Kali Linux渗透测试 150 计算机取证简介

本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程，教程为安全牛课堂里的《Kali Linux 渗透测试》课程

Kali Linux渗透测试（苑房弘）博客记录

1. 简介

• Forensic investigations
• 法庭取证调查

• 事件响应调查

  • 黑客攻击、渗透测试留痕

• 什么是 forensic 科学

  • 法医的、用于法庭的、辩论学、法医学
  • 为了侦破案件还原事实真相，收集法庭证据的一系列科学方法
    
    • 参考本地法律要求
    • 实践操作通用原则

• CSI：物理取证

  • 指纹、DNA、弹道、血迹
  • 无力取证的理论基础是物质交换原则

• 本章关注：数字取证/计算机取证

  • 智能设备、计算机、手机平板、loT、有线及无线信道、数据存储

2. 通用原则

• 维护证据完整性
  
  • 数字取证比物理取证幸运的多，可以有无限数量的拷贝进行分析
  • 数字HASH值验证数据完整性
• 维护监管链
  
  • 物理证物保存在证物袋中，每次取出使用严格记录，避免破坏污染
  • 数字证物原始版本写保护，使用拷贝进行分析
• 标准的操作步骤
  
  • 证物使用严格按照按照规范流程，即使事后证明流程有误(免责)

• 取证分析全部过程记录文档

• 数字取证者的座右铭

  • 不要破坏数据现场(看似简单，实际几乎无法实现)
  • 寄存器、CPU缓存、I/O设备缓存等易失性数据几乎无法获取
  • 系统内存是主要的非易失性存储介质取证对象，不修改无法获取其中数据
  • 非易失性存储介质通常使用完整镜像拷贝保存
  • 正常关机还是直接拔掉电源(数据丢失破坏)
• 证据搜索
  
  • 数据
  • 信息
  • 证据

3. 取证科学

• 作为安全从业者
  
  • 通过取证还原黑客入侵的轨迹
  • 作为渗透测试和黑客攻击区分标准
    
    • 世纪佳缘事件
    • 印象笔记渗透测试事件

4. 取证方法

• 活取证
  
  • 抓取文件metadata、创建时间线、命令历史、分析日志文件、哈希摘要、转
  • 存内存信息
  • 使用未受感染的干净程序执行取证U盘/网络存储收集到的数据
• 死取证
  
  • 关机后制作硬盘镜像、分析镜像(MBR、GPT、LVM)