于视图模式旁边：计数、详细信息和列表。点击“详细信息”会显示不同的时间线视图，横向条形图代替纵向条形图，并附加了每个项目的详细信息，如下图所示：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/37878442-345c-4a8e-b332-1550d7ab2313.png

图 11.5. 时间线中的详细视图

1. 同样，列表面板会以垂直列表的形式展示数据，而不包含任何图形界面。这在某些情况下很有用，因为它仍然按时间框架排列数据，但它更为详细，且排序起来更方便，如下图所示：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/3e75f8e4-d68e-414d-b726-4ecba8ffee17.png

图 11.6. 列表视图是最详细的

数据可以导出为 HTML 文件、Excel 文档或TSK文件。时间线本身不会自动出现在报告中，因此，如果你希望它被包括在内，你必须截图并手动添加。

它是如何工作的……

Autopsy 的时间轴功能本质上是商业法医套件中时间轴工具的简化版。它通过分析您输入的案件中的数据，并将这些数据按照给定的时间段进行排列。

由于 Autopsy 是一个开源工具，您可以创建自己的附加组件，这可能在定制调查场景中提供帮助。

另见

Autopsy 下载页面：sleuthkit.org/autopsy/download.php

Autopsy 用户指南：sleuthkit.org/autopsy/docs/user-docs/3.1/

Nuix Web Review & Analytics

有时一个案件比仅仅从单一来源中提取数据并进行报告要复杂得多。特别是在执法调查中，通常会有许多人参与同一个案件，其中一些人是非技术调查员，这使得多个人能够查看、筛选并报告数据变得至关重要，而不论他们的技术知识水平如何。

Nuix 解决此问题的方案是其 Web Review & Analytics 工具，它位于其电子发现和 Director 套件之上，允许多个用户协作。

准备中

假设您已经拥有 Nuix 许可证，您可以从 Nuix 网站上获取此附加组件，网址将在本章末尾提供。

首先，像往常一样在工作台中创建案件并打开您的证据项。获取所有需要的数据后，打开 Web Review & Analytics，导航到您的案件并打开它。

如何操作……

接下来您看到的内容取决于您的权限级别。所有用户默认会进入他们的仪表盘。对于管理员来说，这里将显示一份用户列表，并附带描述其权限的复选框，您可以在此视图中管理和更改这些权限。

对于非管理员用户，仪表盘将显示案件概览。点击其中一个以开始。

1. 一旦案件加载完成，您可以通过顶部的搜索栏搜索特定的关键词或感兴趣的术语。这将返回一份结果列表，您可以在中间窗格中查看，并根据需要进一步钻取，正如以下屏幕截图所示：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/e648f44b-1995-4a6f-a404-85c87e56c65d.jpg

图 11.7. Nuix 的 Web Review & Analytics 中加载的结果列表

点击搜索结果中的任何项目，您可以查看更详细的信息。该项目的预览将显示在屏幕中央，右侧会出现三个标签：TAGS（标签）、SECURED FIELDS（受保护字段）和 METADATA（元数据）。METADATA 允许您查看与特定项目相关的元数据，或者查看其他 Web Review & Analytics 用户关联的相关信息。

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/a5544205-afcd-4a59-8724-32e1256b535b.png

图 11.8. Web Review & Analytics 中的查看选项

1. 点击屏幕顶部的“Kinds”将弹出一个选项列表，允许你根据文件类型或其相关元数据对数据进行排序。例如，查找图像时，将弹出一个画廊视图，类似于大多数取证软件中看到的界面，显示缩略图大小的图像预览，可以进一步选择、标记、评论或分析。

2. 选择地理定位将显示一个带有每个与案件相关位置的标记的地图。点击这些标记中的任何一个，将允许你放大并查看与该位置相关联的数据源。地理定位数据通过 Google Maps 显示，这对于大多数用户来说是一个熟悉的界面，如下图所示：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/626be77e-eb56-4065-84d7-53cce441313e.png

图 11.9. Nuix WR&A 中的 Google Maps 地理定位数据

1. Nuix 的 Web Review & Analytics 工具的一个精妙功能是能够为每个用户创建单独的元数据档案。例如，如果你在一个团队中工作，一个人负责处理图像，另一个人负责分析来自特定移动设备的所有数据，你可以轻松地为这些用户创建元数据档案，从而减少数据交叉污染的问题，并有助于数据分类。要创建单独的元数据档案，只需点击屏幕顶部的“全局选项”，选择“创建元数据档案”，然后按照提示进行设置。

