使用開源、免費(fèi)軟件進(jìn)行取證（不氪金取證方法）

Autopsy

https://www.autopsy.com

Autopsy? is the premier end-to-end open source digital forensics platform. Built by Basis Technology with the core features you expect in commercial forensic tools, Autopsy is a fast, thorough, and efficient hard drive investigation solution that evolves with your needs.

個(gè)人感覺 Autopsy 是有兩個(gè)版本的，一個(gè)是Windows上的，由 Java 語言編寫，目前大版本是 4，擁有比較完善的功能，頁面布局和取證大師、Encase 等工具比較像；另外一個(gè)是 Linux 上面的，由C語言編寫，提供了一個(gè)簡(jiǎn)易的Web前端（甚至沒有用到 JavaScript），可以通過包管理器安裝（Kali Linux 自帶了），擁有鏡像查看、關(guān)鍵詞搜索、時(shí)間線分析等功能，這個(gè) Autopsy 有比較長(zhǎng)的開發(fā)歷史了，準(zhǔn)確說是 thesluthkit 的一個(gè)圖形化界面，而不是 Windows 上面的 Autopsy 那種比較完備的綜合取證工具。需要注意的是，筆者此處的說法并不嚴(yán)謹(jǐn)，使用 Java 語言編寫的 Autopsy 也是提供了 Linux 和 MacOS 版本的，只是安裝配置相對(duì)耗費(fèi)時(shí)間，有需求的可以參考官網(wǎng)文檔和下載的程序包里面的指引進(jìn)行安裝。

Windows 上的由 Java 編寫的 Autopsy 可在此處下載：https://www.autopsy.com/download/ ，軟件大小約 1 GiB左右。

下載安裝完成后，軟件主界面如下：

插一句，Linux 下通過包管理器安裝的 Autopsy 長(zhǎng)這樣：

開始分析工作

輸入案件名稱與基本信息

案件基本信息（可不填）

添加數(shù)據(jù)來源

添加檢材

可以選擇以下類型的文件或設(shè)備：

筆者此處選擇第一項(xiàng)，磁盤鏡像或虛擬機(jī)磁盤文件。此處的用例是 2023 第一屆龍信杯的檢材，使用了 Windows 的磁盤鏡像，格式為 vmdk 虛擬機(jī)磁盤文件。

選擇解析用的插件

Autopsy使用插件來對(duì)檢材進(jìn)行分析，具體插件可以從網(wǎng)上下載，并在設(shè)置中添加。以自帶的插件為例：

選擇 Data Source Integrity 插件，可以對(duì)磁盤內(nèi)容進(jìn)行哈希校驗(yàn)，校驗(yàn)結(jié)果在右上角消息菜單中查看（信封標(biāo)志）。

需要注意的是，如果選擇使用上圖框選的解析工具來解析 Android 和 iOS 的檢材，需要遵守這兩個(gè)工具對(duì)檢材的要求。原本筆者也是不了解的，后來單獨(dú)使用了 aLEAPP 和 iLEAPP 后，才發(fā)現(xiàn)的。對(duì)于 Android 分析，要求提供 data 分區(qū)的文件夾或者 tar、zip、gz 包，而不能是常用的鏡像文件，此外對(duì)于 iOS 也是同樣的要求，這里是不能直接分析 iTunes 備份文件的。

這個(gè)是 aLEAPP 的軟件界面：

這個(gè)是可以用來解析的 data （導(dǎo)出的文件）文件夾示意：

分析結(jié)果查看

此處贅述了，選擇好解析插件后，繼續(xù)下一步，完成分析后會(huì)是這樣的界面（直接在圖中標(biāo)示了）：

將數(shù)據(jù)來源展開，以此處為例，展開到 C:\Windows\System32\config，打開注冊(cè)表 hive 文件，Autopsy 會(huì)自動(dòng)選擇查看器，可以以樹狀的形式查看內(nèi)容：

分析結(jié)果查看：

筆者個(gè)人觀點(diǎn)，不喜勿噴

Autopsy 使用 Java 語言編寫，感覺在性能上把握得不是很好，有時(shí)候查看文件能感到明顯的卡頓感，此外分析數(shù)據(jù)時(shí)也稍顯遲緩，一點(diǎn)數(shù)據(jù)就分析老半天，所以筆者在編寫該文檔時(shí)并沒有選擇具體的解析插件，而是將其作為檢材查看器使用。實(shí)際分析中，可以選擇有限的插件來進(jìn)行分析，并且結(jié)合對(duì)常用文件（比如注冊(cè)表文件）、目錄（比如程序目錄、用戶目錄等）手工分析，得到需要調(diào)取的信息。

