1. M F T 文件( W i n d o w s 取证之 MFT文件(Windows 取证之 MFT文件(Windows取证之MFT - FreeBuf网络安全行业门户)
概念:它是包含了NTFS卷中所有文件信息的数据库,NTFS使用MFT条目定义它们对应的文件,有关文件的所有信息,比如大小、时间、权限等都存在MFT条目中,或者由MFT条目描述存储在MFT外部的空间中。
数据恢复:假如现在有100个MFT条目和一个文件X,现在删除文件X并立即创建500个以上文件,那么文件X的MFT条目将会被覆盖。虽然文件的内容可能存在与硬盘上,但包含名称、元数据等的MFT条目将被覆盖。这种文件数据和MFT条目分开的方式。MFT被覆盖时,存在非100%被覆盖的情况,这种情况被称为MFT文件松弛
Step2:打开软件,选择$MFT文件,然后导出到csv,导出的条目会以csv文件的形式存放在软件目录下。
Step3:打开csv文件,里面有文件的名称,日期,权限等各种信息,我们找到一些有关路径或者差不多的信息来确定相关文件(可以通过搜索功能)
Step4:然后查看这些信息,发现异常的地方。(重点关注时间之类的信息,看差异的信息)这道例题里面是FN_Info和SN_Info不一样,特意注意下,$FN只能由内核级进程修改。
0x0567DC00|GOOD|OK||88567|13|1|86832|1|Mod-File.txt|:\Users\DFIR\Desktop\Mod-File.txt|FILE|ALLOCATED|1|archive|archive|DOS+WIN32|0|2019-01-01 01:01:01.0000000|2019-01-01 01:01:01.0000000|2020-01-19 12:19:30.3933817|2019-01-01 01:01:01.0000000|0|2020-01-19 11:51:19.3290999|2020-01-19 11:51:25.8535572|2020-01-19 11:51:25.8539659|2020-01-19 11:51:25.8520885|1|0|0|0|20993824|||1|0||00||146907926|352|1024|0|0|0x0006|||||0|0|0|0|1368|0||||||||||||{817E2E08-3A9F-11EA-9223-000C2909356D}|NOT PRESENT|NOT PRESENT|NOT PRESENT|||||||||||||||||||||||||||||||||||||||1|0|1|1|0|0|0|1|0|0|0|0|0|0|0|0
RecordOffset|Signature|IntegrityCheck|Style|HEADER_MFTREcordNumber|HEADER_SequenceNo|Header_HardLinkCount|FN_ParentReferenceNo|FN_ParentSequenceNo|FN_FileName|FilePath|HEADER_Flags|RecordActive|FileSizeBytes|SI_FilePermission|FN_Flags|FN_NameType|ADS|SI_CTime|SI_ATime|SI_MTime|SI_RTime|MSecTest|FN_CTime|FN_ATime|FN_MTime|FN_RTime|CTimeTest|FN_AllocSize|FN_RealSize|FN_EaSize|SI_USN|DATA_Name|DATA_Flags|DATA_LengthOfAttribute|DATA_IndexedFlag|DATA_VCNs|DATA_NonResidentFlag|DATA_CompressionUnitSize|HEADER_LSN|HEADER_RecordRealSize|HEADER_RecordAllocSize|HEADER_BaseRecord|HEADER_BaseRecSeqNo|HEADER_NextAttribID|DATA_AllocatedSize|DATA_RealSize|DATA_InitializedStreamSize|SI_HEADER_Flags|SI_MaxVersions|SI_VersionNumber|SI_ClassID|SI_OwnerID|SI_SecurityID|SI_Quota|FN_CTime_2|FN_ATime_2|FN_MTime_2|FN_RTime_2|FN_AllocSize_2|FN_RealSize_2|FN_EaSize_2|FN_Flags_2|FN_NameLength_2|FN_NameType_2|FN_FileName_2|GUID_ObjectID|GUID_BirthVolumeID|GUID_BirthObjectID|GUID_DomainID|VOLUME_NAME_NAME|VOL_INFO_NTFS_VERSION|VOL_INFO_FLAGS|FN_CTime_3|FN_ATime_3|FN_MTime_3|FN_RTime_3|FN_AllocSize