2. Web Review & Analytics 中的报告部分特别有用，因为它不仅在深入细节时具有良好的可用性，而且对非技术用户也非常友好。图表和图形易于阅读，每个图表都可以点击以获取更多信息，点击后将带你回到网格视图，并允许你深入分析结果。在以下示例中，用户指示 Nuix Web Review & Analytics 显示语言列表，这是一个内置功能。该工具可以检测数据集中的语言使用情况，并将这些信息结构化为易于阅读的图表，例如以下图表。这使得用户能够将数据分解为单独的组件，从而可以进一步查看。

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/8b94fb6c-964c-46f4-98fb-a36ee3a33a39.png

图 11.10. Web Review & Analytics 功能的互动图表

报告可以作为 PDF 或多种常见的文件格式下载。然而，在 Web Review & Analytics 中最受欢迎的报告方式之一是创建一个没有管理权限、仅能查看而不能操作案件中数据的新用户。这样，客户或客户代表可以登录 Web Review & Analytics，详细查看他们最感兴趣的特定项目。

工作原理…

Nuix 的 Web 审查与分析通过采用基于网络的界面概念，并将其应用于大规模数字取证调查。这使得处理大型案件变得更加容易，避免了数据的意外交叉污染，能够保持证据链，并跟踪谁在处理案件的哪一部分。

参见

Nuix 的 Web 审查与分析: www.nuix.com/products/nuix-web-review-analytics（访问日期：13/07/17）。

第十二章：Windows 取证分析中的故障排除

在本章中，我们将介绍以下几个内容：

• 商业工具中的故障排除

• 免费和开源工具中的故障排除

• 进程失败时的故障排除

• 使用数字取证软件处理数据时的假阳性问题

• 开始你的数字取证之路

• 进阶阅读材料

介绍

我们都希望我们的案件总是百分之百完美，但不幸的是，有时事情确实会出错。无论是因为你使用的产品出现技术故障，调查员犯了错误，最初的数据集本身有问题，还是案件进入法庭时遇到的某种立法问题，在调查过程中遇到障碍是非常常见的。

在本章中，我们将重点介绍流行取证套件中一些最常见的故障以及如何修复它们。然后，我们将探讨当进程失败时你可以采取的措施，以及在遇到立法或司法管辖区挑战时你可以做什么。

最后，我们将为你提供一份关于数字取证入门的简短指南，并推荐一些进阶阅读材料——如果你还没被吓到的话！

商业工具中的故障排除

数字取证是一个非常复杂的领域。这意味着你在处理案件时可能会遇到不同的问题。这些问题可能有不同的性质：你可能因为工作站没有安装额外的第三方软件（通常是开发者会包含在工具包里的）而无法安装某个工具；你可能因为数据源损坏或格式/文件系统不被支持而无法正确处理数据源；你可能因为某些取证数据格式已更改且你的软件尚不支持该格式而无法解析某些取证证据，等等。

多亏了商业取证软件的开发者，包括 EnCase、FTK、AXIOM、Evidence Center、Intella 等，你几乎可以在大多数情况下，通过他们的客户支持服务迅速且轻松地解决几乎任何问题（大多数时候）。这些服务通常已包含在你的许可中。你所需要做的就是给支持团队发送一封邮件，甚至打个电话给他们。

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/90d18a31-8801-44e5-9146-2ed39943564a.png

图 12.1. Guidance Software EnCase Forensic 支持联系方式

免费和开源工具中的故障排除

当然，免费和开源工具没有客户支持服务，但它们有开发者。通常，你可以直接联系开发者并提问，或者甚至与他们分享（如果可能的话）你所遇到的数据源问题。这有助于开发者改进工具并帮助社区。

一些工具，比如 Sleuth Kit 和 Autopsy 等，拥有邮件列表：你可以提问，开发者或活跃用户会回答你，正如下面的截图所示：

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/437baa94-10b4-43bd-a32f-5f00238a14d9.png