X-Ways Forensics

軟件簡(jiǎn)介

X-Ways Forensics is an advanced work environment for computer forensic examiners and our flagship product. Runs under Windows XP/2003/Vista/2008/7/8/8.1/2012/10/2016/2019/11*, 32 Bit/64 Bit, standard/PE/FE. (Windows FE is described here, here and here.) Compared to its competitors, X-Ways Forensics is more efficient to use after a while, by far not as resource-hungry, often runs much faster, finds deleted files and search hits that the competitors will miss, offers many features that the others lack, as a German product is potentially more trustworthy, comes at a fraction of the cost, does not have any ridiculous hardware requirements, does not depend on setting up a complex database, etc.! X-Ways Forensics is fully portable and runs off a USB stick on any given Windows system without installation if you want. Downloads and installs within seconds (just a few MB in size, not GB). X-Ways Forensics is based on the WinHex hex and disk editor and part of an efficient [workflow model](https://www.x-ways.net/investigator/X-Ways Investigator (English).pps) where computer forensic examiners share data and collaborate with investigators that use X-Ways Investigator.

X-Ways Forensics 是由 Stefan Fleischmann 編寫的一個(gè)輕量化的應(yīng)急響應(yīng)及取證工具，是 WinHex 的法證版本，因此界面邏輯和 WinHex 較為相似。在配置好 mplayer 的情況下，程序總體積在 100MiB 左右，運(yùn)行時(shí)內(nèi)存占用極低，功能及其強(qiáng)大。以下是該程序包含的所有文件（一般來說 X-Ways Forensics 是自帶了 WinHex 的，如果沒有自帶，將 xwforensics.exe 改為對(duì)應(yīng)的32位 WinHex 的名稱，即 WinHex.exe，那么打開的時(shí)候?qū)?huì)成為 WinHex，64位同理）：

X-Ways Forensics 并不是一個(gè)免費(fèi)的取證軟件，相反需要數(shù)萬元的授權(quán)費(fèi)用，但是由于眾所周知的原因，各位讀者可以在國(guó)內(nèi)一些下載站內(nèi)找到修改過的版本，對(duì)于學(xué)習(xí)來說是完全夠用了的，但是在實(shí)際工作中，是萬萬不能使用非官方來源的軟件的。

X-Ways是本人最喜歡的應(yīng)急響應(yīng)及取證軟件，雖然說沒有取證大師、火眼取證、Autopsy 那些綜合取證軟件“直觀”、“方便”，但是 X-Ways Forensics 擁有極高的性能、極低的資源占用和相對(duì)底層的邏輯，不論是學(xué)習(xí)還是工作，都能發(fā)揮很強(qiáng)的作用，而且該軟件界面邏輯相對(duì)固定，一次學(xué)會(huì)使用，基本上可以無憂暢想數(shù)十年。此外，X-Ways Forensics 也支持通過可移動(dòng)的方式（Portable）運(yùn)行在目標(biāo)計(jì)算機(jī)中，進(jìn)行現(xiàn)場(chǎng)取證，包括創(chuàng)建內(nèi)存轉(zhuǎn)儲(chǔ)、磁盤鏡像以及現(xiàn)場(chǎng)分析等，在這種情況下 X-Ways Forensics 會(huì)盡量避免在目標(biāo)計(jì)算機(jī)上創(chuàng)建文件。另外，由于不同使用者對(duì)軟件的理解不同，不同版本的翻譯也可能不同，因此在本文中，筆者會(huì)使用英文版的軟件進(jìn)行演示。此外，對(duì)于筆者個(gè)別不入流的描述，還請(qǐng)各位理解，能 get 到意思就行，我自己打著也覺得別扭，就差直接用英文寫了。

軟件資源

官網(wǎng)：https://www.x-ways.net

軟件詳情頁（并不提供下載）https://www.x-ways.net/forensics/index-m.html

官方簡(jiǎn)介：https://www.x-ways.net/winhex/forensics.html

用戶手冊(cè)頁：https://documentation.help/WinHex-X-Ways/topic97.htm

官方快速入門：https://www.x-ways.net/forensics/QuickGuide.pdf https://www.x-ways.net/forensics/XWFQuickStart.pdf https://www.youtube.com/playlist?list=PLB0pU0wP67A9LezmyZO5I6DnHPEWjgjOD

