取证分析之谁动了我的电脑(一)

今儿在freebuf上突然看到一篇取证的博文,想到以前一直想对自己的电脑进行一次取证分析,大概的情形是电脑放在宿舍,回来时发现屏幕是亮的,竟然显示的是桌面,这时候就不禁要想一想是不是我的电脑被人动过了,可是自己的取证水平有限,什么翻看系统日志,看了看去都找不到什么有用的信息,于是借那篇博文来好好学习一下计算机的取证分析,freebuf原文地址:传送门

1.无线网络信息取证

这里的无线网络信息取证不是指在无线局域网的流量嗅探,而是指曾经连过的无线网络信息,这在取证中十分重要,可能一个无线网络名称就能暴露黑客的攻击位置,一般情况下利用公共网络来作为跳板进行下一步的渗透,这是黑客的常用手法。因此查看电脑里曾经连过的无线网络也就变得十分重要~

这是无线网络信息在注册表中的位置,注册表的打开姿势是在“运行”中输入regedit,我们常用的一般就是cmd指令,相应的这里打开注册表输入regedit即可

图片[1]-取证分析之谁动了我的电脑(一)-安全小百科

然后我们根据上面给出的无线网络位置去寻找。。。

图片[2]-取证分析之谁动了我的电脑(一)-安全小百科

这里以笔者的电脑为例,profiles下大概有10个注册表信息,每个注册表都包含一个无线的信息,在“ProfileName”中我们可以看到无线的名称,还能看到连接以及终止连接的时间(这里的十六进制待我去研究一下再回来解释具体怎么算)

2.近期打开的文件(jpg、docx、MP4)

图片[3]-取证分析之谁动了我的电脑(一)-安全小百科

在wps中我们能够看到最近使用的文件,由于刚清理过硬盘垃圾,因此所有曾经的使用记录都没了,在这里新建了一个test.docx来做测试,接下来我们去注册表中去寻找这个test.docx,但是我没想到,不仅仅是docx类型,还揪出了其他各式类型的文件!

接下来我们继续开始我们的注册表探索之旅~

图片[4]-取证分析之谁动了我的电脑(一)-安全小百科

找到了,会惊奇的发现,什么7z、html、jpg、docx类型的文件应有具有,下面我们来看看是不是我们取证分析中需要用到的~

图片[5]-取证分析之谁动了我的电脑(一)-安全小百科

点击docx,由于上午的垃圾清理,记录都没了,,,只有一条记录,我们点击这个键,看看能否对我们有帮助

图片[6]-取证分析之谁动了我的电脑(一)-安全小百科

我们可以看到文件名test.docx,至此我们新建的文档已经被我们找到,可惜的是看不到具体的内容。。。

接下来我们看看能不能从这个使用记录来挖掘其他有用的信息~

图片[7]-取证分析之谁动了我的电脑(一)-安全小百科

这是下午做isis实验时用到的一个iou压缩文件

图片[8]-取证分析之谁动了我的电脑(一)-安全小百科

这是最近打开的文件夹信息~

至此,我们可以找到所有的文件使用信息,当然只限于上述注册表的后缀,看着感觉蛮全的~

对文件的分析告一段落,接下来我们来看一看其他在取证中扮演重要角色的信息

3.网页地址信息

有时如果我们需要去找网页地址信息,一个方法是看浏览器中的历史记录,还有一种方法就是查看注册表~虽然感觉查看历史记录很方便,但是毕竟本篇主题是注册表的取证分析,那还是乖乖的来研究吧,换句话说,看历史记录多low~

图片[9]-取证分析之谁动了我的电脑(一)-安全小百科

由于是我一般使用Firefox,因此ie不怎么用,所以也就只有一条最原始的记录,不过win10现在默认的也是edge,更不谈用户会使用360、chrome等诸多浏览器,因此这个功能其实很鸡肋。。

4.启动项

一般情况下木马如果是开机启动,然后隐藏窗口的话,那么在这个启动项里就有木马的痕迹遗留

图片[10]-取证分析之谁动了我的电脑(一)-安全小百科

笔者对启动项有强迫症,凡是没用的我在360启动项里都禁止了,所以启动项比较少,也没什么可疑的程序。。

5.U盘等存储设备

这里我们对u盘存储设备也需要进行取证分析,假如最简单,你现在外出,电脑就扔在办公室里,别人插上u盘拷走你的数据,这时候就必须对插入的u盘设备进行取证分析

图片[11]-取证分析之谁动了我的电脑(一)-安全小百科

这里看到最近的u盘插入记录,有一个Kingston DataTraveler 2.0 USB Device,实际上这就是笔者的u盘。。

最后我介绍一个针对exe文件的取证分析工具,这款软件可以帮助我们看到系统曾经运行的哪些exe文件,这样配合上面的系统本地文件记录的查找,在文件使用上应该说可以做到一个很全面的取证,当然上述取证分析可能会比较麻烦,不过就权当学习吧~不然360里面总是清理垃圾都不知道清理的什么。。。

这款软件叫做LastActivityView,好像是基于系统应用日志做的,可以将我们最近应用的程序罗列出来,十分好用,对我们的取证分析也是十分有帮助的~

图片[12]-取证分析之谁动了我的电脑(一)-安全小百科

我看到了360又在偷偷升级。。。

附上软件的下载地址:传送门

 

相关推荐: 逆向破解的入门题目

我选取了两条实验吧里的逆向题目,题目不是很难,对于刚刚入门逆向的人来说,我觉得十分有用,由于自身逆向水平有限,有很多地方自己也是一知半解,不多说,开始我的表演~   1.该题不简单 下载压缩包的程度解压后得到一个exe文件,打开运行之 可以看到hel…

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论