计算机取证

简介

• 取证例题文件格式：zip、iso、vmdk、vhd、raw、dmp、dump、e01、vmem、mem、img、npbk（夜神模拟器）、evtx（windows日志）、reg（注册表）

• 【关于注册表reg文件，千万不要使用本机直接打开】

  取证系统类型：

  • Windows：NTFS/FAT/exFAT
  • Linux：Ext2/3/4
  • MacOS：HFS/HFS+

取证工具

取证工具：volatility(2/3)、DiskGenius、（取证大师、火眼）付费

注册表工具：RegistryExplorer、MiTeC Windows Registry Recovery（WRR）、（RegistryWorkshop）付费

挂载工具：AccessData FTK Imager、CnCrypt、VeraCrypt、夜神模拟器、ArsenalImageMounterwindows

WEB取证

常见WEB网站源码路径Apache:/var/www/html，配置文件/etc/httpd/conf/httpd.conf

Weblogic:/xxx/domains/base_domain/sercers/AdminServer,配置文件/conf/server.xml

Nginx:/home/wwwroot/default，配置文件/etc/nginx/conf/nginx.conf

IIS:C:\inetpub\wwwroottomcat:server.xml war包在tomcat的webapps下，直接检索，获取war包

内存取证

采集

通过工具将内存中的全部数据完整拷贝为镜像文件（常见格式：raw、elf、dump、mem），核心要求是不修改原内存数据。

采集工具：Windows：FTK Imager、DumpIt、WinPMEM

Linux/macOS：LiME（Linux Memory Extractor）、dd（简单场景，可能存在数据不完整风险）

通用开源工具：Volatility Framework（支持采集 + 分析）

注意事项：优先使用只读模式采集，避免工具自身进程写入内存破坏证据。

系统层→进程层→数据层

商业工具：FTK Imager、EnCase Forensic（司法取证首选）

开源工具：dd（Linux 命令行工具，简单易用）、dcfldd（dd 的增强版，支持哈希实时校验）、Guymager（图形化开源工具）。

指令示例（dd 工具）：# 将/dev/sda磁盘完整镜像为disk_image.raw，并实时生成MD5哈希

dd if=/dev/sda of=disk_image.raw bs=4M conv=noerror,syncmd5sum disk_image.raw > disk_image.md5

思路与实操

一般内存取证的题目会给一个镜像文件，可以首先尝试一下strings之类的命令看看有没有附加隐写或者有没有hints和非预期存放的flag，如果没有的话就只能老老实实取证了

• 使用imageinfo获取镜像Profile信息， WinXPSP2x86之类的信息；
• 使用filescan对系统文件做全盘扫描，一般会在桌面上放压缩包图片之类的hints。可以结合系统命令做筛选findstr或者grep；
• 使用dumpfiles或者memdump对数据进行导出，前者导出文件后者是进程，然后可以分析这个文件或者进程；
• 前面导出的文件可能会存在密码或者只能拿到一部分有价值的数据，这个时候我们可以使用pstree、psscan、pslist、cmdscan等命令检查可疑项；
• 结合可疑项和前面导出的文件做文件分析，可能可疑项是一个key之类的的或者需要从可疑项中读取某个值；一般只要知道简单的vol的命令，然后能够结合前面的图片分析压缩包分析来对导出的文件做分析就差不多能拿到flag。

注册表相关

• SOFTWARE：包含系统软件和应用程序的配置信息。

• SYSTEM：包含系统硬件配置及其驱动程序的关键信息。

• SECURITY：有关系统安全设置的信息。

• DEFAULT：包含系统默认用户配置的数据。

• SAM：用于存储系统用户和组信息。

• 注册表位置：C:\Windows\System32\config

关机时间

HKEYLOCALMACHINE\SYSTEM\ControlSet001\Control\Windows 的ShutdownTime键值，以64位Windows/FILETIME时间格式保存。

计算机名称

HKEYLOCALMACHINE\SYSTEM\ControlSet001\Control\ComputerName\ComputerName 的ComputerName键值

本地用户

HKEYLOCALMACHINE\SAM\SAM\Domains\Account\Users\Names

最后登录的用户

HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

当前登录用户

HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\SessionData\1

流量分析

http.request.uri contains "login"

ip.src 源 / ip.dist 出 / ip.addr
tcp.port tcp.srcport tcp.dstport

tshark -r  -T fields  -e dns.qry.name | sort | uniq > test.txt

USB