官方手冊(cè)：https://www.x-ways.net/winhex/manual.pdf

推薦書籍：X-Ways Forensics Practitioner's Guide

軟件實(shí)操博客：https://www.cnblogs.com/WXjzc/p/17353378.html https://www.cnblogs.com/WXjzc/p/17852716.html

軟件設(shè)置

語言設(shè)置

有需要的可以在此處修改軟件界面語言：

案件路徑設(shè)置

在 Options/General 里面，可以對(duì)一些默認(rèn)保存目錄進(jìn)行配置，包括案件存放目錄、（采集到的）鏡像存放目錄、臨時(shí)文件目錄、哈希庫(kù)目錄等：

查看器配置

在 Options/Viewer Programs 下可以對(duì)查看器進(jìn)行設(shè)置，筆者建議將本機(jī)上其他常用的查看器添加進(jìn)去，這樣可以在右鍵菜單中快捷選擇打開方式并查看

筆者主要添加了 DB Browser for SQLite 和 SQLCipher，以用來快速查看數(shù)據(jù)庫(kù)文件，此外也在軟件目錄下配置了 MPlayer。

開始分析工作

創(chuàng)建案件

在開始分析前，需要?jiǎng)?chuàng)建新案件：

創(chuàng)建完成后，可在此處添加檢材，此處選擇 添加鏡像文件：

支持格式如下：

除了鏡像文件外，X-Ways Forensics 也支持添加物理設(shè)備（Add Medium...）、目錄（Add Directory...）、文件（Add File...）和內(nèi)存鏡像（Add Memory Dump），常用的主要是添加鏡像文件和目錄。

依舊以龍信杯的檢材為例，添加檢材后，界面如圖：

正在加載中：

（左側(cè)也可被稱為案件欄、文件列表等）

至此，基本的案件創(chuàng)建已經(jīng)完成。

記得計(jì)算（Compute Hash，Ctrl + F2）、查看文件哈希（以用于校驗(yàn)）：

查看校驗(yàn)信息：

過濾文件

剛才的操作是對(duì)所有文件進(jìn)行平鋪，但是有時(shí)候并不需要這樣，因此可以在展開文件夾到特定層級(jí)后再平鋪，并且進(jìn)行過濾。

比如現(xiàn)在展開到了 H 用戶的主目錄：

直接右鍵左側(cè)案件菜單欄中的 H，就能平鋪查看：

題外話，對(duì)于分區(qū)需要右鍵后選擇平鋪查看：

然后進(jìn)行過濾：

（臨時(shí)更改了一下過濾的內(nèi)容，改成了 Wechat*）過濾結(jié)果如下：

右鍵過濾欄上的漏斗圖標(biāo)可以取消過濾（Deactivate），左鍵單擊案件窗口中的任何層級(jí)可以取消平鋪并跳轉(zhuǎn)到單擊的層級(jí)中。

此外， X-Ways Forensics 以文件類型過濾文件的功能，也是非常方便的，說起來也簡(jiǎn)單，就是在 Type（文件類型）處進(jìn)行過濾，以過濾注冊(cè)表文件為例：

在 Windows Registry 中選擇具體的文件類型（也可以全選的，只是精確指定后能更快地找到想要的文件）：

選擇好之后選擇 Activate，就能顯示過濾后的結(jié)果：

同樣也是右鍵過濾圖標(biāo)取消過濾，點(diǎn)擊左側(cè)文件列表也能進(jìn)一步精確過濾范圍。

通過文件類型進(jìn)行過濾非常方便，能夠快速（幾乎是瞬間）篩選出特定名稱及文件類型的文件，非常建議各位讀者熟練掌握過濾器。

Simultaneous Search 同步搜索（Alt + F10）

You may use the simultaneous search to systematically search multiple hard disks or disk images in a single pass for words like "drug", "cocaine", (street synonym #1 for cocaine), (street synonym #2 for cocaine), (street synonym #3 for cocaine), (street synonym #3 for cocaine, alternative spelling), (name of dealer #1), (name of dealer #2), (name of dealer #3) etc. at the same time. The search results can narrow down the examination to a list of files upon which to focus.

