取证导论 & Volatility入门使用——ctf公开课笔记记录

取证导论：

电子数据取证技术 是 对电子数据源里的电子数据证据进行发现、固定、提取、分析、检验、鉴定、出示、存档的全过程， 可以应用在 网络攻击窃密、反欺诈调查、内部审计、失泄密痕迹发现、恶意网站查处 等案例中。

什么是取证?

计算机数字取证分为内存取证和磁盘取证，活取证与死取证，不管是哪种取证方式，都应该尽量避免破坏犯罪现场。例如通过内存转储工具对内存进行快照，通过磁盘克隆工具对磁盘进行克隆，方便后期的分析工作。

什么是内存?

内存(RAM)
内存是计算机中重要的部件之一，它是外存与CPU进行沟通的桥梁。
计算机中所有程序的运行都是在内存中进行的，因此内存的性能对计算机的影响非常大.
内存 是 操作系统及各种软件交换数据的区域， 特点 为 数据无法永久存储，关机断电容易丢失。

内存取证的意义

并非所有的程序运行时都会产生临时文件，这时内存中的数据就显得尤为重要。又因为内存中的数据是容易丢失的，我们可以采取抓取内存镜像的方式，将内存中的数据保存下来，方便后续的分析。

工具：DumpIt
WinEn
FTK Imager
取证大师

内存分析工具:

开源工具: volatility
一款基于python2开发的内存取证工具，是一款命令行工具，支持Winxp、win10、linux.macos等

非开源工具:取证大师、RStudio

内存分析主要关注:
浏览器记录
系统进程
编辑器内容
网络连接状态
文件提取
命令行信息

Volatility的入门使用

取证文件后缀.raw、.vmem、.img
常用命令(imageinfo，pslist，dumpfiles，memdump)
可疑的进程 (notepad，cmd)
和磁盘取证结合起来考察
了解部分操作系统原理
常见文件后缀dmg，img

基础命令
python vol.py -f [image] --profile=[profile][plugin]
volatility -f [image] --profile=[profile][plugin]

其中-f后面加的是要取证的文件，--profile 后加的是工具识别出的系统版本，[plugin] 是指使用的插件，其中默认存在一些插件，另外还可以自己下载一些插件扩充

第一步: 获取内存操作系统: volatility -f (要解析的文件) imageinfo

知道操作系统类型后，就可以使用令对内存进行取证

命令一:
plist/pstree/psscan: 非常有用的插件，可以列出转储时运行的进程的详细信息
plist无法显示隐藏/终止进程，解决这个问题可以使用psscan，pstree同样也是扫描进程的
但是是以进程树的形式出现的
例如: volatility -f mem.vmem --profile=WinXP SP2 plist

当内容比较多的时候，可以导出文本进一步分析查看
volatility -f mem.vmem --profile=WinXP SP2 plist > plist.txt
输出到volatility安装的路径下

命令二:查看当前显示的notepad文本
volatility -f file.raw --profile=WinXPSP2x86 notepad
命令三:扫描所有的文件列表(常常结合grep)
volatility -f file.raw --profile=WinXPSP2x86 filescan| grep flag
或grep -E 'png|jpg|gif|zip|rar|7z|pdf|txt|doc'
命令四: dumpfiles导出文件
volatility -f file.raw --profile=WinXPSP2x86 dumpfiles -D .-Q 0x....
需要指定偏移量 -Q 和输出目录 -D
命令五:查看命令行上的操作
volatility -f file.raw --profile=WinXPSP2x86 cmdscan

其他工具
Veracrypt 中文版是一款适用于 WindowsMac OSX和 Linux的免费开源磁盘加密软件
VeraCrypt 是TrueCrypt 的分支，主要开发者是法国的Mounir ldrassi，他在 TrueCrypt 基础上强化了防暴力破解功能
可以挂载磁盘分区

取证大师、Rstudio等
取证大师是厦门市美亚柏科信息股份有限公司自主研发的计算机取证拳头产品.主要面向基层执法人员开发的“智能型”电子数据取证分析软件，
R-Studio是一个功能强大、节省成本的反删除和数据恢复软件系列。