_3|FN_RealSize_3|FN_EaSize_3|FN_Flags_3|FN_NameLength_3|FN_NameType_3|FN_FileName_3|DATA_Name_2|DATA_NonResidentFlag_2|DATA_Flags_2|DATA_LengthOfAttribute_2|DATA_IndexedFlag_2|DATA_StartVCN_2|DATA_LastVCN_2|DATA_VCNs_2|DATA_CompressionUnitSize_2|DATA_AllocatedSize_2|DATA_RealSize_2|DATA_InitializedStreamSize_2|DATA_Name_3|DATA_NonResidentFlag_3|DATA_Flags_3|DATA_LengthOfAttribute_3|DATA_IndexedFlag_3|DATA_StartVCN_3|DATA_LastVCN_3|DATA_VCNs_3|DATA_CompressionUnitSize_3|DATA_AllocatedSize_3|DATA_RealSize_3|DATA_InitializedStreamSize_3|STANDARD_INFORMATION_ON|ATTRIBUTE_LIST_ON|FILE_NAME_ON|OBJECT_ID_ON|SECURITY_DESCRIPTOR_ON|VOLUME_NAME_ON|VOLUME_INFORMATION_ON|DATA_ON|INDEX_ROOT_ON|INDEX_ALLOCATION_ON|BITMAP_ON|REPARSE_POINT_ON|EA_INFORMATION_ON|EA_ON|PROPERTY_SET_ON|LOGGED_UTILITY_STREAM_ON
2.MAC OS系统取证
1.macos介绍:首先,mac os没有注册表这样的数据库存储系统和应用信息,而是将这类信息,分别存储在钥匙圈,Property List和SQLite数据库中,而不同的Plist文件和SQLite文件往往包含嫌疑人的关键证据数据。
3.Mac用户数据存储位置:
用户资源库:/Users/用户名/Library(通常10~20GB,包含大量有价值的数据)
站点(如网站开发数据):/Users/用户名/Sites
应用程序: /Applications
MAC硬盘中各个文件夹
1.打开就会发现四个文件夹
Applications(应用程序):存放各种软件的地方
System(系统):包含由Apple安装的系统软件。
/System/Library/CFMSupport CFM,CodeFragment Manager,等同旧Mac OS应用程序都会使用的共有程式库. 以确保Mac OS环境的一致性
/System/Library/DTDs 作为存放系统所使用的各种XML档桉, 并为其格式定义之档案
/System/Library/Extensions 其实这裡就是用作存放硬件驱动的地方,苹果不称驱动程序为driver, 而是称为Extension。
/System/Library/OpenSSL 全名为Secure Sockets Layer. 是一套通讯加密技术, 一般用于Web服务器上, 会将密码传送时以加密的暗号处理, 从而减低第三方成功盗 取资料的可能. 一般应用于以https开首的URL上. Mac OS X内置的WebServer—Apache, 亦包含这个服务。
/System/Library/CoreServices/Finder.app这个比较特别, 因为这是一个应用而非一个档桉夹, Finder.app可说是负责掌控整个OS上的一切资源。
Library(资料库):比如字体、ColorSync 配置、偏好设置以及插件都应该安装在 Library 目录下适当的子目录中。
Application Support包含了应用相关的数据以及支持文件,比如第三方的插件,帮助应用,模板以及应用使用到但是并不需要用来支持运行的额外资源文件。按照惯例,所有这些内容都会被存储在以应用名称命名的子目录当中。
Extensions包含了设备驱动和其它内核扩展。(只存在于系统域当中。)
Favorites包含了指向经常访问的文件夹、文件或者网站的别名。(仅仅存在于用户域当中。)
User(用户):包含了某个用户专有的资源。这里也有一个Library文件夹,不同与上边的那个Library,是专为你的帐号服务,里面放的是你自己的个性化字体、配置文件等。(这里面有用的信息多一点)
Library 包含了应用设置、偏好设置一起其他用户专有的系统资源。
(请关注:
名称 路径 文件名
最近访问的文件 /Users/用户名/Library/Preferences com.apple.recentitems.plist
通讯录(照片 /Users/用户名/Library/Application Support/AddressBook/Sources//Metadata(Images) .abcdp(.jpg)
系统版本 /System/Library/CoreServices System Version.plist