图 12.2. 订阅 sleuthkit-users 邮件列表

当过程失败时的故障排除

由于调查和司法过程是由人类制定的，因此它们有时会失败；有时甚至失败得相当惊人。在这一部分，我们将看看一些常见的例子，并讨论当类似情况发生时该怎么做。

证据的可靠性

数字取证调查员最常受到的批评之一是挑战他们所呈现证据的可靠性。这包括常见的*“不是我”*辩护，其中被告坚称他们不是在使用相关设备的人；也有可能是证据本身存在问题；比如病毒或恶意软件在设备分析之前已经感染了该设备，或者分析过程本身在某种程度上修改了数据。

解决这些问题有几种方法，我们逐一来看。

不是我

在数字取证调查中，最难应对的挑战之一就是辩护方提出的“其他人使用了设备”的说法，尤其是当犯罪或其他不法行为发生时。这是全球被告的常用辩护理由。

几乎总是无法确凿地证明在某个特定时间是某个特定个体在使用某个设备。然而，在大多数法院，尤其是在民事案件中，调查员只需要证明这一点超出合理怀疑的范围。确实，可能是其他人闯入了被告的家，猜出了他们的密码，并在被告去为年迈的母亲购物时将一些不雅的儿童图片下载到他们的机器上，但这种可能性相当低。这是一个极端的例子，但它确实说明了一个观点：大多数时候，实际上拥有设备的用户就是在使用它的人。

在某些情况下，证明这一点可能会更困难——例如，当证据来自一台多个住户共享的机器时——但有时通过其他方式也能超出合理怀疑地证明某个特定人在那时使用了该设备。

在这种情况下，有一些有用的问题可以考虑：

• 用户的行为是否模仿了在活动发生时家庭中某个特定人物的行为模式？例如，最近打开了哪些标签页？他们是在查看特定的电子邮件账户或社交资料吗？

• 如果是查看基于文本的文件，使用的语言是否与该个体的正常言语和写作模式相符？他们是否使用了在其他文档中常用的词汇？当你将该文档与你知道他们曾发送过的消息进行对比时，是否有一些相同的单词拼写错误？

• 其他设备上的数据是否能够帮助确认活动发生时其他家庭成员是否在场？

所以，例如，假设家中某个成员被指控从互联网下载非法文件。A 人物是最可能的嫌疑人，因为当下载发生时，是他们的账户被登录了。

然而，你可能并没有抓住这个人当场作案，所以你需要查找其他数据来源，以便毫无疑问地证明是他们。例如，假设涉及的台式电脑是家里几位成员共同使用的，每个人都有自己的账户。显示哪个账户登录将是证明谁下载了文件的第一步。

这时，被告可能会说，应该是其他人使用了他们的账户；或许他们不小心让账户保持登录状态，或许有人猜出了密码或知道密码。

猜测密码始终是一个可能性，但其他人的写作风格要伪造起来要困难得多，所以这时你可以引入之前列出的其他问题。首先，查看下载文件的人使用的语言。下载发生前他们是否进行了相关的搜索，如果有，这些搜索词是否包含任何可能有用的语言标记？

一般来说，到这时，你会毫无疑问地证明被告有罪。但为了讨论的方便，假设被告非常坚持他们没有使用那台电脑。无论你给他们呈现多少证据，他们都不承认你说的任何一句话，并且不断重复不是我。

现在你可能想查看家里其他成员收集到的证据，看看他们设备的数据是否能证明没有人下载这些文件。

幸运的是，蓬勃发展的物联网行业正在使这种数据的收集变得越来越容易。假设你已经设法获取了家里所有设备的数据，并且面前摆放着这些数据集。你通过我们在第十一章《数据可视化》中讨论过的时间线视图浏览它们，并将调查范围缩小到文件下载的时间段。

现在你可以发现每个家庭成员在特定时间的活动。例如，假设家中的 B 人物负责所有的烹饪工作，在消息发送时，Amazon Echo就在厨房的柜台上，一边通过食谱指导做牛肉布尔吉尼翁（beef bourguignon）。智能电视的数据表明，有人坐在沙发上看电影，而这一点也得到了 C 人物智能手机的数据支持，手机被闲置着用来谷歌搜索正在屏幕上出现的演员名字。

