电影里面常常有把嫌疑人的看似空空的硬盘变出数据出来,百度了看也就是事实上文件删除了但是数据未被覆盖还留在硬盘里面这一说法。事实上说简单也简单,说复杂也复杂。本文列举了网上公开的20项技术,由于篇幅限制,因此只做概述。
首先声明,本文仅用于学习研究,如有他人不当使用,与本人无关。如侵犯您的权益,马上联系本人 删除。
一切数据来源于互联网公开资料,见http://www.xsjs-cifs.com
由于本文是概述,因此只对该类型技术进行方法索引和大致介绍。
涉及范围:
计算机
Android手机
NTFS磁盘
SIM卡
监控录像
常规文件
一、安卓手机的取证
情景分支1:需要完整复制安卓手机数据进行分析
方法概述:绕过开机等操作复制手机硬盘内容。
"非root条件下获取安卓手机物理镜像.pdf"
1 基于第三方recovery的提取方法,利用第三方具有 root 权限的 recovery 分区实现手机数据的获取。需要加电。延伸:adb调试,安卓shell命令。
2 基于JTAG的提取方法:old
3 基于芯片拆解的提取方法:old
4 基于硬件无损的提取方法(主要)
基于META模式等底层通讯协议的提取方法:MTK 芯片组手机,UFED可用
基于硬件漏洞的提取方法:PH-Extractors可用
工具:
UFED
由Cellebrite开发,大名鼎鼎的苹果手机也在破解测试中落败。
(专业工具,付费软件,需要配套硬件)
UFED支持手机列表
image.png
http://www.panduoduo.net/u/bd-3562632910/3
PH-Extractors 也叫平航
(专业工具,付费软件)
由于软件付费,到此就不探究实践了。
情景分支2:手机短信sql提取
1.Root
2.镜像下载
3.X-Way Forensics 的同步搜索短信内容
情景分支3:刷入第三方 rec 利用其备份系统功能提取密码文件破解屏幕锁。
二、硬盘检查和设备查询
情景分支1:找出硬盘中残留的xls文件
方法概述:winhex定位特征字符
”Excel 2003文件碎片检验方法研究.pdf“
xls格式还好。由于现今Xlsx大多采用压缩格式存取,所以对数据的分析只能依照csv进行。分析价值不大。对此类压缩类型文件最好用StellarPhoenixWindowsDataRecovery这类软件分析。
情景分支2:找出硬盘中残留的监控视频文件
功能:查看、对比硬盘中的 dat 文件,按时间戳循环存储
"H:\DOWNLOAD\一类视频监控录像数据恢复的新方法.pdf"
X-ways Forensic和StellarPhoenixWindowsDataRecovery这类基于文件索引和文件头恢复文件不可用了,因此:同样使用winhex分析数据解释器,分析创建时间这些间接信息。并且用Diskbackup software恢复。
情景分支3:NTFS 存储设备数据恢复(加电)
NTFS格式存储设备数据恢复方法研究.pdf
方法概述:
3 种 NTFS 存储设备数据恢复方法,即通过NTFS 日志文件($LogFile)、残留的 MFT 记录和文件头部存储特征值来完成恢复。
1 通过 $LogFile 元文件可以提取出删除痕迹,定位簇块次序,进而完成删除文件的恢复。
image.png
2 测试扫描 $MFT 元文件方式
3 扫描 NTFS 格式存储设备的空闲空间完成恢复:对于非连续存储不好。
工具:Final Data、easy recovery、encase等
情景分支4:USB使用痕迹:
USBSTOR 表键取证,USB 和 UMB 表键的分析
UsbViewer 工具抽取USB 设备信息
挂载的时间信息、盘符
以下几大手段均包含分析USB信息的记录:
C:\Windows\INF\setupapi.dev.log
C:\Users\UserName\AppData\Roaming\Microsoft\Windows\Recent 使用Windows File Analyzer
事件日志中的系统日志记录
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\xxxxxxxxxxxxxxxx.automaticDestinations-ms
C:\Users\Administrator\AppData\Local\IconCache.db
情景分支5:特殊软件的环境模拟
工具:SafeVM Pro、Safeanalyzer、ENCASE/FTK/Winhex
三、文件的分析
情景分支1:文件的时间属性
在 FAT32中 ,文件的时间属性存储于 FDT 的目录登记项中。
在 NTFS 中,MFT 的文件记录的文件时间属性有 4 种
在 Windows资源管理器中显示的文件时间属性是 UTC 时间转换为本地时间的结果,其实际存储的值是从 1601 年 1月 1 日 12 时起逝去的特定时间单位(100ns)的个数[ 4]。
FAT32和NTFS时间属性精确度不同
情景分支2:海量存储
Txt xls exe doc access
Txt:
0D0A每行结束;
情景分支3:MS SQL Sever
一个 SQL Server 数据库至少包含 1 个数据文件和 1 个事务日志文件
使用 IN-SERT 、UPDAT E、DELETE 等对数据库更改的操作都记录在ldf文件中
工具:
(1)Window s Foren-sic Tools 等动态数据提取工具;
(2)DD DCFLDD等;
(3)MD5SUM WINMD5;
(4)SQL Server Man-agement Studio ;
(5)SQLCMD ;
(6)SQLServer 自带的视图、函数、过程等, 如 DMV 、DBCC ;
(7)SQLServ-er 第三方分析软件工具,如 Log Explorer
<待完善>
情景分支4:Mdb破解
Access key
情景分支5:文件存储变化的目录项
删除标记;word文件的tmp包含操作信息;
文件名头E5标志;
情景分支6:播放器记录,音乐器记录
具体分析
情景分支7:Shellnoroam注册表键和ntuser
四、特殊设备
情景分支1:伪基站
主发射机、配套天线和装有群发短信软件的控制电脑
“伪基站”设备目前主要依靠开源的 GSM 基站软件项目 OpenBTS 实现。
情景分支2:SIM卡信息
制作 SIM 卡的镜像卡
SIM 卡共有 3 种数据文件,存储文本信息
ParabenCell Seizure 软件
情景分支3:MAC破解被盗电脑
一旦联网,运营商会记录ip和mac
情景分支4:跟踪定位器:
笑死我了,百度SIM卡里面的电话号码就解开了,原来是一家查婚外情的公司的号码,肯定是老公装的。
情景分支5:智能手表:
USB提取镜像,考虑MTK
电子取证是指利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。从技术方面看,计算机犯罪取证是一个对受侵计算机系统进行扫描和破解,对入侵事件进行重建的过程。具体而言,是指把计算机看作犯罪现场,运用先进的辨析技术,对计算机犯罪行为进行解剖,搜寻罪犯及其犯罪证据。
网友评论