The simultaneous search can be used to search physically in sectors or logically in file or in a previously created index. Physically, it searches the sectors on a medium in LBA order (except if you search upwards, then in reverse order). If you do not have WinHex list the hits of a physical search, you may use the F3 key to search for the next hit. Logically, the search proceeds file by file, which is preferable and much more powerful and thorough. More about the logical search.

You can search the same search terms simultaneously in up to 6 code pages. The default code page, that is active in your Windows system, is marked with an asterisk and initially preselected. E.g. on computers in the US and in Western Europe, the usual default code page is 1252 ANSI Latin I. The code pages named "ANSI" are used in Microsoft Windows. "MAC" indicates an Apple Macintosh code page. "OEM" indicates a code page used in MS-DOS and Windows command prompts. If a search term cannot be converted to the specified code page because of characters unknown in that code page, a warning is issued. Code page independent GREP searches for exact byte values are possible when searching in a "non" code page called "Direct byte-wise translation for GREP", which translates byte values without any mapping for certain code pages or case matching. X-Ways Forensics also allows to search in both little-endian and big-endian UTF-16, and in any regional Windows code page plus UTF16 with the MS Outlook cipher (compressible encryption) applied.

這個(gè)筆者一直不知道怎么準(zhǔn)確翻譯，不過知道具體功能就行。位置在 Search/Simulataneous Search 里面，

這個(gè)可以理解為暴力搜索，一切文件里面，只要是能滿足搜索內(nèi)容的，都會(huì)顯示出來，并且支持多數(shù)常用編碼，此處搜索 BitLocker 試試：

搜索過程中可以在此處查看已經(jīng)搜到的結(jié)果，搜索結(jié)束后是會(huì)自動(dòng)跳轉(zhuǎn)到結(jié)果頁面的，這個(gè)時(shí)候可以通過這個(gè)按鈕來切換：

切換到搜索結(jié)果界面后，點(diǎn)擊左側(cè)的目錄，可以查看特定目錄下的搜索結(jié)果。在目錄列表下方，會(huì)顯示不同關(guān)鍵詞的搜索結(jié)果（如果在搜索頁面中指定了多個(gè)搜索詞），也可以通過一定的語法指定不同搜索詞中的邏輯關(guān)系。

此外，其他搜索項(xiàng)也是非常有用的，建議讀者都嘗試一下，比如搜索 Hex 值，可以在文件系統(tǒng)損壞的情況下定位到某一類型的文件等，都是非常實(shí)用的數(shù)據(jù)恢復(fù)技巧，具體想了解的話可以去了解一下 WinHex 數(shù)據(jù)恢復(fù)的教程，兩者基本通用。

精煉磁盤快照（進(jìn)行磁盤快照） Refine Volume Snapshot F10

該功能是 X-Ways Forensics 的特色功能之一，可以對(duì)檢材內(nèi)容進(jìn)行深度分析，打開方式在 Specialist/Refine Volume Snapshot：

其實(shí)這個(gè)能講的非常多，但是基本用法很簡(jiǎn)單，所以筆者在此不過多贅述，各位讀者可以在使用過程中自行摸索。

精煉之后，在主界面中會(huì)多一個(gè) Metadata 的欄，在里面也可以過濾信息，查看精煉結(jié)果。

鼠標(biāo)放到該列上可以顯示預(yù)覽，但是實(shí)在難以截圖，就沒放上來。

文件查看(預(yù)覽)

X-Ways Forensics 提供了非常完備的文件預(yù)覽功能，支持大多數(shù)的文件格式，尤其是 Office 文檔，可以查看大致內(nèi)容（格式較為簡(jiǎn)單，如果有需要建議還是導(dǎo)出后查看，或者選擇“使用關(guān)聯(lián)的方式打開（Associated Program）”）：

文件簡(jiǎn)單預(yù)覽的界面如下：

注冊(cè)表報(bào)告

在通過文件類型過濾或者展開到特定注冊(cè)表文件的目錄后，得到需要調(diào)查、分析的注冊(cè)表文件：

雙擊注冊(cè)表文件即可使用 X-Ways Forensics 內(nèi)置的查看器進(jìn)行離線查看：

將離線查看器最小化，打開第二個(gè)注冊(cè)表 Hive 文件：

會(huì)在左側(cè)列表中添加進(jìn)去，因此其實(shí)是可以批量打開的，在此打開所有過濾出的注冊(cè)表文件，并且進(jìn)行預(yù)覽。比如，在此展示 SOFTWARE\Microsoft\Windows NT\CurrentVersion 下的 Windows 版本信息：