Applications包含仅仅当前用户可用的应用。
Macos登录密码设置文件kcpassword简介有:
使用了一组魔数 125, 137, 82, 35, 210, 188, 221, 234, 163, 185, 31
登录密码明文按位依次循环与魔数进行异或,最后加上 35 181 122 180 153 242 70 85 145 160 十个字节做标识
Macos自动登录配置文件:/Library/Preferences/com.apple.loginwindow.plist
Macos自动登录密码设置文件:/etc/kcpassword
MACOS版本号存储文件:/System/Library/CoreServices/SystemVersion.plist
3.网络取证:
过滤语句:
!http表示不选取http的包
src代表源端口,dst代表目的端口
ip.addr == 192.168.1.1 过滤ip地址为192.168.1.1的包
ip.dst == 192.168.1.1 过滤ip目的地址为192.168.1.1的包
ip.src == 192.168.1.1 过滤ip源ip地址为192.168.1.1的包
tcp 过滤tcp的包
tcp.port == 80 过滤端口为80的包
udp 过滤udp的包
arp 过滤arp的包
http http2 过滤http、http2的包
4.备份路径
5.文件头总结
6.对损坏的数据库进行取证
7.openstego使用教程
1.data hiding ,发现后缀是dmp这种,就可以猜测是有数据隐藏了。
2.extract data,提取数据是也需要加密时的密码(所以猜测题目需要猜测密码,看到有openssl,猜测可能是rsa解密)
3.digital watermarking
Step1:生成签名,生成签名的时候,生成的后缀名是.sig
Step3:检查水印
8.linux指令
(1).查看系统信息: uname命令可以显示系统的基本信息,如内核版本、操作系统名称、主机名、硬件架构等。它有以下常用的选项:
-a:显示所有信息
(2)linux发行信息:
lsb_release
lsb_release命令可以显示Linux发行版的信息,如发行版名称、版本号、代号等。它有以下常用的选项:
-a:显示所有信息
-d:显示发行版描述
-c:显示发行版代号
-r:显示发行版版本号
(3)cpu详细信息:lscpu
lscpu 用于显示关于CPU的详细信息。它提供了有关处理器架构、逻辑核心数、大小端模式、CPU频率、缓存层次结构和支持的特性等信息。
常见的参数:
-a, --all: 显示所有可用的CPU信息,包括默认和扩展的信息。
-p, --parse: 解析/proc/cpuinfo文件并以可读格式显示处理器信息。
-s, --socket: 只显示物理插座(socket)的信息,包括插座编号、核心数和线程数等。
-c, --cpu: 只显示逻辑CPU的信息,包括CPU编号、核心编号、线程编号等。
-x, --hex: 在显示CPU特性和标志时,以十六进制格式显示。
-y, --extended=KEY: 显示扩展的CPU信息。KEY可以是以下之一:cache,cpu,flags,topology。
-e, --online: 只显示在线的CPU的信息,即正在运行的CPU。
-V, --version: 显示lscpu命令的版本信息。
(3)系统实时进程状态:
top命令可以实时地显示系统的进程状态,如CPU占用率、内存占用率、运行时间等。它有以下常用的选项:
-u :只显示指定用户的进程
-p :只显示指定进程ID的进程
-c:显示完整的命令行
(4)网络接口信息:ifconfig
ifconfig命令可以显示和配置网络接口的信息,如IP地址、子网掩码、广播地址、MAC地址等。它有以下常用的选项:
-a:显示所有接口的信息,包括未激活的
-s:只显示摘要信息,不显示详细
(5)网络连接信息:netstat
-a:显示所有活动的TCP连接和监听的TCP和UDP端口
-b:显示每个连接或监听端口所涉及的可执行文件的名称。在某些情况下,一个可执行文件可能包含多个独立的组件,这时会显示创建连接或监听端口所涉及的组件序列。这个选项可能比较耗时,而且需要足够的权限才能使用。
-e:显示以太网统计信息,如发送和接收的字节数和数据包数。这个参数可以和-s一起使用。
-n:显示数字形式的地址和端口号,而不是尝试解析主机名。
-o:显示每个连接的进程标识符(PID)。你可以在任务管理器中根据PID找到对应的应用程序。这个参数可以和-a, -n, -p一起使用。
-p :只显示指定协议的连接。协议可以是tcp, udp, tcpv6, 或 udpv6。如果这个参数和-s一起使用来显示协议统计信息,协议可以是tcp, udp, icmp, ip, tcpv6, udpv6, icmpv6, 或 ipv6。
-r:显示IP路由表。这相当于route print命令。
-s:按协议显示统计信息。默认情况下,会显示TCP, UDP, ICMP, 和 IP协议的统计信息。如果安装了IPv6协议,还会显示TCP over IPv6, UDP over IPv6, ICMPv6, 和 IPv6协议的统计信息。-p参数可以用来指定一组协议。