来自 D 人物 Fit Bit 的数据表明，他们在消息发送时正在洗澡，而 E 人物则被摄像头拍到在 YouTube 上直播化妆教程，向他们的粉丝展示。

这使得 A 人物成为最可能的嫌疑人。但当然，被告可能仍然坚持说不是他们。

它是病毒 / 我被黑了

有时候，被告会从一个辩护转向另一个辩护，形成一种绝望的连锁反应。我们继续沿用上面的例子。已经确认在文件下载时，计算机前的人必须是 A，但他们现在提出了一个新的辩护：虽然他们确实在使用这台设备，但并没有故意下载这些文件。所以，要么计算机感染了病毒，要么他们可能被黑了。

在今天的世界中，很难证明一个设备没有病毒。除了通常在证明一个否定命题时遇到的挑战外，调查人员还面临着越来越智能的恶意软件，这些软件能够掩盖自己的痕迹，覆盖日志，甚至几乎不留痕迹地从系统中删除自己。

然而，在大多数情况下，你可以使用一些方法来确定计算机上病毒存在的可能性。

首先，也是最重要的一点，进行扫描。除非你正在处理一个特别复杂的案件，否则大多数恶意软件会在初步扫描中被发现，一旦你知道它是什么，你就能搞清楚它能做什么，不能做什么。同时，检查计算机是否安装了防病毒软件，如果安装了，检查其是否是最新的。

其次，如果你的调查集中在特定的时间范围内，就像我们当前的例子那样，查看在那个时间点计算机上发生了什么。如果有人在一个标签页中发送信息，而在另一个标签页中下载了非法文件，那几乎不可能不知道这些事情。类似地，也不太可能病毒会访问一个网站，下载 P2P 软件，授权计算机安装该软件，点击所有选项，同意条款和条件，打开软件，然后用它下载图片。

你的过程存在问题

一种更严重的辩护是，当某人声称调查员的过程有问题时。他们可能会声称，例如，证据被污染；案件处理不公；他们的权利没有得到保障；或是关键数据被遗漏，等等。

防止此类问题发生的最有效方法是采取预防措施，确保你在一开始就不会遇到这些问题。可以说，最重要的预防措施是建立并保持正确的证据链。

保管链基本上是记录你所收集的证据的文书，显示证据曾经在哪里，停留了多长时间，谁负责管理。也就是说，如果你在一个调查小组中工作，你的保管链文档应该详细记录谁到过现场，谁查看过现场的设备并决定是否移除它们，移除时它们是如何被处理的（例如，它们是被关闭并拔掉电源，还是在发现时已经关闭），它们是如何被带到处理区的，在此期间谁负责它们，最终是谁负责分析数据。

需要注意的其他重要细节包括对设备采取的任何操作，例如：

• 你在什么时候对设备进行了取证影像采集？

• 你是否备份了原始设备？你在何时备份，备份存储在哪里？

• 设备运输是如何处理的？例如，它是否被放入了法拉第袋？

• 你使用了哪些工具来检查设备，如何确定它们正常工作？

如果你能回答上述所有问题，并且准确填写了保管链文档，那么你的被告将很难质疑你的过程是否存在问题。

法律和管辖权挑战

在调查中可能面临的最难挑战是法律和管辖权的限制。

也许你收集了证据，指向了一个特定的网站，而该网站的服务器位于与你所在国家没有互惠协议的国家。也许数据存储在云端，且其法律管辖区不明确。也许你已编制了针对某个嫌疑人的案件，但他们处于另一个管辖区，而你在那里没有权限。

最终，我们都必须在法律的框架内工作。尽管大众文化中常常描绘数字取证专家非法黑入嫌疑人电脑并违反各种规则以确保案件定罪，但在现实世界中，这是不可能的。

如果你确实遇到管辖权挑战，最好的办法是尽可能与相关当局合作。例如，在涉及严重犯罪的案件中，如儿童保护或毒品走私调查，通常会有办法与国际执法机构合作，确保案件能够解决。这可能需要时间，并且需要大量耐心，但最终结果通常是值得的。

面对法律挑战时需要牢记的最重要的一点是，尽管在知道某人正在犯罪时，切角可能很有诱惑力，但这只会损害你的调查。不仅你的个人声誉将受到威胁，而且你可能污染证据，导致案件被驳回，从而适得其反。