X-Ways Forensics 的一大功能亮點(diǎn)是創(chuàng)建注冊(cè)表報(bào)告，在最左上角菜單中可以選擇：

隨后會(huì)要求用戶選擇用來解析的規(guī)則文件：

這里面的文件可以單選，也可以多選，對(duì)于不同的注冊(cè)表使用不同的分析配置，肯定是最精確最合適的，但是有一個(gè)偷懶的辦法，就是打開全部的注冊(cè)表文件，然后使用所有配置文件來分析，之后在注冊(cè)表報(bào)告里面搜索具體內(nèi)容即可。

在此選擇所有的文件進(jìn)行分析，然后生成一個(gè) HTML 格式的報(bào)告文件，在瀏覽器中打開查看：

報(bào)告項(xiàng)目較多，筆者總結(jié)了一份速查表，使用瀏覽器的搜索功能即可：

操作系統(tǒng)基本信息

CPU信息：CPU

磁盤信息：IDE Device

Windows 版本信息：Windows internal version，Windows installation date，Windows product ID，Windows CD key，Windows name，Windows build number，Service pack，Last logged on user，Default Internet Browser

計(jì)算機(jī)名稱：Active computer name

Windows 安裝語言（也不知道是不是正在使用的語言）：Windows installation language

可移動(dòng)設(shè)備：Windows portable devices

啟用的服務(wù)：Services installed

查看安裝了的軟件：Install date of ，Name of program Uninstall，Install date of Uninstall，Location of program Uninstall，Source of program Uninstall，Name of program

網(wǎng)絡(luò)信息

默認(rèn)網(wǎng)關(guān)MAC：Default Gateway MAC

本機(jī)MAC（看起來可能會(huì)更齊全）：This computer's MAC address

DHCP指定的IP：DHCP assigned IP Address

本地連接網(wǎng)絡(luò)：Network connection

TCP/IP網(wǎng)絡(luò)名稱：Tcpip host name

網(wǎng)卡信息：Model description of installed network card

用戶信息

IE輸入記錄：URLs typed in Internet Explorer

打開過的文件：Documents opened，Recent File List

用戶賬戶（但是看不到用戶名，只能看到SID）：`User Account

最后登錄用戶：Last logged on user

最后登錄時(shí)的計(jì)算機(jī)名稱（不知道具體什么作用）：Last Computer Name

用戶設(shè)置的地區(qū)（NTUSER.DAT）：Country

用戶自定義的文件夾（NTUSER.DAT）：User-specific directories

各個(gè)用戶對(duì)應(yīng)的UID（這個(gè)很有用，可以對(duì)照著查）：User ID of Administrator

比如搜索 Windows internal version 即可獲取到 Windows 的版本信息：

對(duì)于注冊(cè)表報(bào)告，肯定是推薦對(duì)單獨(dú)的注冊(cè)表文件選擇對(duì)應(yīng)的分析項(xiàng)，以求精準(zhǔn)，但是總歸是個(gè)人習(xí)慣，讀者找到習(xí)慣的使用方法即可。

文件恢復(fù)/復(fù)制（導(dǎo)出）

選擇好想要導(dǎo)出文件后（結(jié)合使用 Ctrl、Shift 選擇多個(gè)文件），右鍵，選擇 恢復(fù)/復(fù)制（Recover/Copy...）：

會(huì)彈出文件恢復(fù)/復(fù)制（簡(jiǎn)單理解為導(dǎo)出吧）窗口：

選擇好路徑后導(dǎo)出就行。上圖路徑是軟件默認(rèn)指定的路徑，為案件目錄下以該分區(qū)名稱（編號(hào)）命名的文件夾。文件夾內(nèi)一般是保留了原本目錄的結(jié)構(gòu)的。