-t:显示当前连接状态。
我们一般直接用-lnpt
列出系统上所有磁盘分区的信息,包括磁盘设备、分区类型和分区大小等。
fdisk命令的基本语法是:
fdisk [选项] [设备名]
其中,选项可以用来指定操作模式或输出格式,例如:
-l 或 --list:列出所有磁盘或指定磁盘的分区信息,而不进入交互模式。
-s 或 --get-size:显示指定分区的大小,以扇区为单位。
-u 或 --units:指定输出的单位,可以是cylinders(柱面)、sectors(扇区)或bytes(字节)。
如果没有指定选项,则fdisk命令会进入交互模式,让用户输入各种命令来操作分区。常用的命令有:
p:显示当前磁盘的分区信息。
n:创建一个新的分区。
d:删除一个已有的分区。
t:修改一个分区的类型。
a:设置一个分区为可引导的。
w:保存修改并退出。
q:放弃修改并退出。
(6)磁盘使用情况
df(disk free)命令用来显示磁盘的使用情况,包括磁盘的总容量、已用空间、可用空间和使用百分比。它可以帮助我们监控磁盘的空间是否充足,以及哪些分区或文件系统占用了较多的空间。
df命令的基本语法是:
df [选项] [文件名]
其中,选项可以用来指定输出的格式或单位,例如:
-h 或 --human-readable:以人类可读的方式显示磁盘容量,如K、M、G等。
-T 或 --print-type:显示每个文件系统的类型,如ext4、xfs等。
-a 或 --all:显示所有文件系统,包括特殊的文件系统,如proc、sysfs等。
-i 或 --inodes:显示每个文件系统的inode信息,即文件数量和使用情况。
如果没有指定文件名,则df命令会显示所有已挂载的文件系统的信息。如果指定了文件名,则df命令会显示该文件所在的文件系统的信息。
(7)块设备:
lsblk 命令
lsblk是一个用于列出所有可用块设备的信息,以及他们之间的依赖关系的命令。块设备是指代表磁盘、分区、光盘等设备的特殊文件。lsblk命令通过查询/sys虚拟文件系统和udev数据库来获取信息。如果udev数据库不可用或者lsblk没有编译udev支持,那么它会尝试从块设备中读取标签、UUID和文件系统类型。lsblk命令的基本语法是:
lsblk [选项] [设备…]
-f 可以查看uuid了。
其中,选项可以指定输出格式、过滤条件、显示列等;设备可以指定要显示的块设备,如/dev/sda、/dev/sdb等。如果不指定设备,则默认显示所有块设备(除了RAM盘)。
lsblk命令的输出是一个树状结构,显示了每个块设备的名称、大小、类型、安装点等信息。例如,以下命令显示了我的系统中的所有块设备:
9.linux/etc/目录下面文件
/etc/group:查看组名,每一行代表一个用户组,后面显示的数字代表GID,组密码,放在etc/gshadow文件中
etc/passwd 文件中每行用户信息的第四个字段记录的是用户的初始组 ID,
10.linux下var/log文件
自启动服务的日志在/var/log/boot.log
/var/log/lastlog,用户最近的信息
/var/btmp登录失败的信息
iPhone系统常用文件夹位置
1、【/Applications】
常用软件的安装目录
3、【/private /var/ mobile/Media /DCIM】
相机拍摄的照片文件存放目录
4、【/private/var/ mobile /Media/iTunes_Control/Music】
iTunes上传的多媒体文件(例如MP3、MP4等)存放目录,文件没有被修改,但是文件名字被修改了,直接下载到电脑即可读取。
5、【/private /var/root/Media/EBooks】
电子书存放目录
6、【/Library/Ringtones】
系统自带的来电铃声存放目录(用iTunes将文件转换为ACC文件,把后缀名改成.m4r,用iPhone_PC_Suite传到/Library/Ringtones即可)
电话界面:
/Applications/MobilePhone.app/
软件目录路径:
/Applications
字体路径:
System\Library\Fonts\Cache
FIT皮肤:
/Library/FIT
漫画文件存放于
/private/var/mobile/Media/Photos/iComic (注:iComic目录需自己创建)或 /private/var/mobile/Documents/ 目录)
摄像软件目录路径:
/private/var/mobile/Media/Videos点击下载。
主题目录路径:
/private/var/stash/Themes
系统铃声目录路径:
/System/Library/Audio/UISounds (wav铃声扩展名可以改为caf)
电子书目录路径:
/private/var/mobile/Media/EBooks
短信铃声路径:
/System/Library/Audio/UISounds
文件名:sms-received1.caf至sms-received6.caf