数据处理中的假阳性，使用数字取证软件

在使用不同工具进行计算机取证检查时，无论是商业软件还是免费的或开源工具，你都会遇到所谓的假阳性，尤其是如果你计划使用数据雕刻技术时。

那么，为什么我们都会遇到这些假阳性呢？不是因为你的取证软件有 bug。问题是，这些假阳性只是与你的软件在从硬盘的未分配空间或其取证镜像中雕刻数据时所使用的标准匹配而已。

在使用支持大量不同应用程序的工具时，例如 Magnet AXIOM，你很可能会遇到假阳性。但是你必须明白，出现一些假阳性比出现一个假阴性要好得多！

https://github.com/OpenDocCN/freelearn-sec-pt3-zh/raw/master/docs/win-frsc-cb/img/d946275b-670b-4292-b7ce-6999781c0eaa.png

图 12.3。Magnet AXIOM 中的假阳性

如你在前面的图示中看到的，识别这些伪造痕迹并不难：它们看起来杂乱无章，毫无意义。

无论如何，作为计算机取证检查员，你必须彻底分析所有这些内容，因为即使是假阳性中也可能发现有价值的证据。

在数字取证中的第一步

如果你读到这里，并且你还不是一名数字取证从业者，但正在考虑它作为一个潜在的职业道路，那么恭喜你！你正在考虑进入一个不断发展的行业，拥有大量的机会和多个不同的领域可以追求。

你在数字取证中的下一步将取决于你目前所处的阶段，以及你最终希望进入哪个领域。

问问自己以下问题：

• 我喜欢解决实际问题吗，尤其是那些具有物理互动元素的问题，比如拆解机器部件找出故障所在？

• 我喜欢技术挑战吗，比如解谜、益智游戏、电子游戏和技术？

• 我更喜欢独立工作，还是作为团队的一部分工作？

• 对我来说，是赚很多钱更重要，还是在一个我觉得能够有所作为的领域工作更重要？

• 我宁愿参与实际调查，还是从事工具的研发？

• 哪些数字取证领域对我最有吸引力？

每个人对这些问题的回答都会不同。没有人能为你选择正确的道路，除了你自己；即便如此，我们都有时会做出错误的选择！然而，数字取证工作的一大优势是，许多技能是可以迁移的。一旦你具备了包括技术调查、研究活动以及在压力下保持冷静的能力等技能，你可以将这些技能应用到各种不同的职业中。

数字取证的三大主要领域涉及执法、企业工作和学术界。让我们简要地了解每个领域，看看哪个最适合你。

学术界

学术研究是一个要求极高的职业道路，通常比其他法医工作领域的薪酬要低，但它也可能非常有回报。在学术研究中工作通常会给你机会发现新技术，揭示该领域的新趋势。根据你的机构和资助机构的不同，你可能有机会使用一些最新的技术，例如研究最新一代的物联网设备，以及这些设备的法医数据如何在调查中使用。

进入学术研究领域至少需要本科学位。通常，人们在早期的学习过程中意识到自己适合这个领域，之后继续攻读研究生学位，并最终寻找研究团队和小组加入。

企业

企业法医学无疑是进入这一领域的薪资最高的路径，但竞争非常激烈。然而，数字法医学是一个增长中的行业，因此可用的职位数量一直在增加。求职者的兴趣也在增加，这意味着职位空缺相对较少。

许多数字法医学公司拥有多个不同的部门：一个负责处理从民事投诉到刑事诉讼案件的调查团队；一个负责研发的团队，提供软件解决方案以加速这些调查；一个负责销售和市场营销的团队，将这些解决方案推销给客户，等等。

如果你拥有计算机法医学或相关领域的学位，你已经在获得该职位的资格上走在了前面。然而，许多公司正在寻找那些在众人中脱颖而出的人。获得实习机会仍然是进入该领域并最终找到工作的最佳途径之一。值得了解一下培训选项——许多大型法医公司，如 Guidance Software、AccessData 和 Nuix，提供自己的培训课程，帮助学生掌握数字法医学技术。在简历中拥有这些证书可以帮助你脱颖而出，向雇主展示你对该领域的专注。

