計算機取證與司法鑒定課件項目二

項目二

Windows環(huán)境單機取證理解電子證據(jù)的概念和特點

掌握Windows環(huán)境下易失性證據(jù)的固定方法和磁盤取證鏡像的制作方法

掌握Windows環(huán)境注冊表取證調(diào)查方法

掌握Windows環(huán)境重要文件目錄和日志調(diào)查方法

掌握Windows環(huán)境常用進程和網(wǎng)絡(luò)痕跡調(diào)查方法學(xué)習(xí)目標(biāo)在項目一的案例中，某公司主管Alice懷疑部門經(jīng)理Adam對公司有侵權(quán)行為，因此委托計算機取證調(diào)查人員Tom進行調(diào)查。Tom通過對案件的了解和取證的準備以及現(xiàn)場的勘察，了解到被調(diào)查者Adam使用的辦公計算機采用WindowsXP的操作系統(tǒng)，且其USB盤和存儲卡等也采用Microsoft的文件結(jié)構(gòu)。那么Tom如何針對Adam的計算機進行計算機取證調(diào)查呢？項目說明項目任務(wù)在計算機取證現(xiàn)場固定原始證據(jù)；對取證目標(biāo)系統(tǒng)的注冊表進行分析；分析取證目標(biāo)系統(tǒng)的重要文件和目錄；調(diào)查取證目標(biāo)系統(tǒng)的重要日志；調(diào)查取證目標(biāo)系統(tǒng)的常用進程和網(wǎng)絡(luò)痕跡。電子證據(jù)一切由信息技術(shù)形成的，用以證明案件事實的數(shù)據(jù)信息?；A(chǔ)知識電子證據(jù)的特點物理特性技術(shù)特征基礎(chǔ)知識電子證據(jù)的可采性問題電子證據(jù)的關(guān)聯(lián)性電子證據(jù)的合法性電子證據(jù)的客觀性基礎(chǔ)知識Windows/DOS取證基礎(chǔ)主引導(dǎo)記錄MBRFAT文件結(jié)構(gòu)NTFS文件結(jié)構(gòu)基礎(chǔ)知識Tom明確針對Adam的辦公計算機進行調(diào)查時需獲取和固定原始證據(jù)，即對Adam的辦公計算機硬盤和所有公司配給其使用的USB盤和存儲卡制作取證鏡像備份。

考慮到如果進入取證現(xiàn)場時取證目標(biāo)處于開機并正常運行，需在關(guān)機前對易失性證據(jù)進行獲取和固定，因此需要準備易失性證據(jù)獲取工具包，以便快速獲取和固定易失性證據(jù)。

