今儿在freebuf上突然看到一篇取证的博文,想到以前一直想对自己的电脑进行一次取证分析,大概的情形是电脑放在宿舍,回来时发现屏幕是亮的,竟然显示的是桌面,这时候就不禁要想一想是不是我的电脑被人动过了,可是自己的取证水平有限,什么翻看系统日志,看了看去都找不到什么有用的信息,于是借那篇博文来好好学习一下计算机的取证分析,freebuf原文地址:传送门
1.无线网络信息取证
这里的无线网络信息取证不是指在无线局域网的流量嗅探,而是指曾经连过的无线网络信息,这在取证中十分重要,可能一个无线网络名称就能暴露黑客的攻击位置,一般情况下利用公共网络来作为跳板进行下一步的渗透,这是黑客的常用手法。因此查看电脑里曾经连过的无线网络也就变得十分重要~
1
|
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetworkListProfiles
|
这是无线网络信息在注册表中的位置,注册表的打开姿势是在“运行”中输入regedit,我们常用的一般就是cmd指令,相应的这里打开注册表输入regedit即可
然后我们根据上面给出的无线网络位置去寻找。。。
这里以笔者的电脑为例,profiles下大概有10个注册表信息,每个注册表都包含一个无线的信息,在“ProfileName”中我们可以看到无线的名称,还能看到连接以及终止连接的时间(这里的十六进制待我去研究一下再回来解释具体怎么算)
2.近期打开的文件(jpg、docx、MP4)
在wps中我们能够看到最近使用的文件,由于刚清理过硬盘垃圾,因此所有曾经的使用记录都没了,在这里新建了一个test.docx来做测试,接下来我们去注册表中去寻找这个test.docx,但是我没想到,不仅仅是docx类型,还揪出了其他各式类型的文件!
1
|
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs
|
接下来我们继续开始我们的注册表探索之旅~
找到了,会惊奇的发现,什么7z、html、jpg、docx类型的文件应有具有,下面我们来看看是不是我们取证分析中需要用到的~
点击docx,由于上午的垃圾清理,记录都没了,,,只有一条记录,我们点击这个键,看看能否对我们有帮助
我们可以看到文件名test.docx,至此我们新建的文档已经被我们找到,可惜的是看不到具体的内容。。。
接下来我们看看能不能从这个使用记录来挖掘其他有用的信息~
这是下午做isis实验时用到的一个iou压缩文件
这是最近打开的文件夹信息~
至此,我们可以找到所有的文件使用信息,当然只限于上述注册表的后缀,看着感觉蛮全的~
对文件的分析告一段落,接下来我们来看一看其他在取证中扮演重要角色的信息
3.网页地址信息
有时如果我们需要去找网页地址信息,一个方法是看浏览器中的历史记录,还有一种方法就是查看注册表~虽然感觉查看历史记录很方便,但是毕竟本篇主题是注册表的取证分析,那还是乖乖的来研究吧,换句话说,看历史记录多low~
1
|
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerTypedURLs
|
由于是我一般使用Firefox,因此ie不怎么用,所以也就只有一条最原始的记录,不过win10现在默认的也是edge,更不谈用户会使用360、chrome等诸多浏览器,因此这个功能其实很鸡肋。。
4.启动项
1
|
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
|
一般情况下木马如果是开机启动,然后隐藏窗口的话,那么在这个启动项里就有木马的痕迹遗留
笔者对启动项有强迫症,凡是没用的我在360启动项里都禁止了,所以启动项比较少,也没什么可疑的程序。。
5.U盘等存储设备
1
|
HK_Local_MachineSystemControlSet001EnumUSBSTOR
|
这里我们对u盘存储设备也需要进行取证分析,假如最简单,你现在外出,电脑就扔在办公室里,别人插上u盘拷走你的数据,这时候就必须对插入的u盘设备进行取证分析
这里看到最近的u盘插入记录,有一个Kingston DataTraveler 2.0 USB Device,实际上这就是笔者的u盘。。
最后我介绍一个针对exe文件的取证分析工具,这款软件可以帮助我们看到系统曾经运行的哪些exe文件,这样配合上面的系统本地文件记录的查找,在文件使用上应该说可以做到一个很全面的取证,当然上述取证分析可能会比较麻烦,不过就权当学习吧~不然360里面总是清理垃圾都不知道清理的什么。。。
这款软件叫做LastActivityView,好像是基于系统应用日志做的,可以将我们最近应用的程序罗列出来,十分好用,对我们的取证分析也是十分有帮助的~
我看到了360又在偷偷升级。。。
附上软件的下载地址:传送门
我选取了两条实验吧里的逆向题目,题目不是很难,对于刚刚入门逆向的人来说,我觉得十分有用,由于自身逆向水平有限,有很多地方自己也是一知半解,不多说,开始我的表演~ 1.该题不简单 下载压缩包的程度解压后得到一个exe文件,打开运行之 可以看到hel…
请登录后发表评论
注册