执法

人们选择进入数字法医学执法领域的主要原因之一是想要做出改变。作为一名警察或政府机构的成员，你将负责处理各种各样的任务，从毒品调查到儿童保护案件。如今，大多数执法机构都有专门的计算机法医学部门，而设备的普及意味着这一领域只会不断扩大。

从事执法工作并不适合每个人；通常工作时间较长，薪水也不如在大公司工作的收入。但是对许多人来说，知道自己直接帮助了他人，远比薪水更有价值。

我该如何开始？

如果你刚开始考虑从事这一领域的职业，第一步是做一些研究。这里有大量的信息可以帮助你入门，而且即使你还没有参加课程或开始正式学习，也有很多方法可以自己练习。

查看一些数字取证网站和论坛，那里有更多经验丰富的从业者分享他们的知识，并随时帮助你解答问题。你可以下载免费的工具，如 Autopsy 和 FTK Imager 进行练习，使用你自己的设备或在线找到的测试映像来创建并处理案例。这些将是你开始学习或进入该领域时非常宝贵的经验。

你也可以考虑参加附近的一些数字取证会议。许多会议为学生提供折扣，并且有一些会议会举行学生提交海报的竞赛，这些海报将在会议期间展示。像这样的活动是认识行业内其他人并开始建立你的人脉的好机会。

在下一节中，我们将推荐一些资源帮助你入门。

进阶阅读

以下书籍和网站对于任何对数字取证领域感兴趣的人都将非常有帮助。

书籍

对于一份深入且易于理解的进阶入门书籍，Eoghan Casey 的**《数字证据与计算机犯罪》**（Digital Evidence and Computer Crime）是必读书目。

其他一些关于该主题的优秀入门书籍包括：

• 《计算机取证》（Forensic Computing）由 Anthony Sammes 和 Brian Jenkinson 编写。

• 《数字取证基础》（The Basics of Digital Forensics）由 John Sammons 编写。

• 《文件系统取证分析》（File System Forensic Analysis）由 Brian Carrier 编写。

如果你想深入阅读特定主题，可以尝试以下几本书：

• 《实用取证映像：使用 Linux 工具保障数字证据》（Practical Forensic Imaging: Securing Digital Evidence with Linux Tools）由 Bruce Nikkel 编写，讨论了为什么正确的映像获取过程如此重要，并提供了一本包括许多免费和开源选项的操作指南。

• 《实用移动取证》（Practical Mobile Forensics）由 Heather Mahalik 和 Rohit Tamma 编写，介绍了移动设备的取证分析，并提供了一个实用的操作指南。

• 《移动取证调查》（Mobile Forensic Investigations）由 Lee Reiber 编写，为深入了解移动取证领域及如何进行分析提供了非常详细的内容。

• 《iOS 取证学习》（Learning iOS Forensics）由 Mattia Epifani 和 Pasquale Stirparo 编写，帮助调查 iPhone，并提供易于跟随的逐步说明。

• 《Android 取证学习》（Learning Android Forensics）由 Rohit Tamma 和 Donnie Tindall 编写，适合那些希望专注于 Android 设备的用户，或者只是想补充自己在这一领域的知识。

• 《记忆取证艺术》（The Art of Memory Forensics）由 Michael Hale Ligh 和 Andrew Case 编写，介绍了内存取证并讨论了他们的 Volatility 工具及其使用方法。

网站

• 4n6ir : blog.4n6ir.com/ — 一个经常更新的关于事件响应和数字取证的信息库。

• Between Two DFIRs : betweentwodfirns.blogspot.co.uk/ — 该博客重点关注计算机取证中的信息安全方面（DFIR 代表数字取证与事件响应），Andrew Swartwood 的博客是任何想进入这个领域的人的宝贵资源。

• Binary Foray : binaryforay.blogspot.co.uk/ — 适合高级从业者阅读的技术文章，Binary Foray 探讨了数字取证中的一些最新技术。

• BlackBag Tech : www.blackbagtech.com/index.php/blog — BlackBag 的博客包含几个持续的系列文章，带领读者了解数字取证的一些基础知识。

• Blackmore Ops : www.blackmoreops.com — 对于 Linux 爱好者来说，这是一篇必读文章，内容涵盖如何使用 Kali 并介绍了一些其取证应用。