準備在取證實驗室深入分析原始證據(jù)鏡像備份前，首先對取證目標(biāo)系統(tǒng)的注冊表、重要文件和目錄、重要日志、常用進程和網(wǎng)絡(luò)痕跡等這些最容易獲取證據(jù)和線索的方便進行初步的調(diào)查。項目分析任務(wù)一：原始證據(jù)取證復(fù)制易失性證據(jù)的獲取項目實施初始響應(yīng)工具包初始響應(yīng)工具包的作用固定易失性證據(jù)在計算機取證中，一般需要對系統(tǒng)進行取證分析時，首先需要關(guān)閉系統(tǒng)，然后對硬盤進行取證精確備份以做深入分析。但一旦關(guān)機，有些重要的易失性證據(jù)信息就會消失。所謂易失性證據(jù)，通常指存在于被取證計算機的寄存器、緩存或內(nèi)存中，主要包括網(wǎng)絡(luò)連接情況、正運行進程狀態(tài)等關(guān)機后就會全部丟失且不可能恢復(fù)的證據(jù)信息。項目實施初始響應(yīng)工具包初始響應(yīng)工具包的作用易失性證據(jù)主要包括：系統(tǒng)日期和時間：最近運行的進程列表；最近打開的套接字列表；在打開的套接字上進行監(jiān)聽的應(yīng)用程序；當(dāng)前登錄的用戶列表；當(dāng)前或最近與本系統(tǒng)建立連接的其他系統(tǒng)列表。項目實施初始響應(yīng)工具包初始響應(yīng)工具包的作用對Windows系統(tǒng)進行初始響應(yīng)前，取證調(diào)查人員首先應(yīng)創(chuàng)建初始響應(yīng)工具包，目前在Windows環(huán)境下常用的初始響應(yīng)工具有以下幾種：cmd.exe：WinNT/2000等的命令行工具；systeminfo：列出被取證系統(tǒng)環(huán)境信息；ipconfig：列出被取證系統(tǒng)網(wǎng)絡(luò)配置；psgetsid：列出被取證系統(tǒng)當(dāng)前的SID信息；psinfo：列出被取證系統(tǒng)基本信息；項目實施初始響應(yīng)工具包初始響應(yīng)工具包的作用對Windows系統(tǒng)進行初始響應(yīng)前，取證調(diào)查人員首先應(yīng)創(chuàng)建初始響應(yīng)工具包，目前在Windows環(huán)境下常用的初始響應(yīng)工具有以下幾種：psloggedon：顯示所有本地和遠程連接用戶；pslist：列出被取證系統(tǒng)上正運行的所有進程；netstat：列出監(jiān)聽端口和對應(yīng)的當(dāng)前連接；arp：顯示最后一分鐘內(nèi)與被取證系統(tǒng)進行通信的其他系統(tǒng)MAC地址；psservice：列出系統(tǒng)當(dāng)前的服務(wù)信息；psloglist：列出系統(tǒng)日志；項目實施初始響應(yīng)工具包初始響應(yīng)工具包的作用對Windows系統(tǒng)進行初始響應(yīng)前，取證調(diào)查人員首先應(yīng)創(chuàng)建初始響應(yīng)工具包，目前在Windows環(huán)境下常用的初始響應(yīng)工具有以下幾種：nbtstat：列出最近十分鐘內(nèi)的NetBios連接；fport：列出打開TCP/IP端口的所有進程；MD5sum：為一個給定的文件創(chuàng)建MD5的Hash碼；doskey：為打開的cmd.exe命令行程序顯示其歷史命令的列表；netcat：在取證工作計算機和被取證計算機之間創(chuàng)建通信信道。項目實施初始響應(yīng)工具包初始響應(yīng)工具包的作用調(diào)查人員在系統(tǒng)關(guān)機前，可使用這些初始響應(yīng)的工具進行現(xiàn)場易失性證據(jù)的收集，為了保證取證的順利進行，調(diào)查人員必須使用安全的命令行解釋程序。由于被取證系統(tǒng)的命令行shell可能被修改，調(diào)查人員不能相信它的輸出，因此在現(xiàn)場進行易失性證據(jù)收集時，必須使用自己確認可信的命令行解釋程序。項目實施初始響應(yīng)工具包初始響應(yīng)工具包的作用在易失性證據(jù)收集的過程中，為了保證無損取證的原則，不能將收集到的數(shù)據(jù)存放在被取證計算機的硬盤上。因此取證調(diào)查人員通常采用兩種方式保存。一種是采用網(wǎng)絡(luò)通信的方式利用netcat等工具將收集到的數(shù)據(jù)信息傳送到取證人員的計算機中；另一種是取證人員準備專用的取證存儲介質(zhì)（U盤，存儲卡等），將數(shù)據(jù)存儲在其中。項目實施初始響應(yīng)工具包初始響應(yīng)工具包的制作在做好以上工作后，取證調(diào)查人員運行初始響應(yīng)工具包中的工具來收集易失性證據(jù)。取證調(diào)查人員在收集易失性證據(jù)時，通常將很多必須的操作合并成一個批處理文件，然后利用腳本文件的運行自動獲取易失性證據(jù)。案件性質(zhì)不同，初始響應(yīng)工具包中腳本文件的編寫也有差異。項目實施初始響應(yīng)工具包初始響應(yīng)工具包的制作以Win系統(tǒng)為例，在制作初始響應(yīng)工具包時，首先應(yīng)當(dāng)具有安全的Cmd.exe。需要MD5sum程序?qū)μ崛〉男畔⑦M行證據(jù)固定如果需要提取的信息在內(nèi)部命令中無法提取，就需要一些外部的工具，如fport、pslist等等項目實施初始響應(yīng)工具包初始響應(yīng)工具包的制作在完成準備工作后，需要執(zhí)行相應(yīng)的命令，并將提取的信息存放到文本文件中，并將該文本文件保存到取證U盤等介質(zhì)中。最后需要利用MD5sum程序?qū)Ρ４嫣崛⌒畔⒌奈谋疚募\算Hash碼，進行證據(jù)固定通常有經(jīng)驗的取證人員的初始響應(yīng)工具包中，常常會自己編寫一個或數(shù)個批處理文件，用于不同情況的易失性證據(jù)的快速獲取項目實施初始響應(yīng)工具包初始響應(yīng)工具包的制作