(caf是文件扩展名)
拨号面板图标路径:
/Applications/MobilePhone.app
文件名:addcontact addcontact_pressed callbkgnd callbkgnd_pressed callglyph callglyph_big DefaultDialer delete delete_pressed MobilePhonePackedImages.artwork
充电电池图标路径:
/System/Library/CoreServices/SpringBoard.app
文件名:BatteryBackground BatteryBG_1至BatteryBG_17
天气补丁路径:
/Applications/Weather.app
文件名:Info
手机信号图标路径:
/System/Library/CoreServices/SpringBoard.app
文件名:Default_0_Bars.png一直到Default_5_Bars.png 和FSO_0_Bars.png–FSO_5_Bars.png 10个图标为信号图标。
Wifi信号图标路径:
/System/Library/CoreServices/SpringBoard.app
文件名:Default_0_AirPort.png—Default_3_AirPort.png和FSO_0_AirPort.png—FSO_3_AirPort.png 8个图标为wifi信号图标
Edge信号图标路径:
/System/Library/CoreServices/SpringBoard.app
文件名:Default_EDGE_ON.png和FSO_EDGE_ON.png 2图标为Edge信号图标
解锁小图标路径:
/System/Library/CoreServices/SpringBoard.app
文件名:FSO_LockIcon.png
待机播放器图标路径:
/System/Library/CoreServices/SpringBoard.app
文件名:nexttrack.png , pause.png , play.png, prevtrack.png 4个图标为待机播放器图标
IPOD播放信号图标路径:
/System/Library/CoreServices/SpringBoard.app
文件名:FSO_Play.png ,Default_Play.png
闹钟信号图标路径:
/System/Library/CoreServices/SpringBoard.app
文件名:Default_AlarmClock.png ,FSO_AlarmClock.png
震动图标路径:
/System/Library/CoreServices/SpringBoard.app
文件名:silent.png ,hud.png ,ring.png
滑块图标路径:
/System/Library/PrivateFrameworks/TelephonyUI.framework
文件名:Bottombarknobgray.png(待机解锁滑块图标),bottombarknobgreen.png(待机状态下移动滑动来接听 滑块图标),Bottombarknobred.png(关机滑块 图标),bottombarbkgndlock(待机解锁滑块背景),
bottombarlocktextmask(待机解锁滑条背景)
解锁滑条图标路径:
/System/Library/PrivateFrameworks/TelephonyUI.framework
文件名:topbarbkgnd.png ,bottombarbkgndlock.png
滑块文字路径:
/System/Library/CoreServices/SpringBoard.app/zh_CN.lproj
文件名:SpringBoard.strings
待机时间字体路径:
/System/Library/Fonts/Cache
文件名:LockClock.ttf
待机时间背景路径:
/System/Library/Frameworks/UIKit.framework
文件名:Other.artwork
农历路径:
/private/var/mobile/Library/Calendar
文件名:Calendar.sqlitedb
运营商图标路径:
/System/Library/Carrier Bundles/Unknown.bundle
文件名:
Default_CARRIER_CHINAMOBILE–FSO_CARRIER_CHINAMOBILE(中国移动)
Default_CARRIER_CHINAUNICOM–FSO_CARRIER_CHINAUNICOM(中国联通)
系统瘦身路径:
进入/System/Library/TextInput
其中应该是管理各种语言输入的文件
保留TextInput_en.bundle和TextInput_zh.bundle
其余的全部删除,共有108M
91安装软件目录:
/private/var/stash/Applications
注:由于固件不同,因此部分目录可能存在差异