• Cyber Forensicator : www.cyberforensicator.com — 一个每天更新的博客，涵盖数字取证新闻和研究。

• DFIR Training : www.dfir.training — 一个极好的资源，列出了数百个培训机会和工具。

• Didier Stevens : blog.didierstevens.com/ — 包括数字取证、事件响应、电子发现、黑客攻击和计算机安全领域的资源和更新。

• Forensic Focus : www.forensicfocus.com — 数字取证社区最大的在线平台，包含文章、评论、访谈和一个活跃的社区论坛。

• Forensic Lunch : www.youtube.com/user/LearnForensics — David Cowen 的热门 YouTube 频道，讨论数字取证调查的各个方面。

• Forensics Wiki : www.forensicswiki.org — 为数字取证从业者提供丰富的信息，并有一个定期更新的资源部分。

• Hacking Exposed Computer Forensics Blog : www.hecfblog.com — David Cowen 的博客更新不频繁，但每篇文章都值得等待：这些帖子详细解释了每个步骤的过程，内容既易于理解又有趣，适合新手和高级调查员。

• Mac4n6 : www.mac4n6.com — 一个专注于苹果产品的数字取证博客。

• Magnet Forensics : www.magnetforensics.com/blog/ — 这家数字取证公司的博客经常发布有用的网络研讨会、指南和从业者资源，内容常涉及儿童保护调查的文章和研讨会。

• 移动与技术探索：trewmte.blogspot.co.uk — Greg Smith 的博客涵盖多个数字取证主题，特别关注移动调查。

• 专业数字取证：prodigital4n6.blogspot.co.uk/ — 讨论数字取证和法律问题的博客，包含许多有用的案例研究来阐明观点。

• 本周数字取证资讯：www.thisweekin4n6.com — 由 Phill Moore 主办的每周博客，汇总数字取证、电子发现和恶意软件分析领域的最新新闻。

• Windows 事件响应：windowsir.blogspot.co.uk/ — Harlan Carvey 的博客，包含技巧、操作指南和资源。

• Zena Forensics：blog.digital-forensics.it/ — 由 RealityNet 团队合作开展的博客，虽然更新不频繁，但包含了一些有趣的研究，值得关注。

Twitter 账号

• @aboutdfir — aboutdfir.com的创始人，推送行业新闻、调查和研究

• @binaryz0ne — 数字取证、事件响应、恶意软件和流量分析研究员

• @christammiller — 推送关于数字取证和事件响应的研究和观点

• @ForensicFocus — 数字取证和电子发现专业人士的热门网站的 Twitter 账号

• @Fr333k — 计算机安全、在线隐私和数字取证研究员，推送最新的行业新闻

• @grumpy4n6 — 推送关于 IT 安全、事件响应、数字取证和恶意软件的内容

• @hacks4pancakes — 数字取证和开源情报专家，推送信息安全、计算机取证和相关主题的内容

• @HeatherMahalik — 数字取证专家、SANS 讲师，定期推送行业新闻

• @icanhaspii — 恶意软件、勒索软件和信息安全专家，推送数字取证、事件响应及相关内容

• @jayabaloo — 网络安全架构和 VOIP 安全专家

• @jessicambair — 推送关于网络安全、数字取证和事件响应的内容

• @jeviscachee — 本书的其中一位作者，推送关于数字取证、隐私和计算机安全的内容

• @lept — 都柏林大学学院 DigitalFIRE 团队成员，推送数字取证新闻和更新

• @mrkscn — 富布赖特学者、都柏林大学学院数字取证与网络安全助理教授，推送该领域的最新研究和发展

• @NadiaShiyyab — IT、SCADA 和数据网络安全研究员

• @OlgaAngel — 数字取证和信息安全讲师及研究员

• @pstirparo — 数字取证、威胁情报和移动安全专家，推送相关话题及更多内容

• @SuzanneWidup — 一位作者和研究员，在推特上分享关于数字取证、数据泄露和一般的极客内容

• @TroelsOerting — 巴克莱银行的集团首席安全官（CSO），他在推特上分享关于事件响应、计算机安全和数字取证的内容

• @udgover — 在推特上分享关于计算机取证、编程、算法和开源项目的内容

• @zaanpenguin — 一名事件响应者和数字取证调查员，在推特上分享行业新闻和有趣的研究