@echoontime/t>>.\evidence\evidence.txtdate/t>>.\evidence\evidence.txtsysteminfo>>.\evidence\evidence.txtipconfig>>.\evidence\evidence.txtpsloggedon/t>>.\evidence\evidence.txtnetstat-an>>.\evidence\evidence.txtnbtstat-c>>.\evidence\evidence.txttime/t>>.\evidence\evidence.txtdate/t>>.\evidence\evidence.txtdoskey/history>>.\evidence\evidence.txtcd.\evidencemd5sum*.txt>hash.txt項目實施任務(wù)一：原始證據(jù)取證復(fù)制利用FTKImager進行取證復(fù)制利用X-WaysForensics進行取證復(fù)制項目實施任務(wù)二：Windows注冊表調(diào)查對計算機調(diào)查員來說，注冊表提供了大量豐富的信息來源，包括各種計算機設(shè)置，以及從識別安裝軟件到尋找網(wǎng)站密碼等行動的信息。從調(diào)查的角度來看，注冊表中包含了有價值的證據(jù)信息。調(diào)查人員可以使用注冊表編輯器程序查閱和搜索注冊表，查找可能包含證據(jù)線索的條目。項目實施任務(wù)二：Windows注冊表調(diào)查在WindowsNT/2000/XP/2003等系統(tǒng)中默認的注冊表文件位置HKEY_CURRENT_USERHKEY_CURRENT_CONFIGHKEY_CLASSES_ROOTHKEY_LOCAL_MACHINE項目實施任務(wù)二：Windows注冊表調(diào)查計算機取證調(diào)查中關(guān)注的常規(guī)鍵HKCR\*HKCU\ControlPanel\*HKCU\Network\*HKCU\Printers\DevModePerUser\HKCU\VolatileEnvironmentHKCU\Software\*與HKLM\Software\*HKCU\Software\Microsoft\InternetAccountManager\Accounts\*項目實施任務(wù)二：Windows注冊表調(diào)查計算機取證調(diào)查中關(guān)注的常規(guī)鍵HKCU\Software\Microsoft\NTBackupHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComputerDescriptionsHKCU\Software\Microsoft\WindowsNT\CurrentVersion\DevicesHKLM\Hardware\Devicemap\Scsi\HKLM\Network\Logon\HKLM\SAM\SAM\Domains\Account\項目實施任務(wù)二：Windows注冊表調(diào)查計算機取證調(diào)查中關(guān)注的常規(guī)鍵HKLM\Software\Microsoft\Updates\HKLM\Software\Microsoft\Windows\CurrentVersion\UninstallHKLM\Software\Microsoft\WindowsNT\CurrentVersion\NetworkCardsHKLM\System\CurrentControlSet\Control\ComputerNameHKLM\System\CurrentControlSet\Control\Print\Printers項目實施任務(wù)二：Windows注冊表調(diào)查計算機取證調(diào)查中關(guān)注的常規(guī)鍵HKLM\System\CurrentControlSet\Control\TimeZoneInformationHKLM\System\CurrentControlSet\EnumHKLM\System\CurrentControlSet\Enum\USBSTORHKLM\System\CurrentControlSet\ServicesHKLM\System\MountedDevicesSID項目實施任務(wù)二：Windows注冊表調(diào)查取證調(diào)查時注冊表中關(guān)注的文件夾位置取證調(diào)查時注冊表中關(guān)注的自啟動項項目實施固定注冊表信息以注冊表中自啟動項的調(diào)查為例，討論如何固定注冊表信息間諜軟件、病毒以及其他惡意代碼為了在系統(tǒng)重啟后繼續(xù)感染計算機，通常會更改系統(tǒng)設(shè)置，使得他們在系統(tǒng)啟動時自動運行；另外，對自啟動項目的調(diào)查也可以了解用戶要經(jīng)常打開的文件是些什么。Windows注冊表中有很多地方都記載了自動啟動運行的項目，其中最為常用的位置如下。項目實施固定注冊表信息以注冊表中自啟動項的調(diào)查為例，討論如何固定注冊表信息HKCU\Software\Microsoft\Windows\CurrentVersion\Run\：列出特定用戶設(shè)置為下次登錄時運行的軟件；HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\：列出每次系統(tǒng)登錄時自動執(zhí)行的項目；HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\：列出設(shè)置為執(zhí)行一次就從注冊表中刪除的可執(zhí)行文件。它常常被有兩部分的安裝引導(dǎo)程序使用，這些程序在兩個部分中間需要重啟。惡意軟件可使用這個鍵，其方式是在鍵里面安置一個指向惡意代碼的鏈接，然后在自動移除之后把它放回去；HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\：列出設(shè)置為執(zhí)行一次接著就從注冊表中刪除的可執(zhí)行文件。通常在WinXP系統(tǒng)中用于無人看管的系統(tǒng)安裝。惡意代碼使用RunOnceEx的方式與RunOnce相同；HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\與RunServicesOnce以及HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\與RunServicesOnce：列出在啟動時只運行一次（RunServicesOnce）或每次啟動都自動運行（RunServices）的服務(wù)。這些鍵能用于在用戶登錄之前觸發(fā)可執(zhí)行程序；項目實施固定注冊表信息以注冊表中自啟動項的調(diào)查為例，討論如何固定注冊表信息HKCU\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\load：一個較為隱蔽的與自啟動有關(guān)的鍵，其不要求創(chuàng)建新的子鍵；HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run和HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run：列出允許用戶登錄時自動運行的與資源管理器相關(guān)的程序（在HKCU下只和某個特定用戶相關(guān)，而在HKLM下則適用于所有用戶；HKCU\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit：此處含有正常的可執(zhí)行程序userinit.exe，但也能包含其他被逗號分隔的程序名。由于通常正常程序并不使用這個鍵，所以除了userinit.exe之外的其他條目都應(yīng)調(diào)查；HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler：列出基于WinNT的系統(tǒng)啟動時要運行的任務(wù)列表。項目實施固定注冊表信息以注冊表中自啟動項的調(diào)查為例，討論如何固定注冊表信息除了自啟動項外，注冊表中還有許多的重要信息，其中SID碼的提取，可以唯一指向一個用戶，是取證中極其重要的信息，其路徑如下HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Profilelist項目實施固定注冊表信息以注冊表中自啟動項的調(diào)查為例，討論如何固定注冊表信息調(diào)查人員在進行計算機取證調(diào)查時，可以利用各種注冊表查看、搜索和提取工具，在無損取證的原則下，對目標(biāo)系統(tǒng)的注冊表相關(guān)項進行深入分析，并提取相應(yīng)的信息，固定為電子證據(jù)信息。Tom在調(diào)查Adam的辦公計算機時，對系統(tǒng)的注冊表較為關(guān)注兩個方面，一是這個系統(tǒng)每次登錄時自動執(zhí)行了哪些項目？另一個是最近一次，在這個系統(tǒng)的“運行”框中鍵入過哪些命令？因此Tom需要分別調(diào)查HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\項和HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU項的內(nèi)容，并將這些內(nèi)容固定。Tom可以采用以下做法項目實施固定注冊表信息以注冊表中自啟動項的調(diào)查為例，討論如何固定注冊表信息打開一個可信任的CMD.exe，并在存儲取證信息的介質(zhì)盤中創(chuàng)建名為“AdamHives