筆者個(gè)人觀點(diǎn)，不喜勿噴

以上就是筆者所認(rèn)為的初次接觸 X-Ways Forensics 需要了解和掌握的特色功能，于 X-Ways Forensics 軟件的強(qiáng)大功能而言僅僅是冰山一角，想要更深的了解，建議移步 X-Ways Forensics Practitioner's Guide（目前互聯(lián)網(wǎng)上只能找到第一版，發(fā)行于2013年，但是已經(jīng)完全夠用了，可見 X-Ways Forensics 在軟件基本邏輯上的堅(jiān)持）和官方手冊(cè)（https://www.x-ways.net/winhex/manual.pdf ），資料為均全英文，無中文翻譯版，但是技術(shù)英語難度并不高，耐著性子都能讀完，相信收獲還是非常大的。X-Ways Forensics 自2003年第一版發(fā)行以來（印象中是這樣），一直處于積極開發(fā)中，目前已經(jīng)開發(fā)到了 20.8 版本，筆者演示所使用的 20.0 SR-7 是2019年發(fā)行的，已經(jīng)是非常過時(shí)的版本了，很多新功能都無法體驗(yàn)到，所以有條件的建議還是購(gòu)買正版軟件，并通過右鍵積極接收軟件更新。該軟件的國(guó)內(nèi)代理廠商為天宇寧達(dá)，同時(shí)也有相應(yīng)的培訓(xùn)、認(rèn)證服務(wù)。

https://www.x-ways.net/winhex/forum/messages/1/1265.html?1104780865

FTK Imager

軟件簡(jiǎn)介

https://www.exterro.com/ftk-imager

FTK Imager 是 AccessData Group, Inc. 公司開發(fā)的 FTK 系列取證工具中的磁盤鏡像工具，為免費(fèi)軟件，可在官網(wǎng)免費(fèi)下載并安裝使用，但是該系列其他軟件需要購(gòu)買授權(quán)才能使用。FTK Imager 軟件體積 50MiB 左右，安裝后體積 128MiB 左右，可以在安裝后拷出來以便攜版的方式使用，以便于現(xiàn)場(chǎng)調(diào)證工作。

FTK Imager 的主要功能是磁盤鏡像、內(nèi)存鏡像、磁盤鏡像查看、磁盤掛載和數(shù)據(jù)恢復(fù)，在關(guān)鍵詞過濾、文本搜索等方面并不是特別突出，畢竟軟件名稱里面就把功能寫出來了，主要是進(jìn)行采集，而不是分析。與此同理，X-Ways Forensics 系列工具也是有不同分工的，不同分工的軟件在功能復(fù)雜性上有區(qū)別，在定價(jià)上也有不同的選擇。FTK Imager 目前最新版本是 4.7 版本，但是據(jù)反饋，最新版本在掛載鏡像的時(shí)候有不穩(wěn)定的情況，因此也可以下載使用 3.X 的版本，由于該軟件功能相對(duì)單一，因此區(qū)別并不是特別大。

軟件主界面如下：

在 File 菜單下，即為該軟件的主要功能：

從上往下的主要功能依次是：

1. 添加證據(jù)項(xiàng)，可以添加的內(nèi)容包括物理磁盤、邏輯磁盤、鏡像等等；
2. 鏡像掛載，可以將鏡像掛載為物理磁盤，但是需要注意的是 Windows 資源管理器可能不支持一些鏡像的文件系統(tǒng)格式，會(huì)提示用戶進(jìn)行格式化。
3. 創(chuàng)建磁盤鏡像
4. 采集內(nèi)存

現(xiàn)在筆者將從這幾個(gè)主要功能出發(fā)，介紹 FTK Imager。

開始采集工作

添加證據(jù)項(xiàng)

選擇添加證據(jù)項(xiàng)（Add Evidenve Item）之后，會(huì)出現(xiàn)以下界面，要求用戶選擇證據(jù)來源：

從上往下依次是：物理磁盤、邏輯磁盤、鏡像文件、文件夾內(nèi)容。

關(guān)于物理磁盤和邏輯磁盤的區(qū)別，筆者認(rèn)為還是有必要闡釋一下的。物理磁盤，Physical Drive，是和物理采集對(duì)應(yīng)的，一般是對(duì)一個(gè)磁盤驅(qū)動(dòng)器進(jìn)行最底層的采集，采集其原始數(shù)據(jù)。舉個(gè)例子，某個(gè)磁盤不加密，分了兩個(gè)分區(qū)，那么查看采集物理磁盤得到的數(shù)據(jù)時(shí)，就能看到磁盤下有兩個(gè)分區(qū)，然后點(diǎn)進(jìn)去能看到具體的內(nèi)容。但是如果這個(gè)磁盤使用 BitLocker 加密了，那么點(diǎn)進(jìn)去依然能看到有兩個(gè)分區(qū)，但是是沒有辦法查看具體數(shù)據(jù)的，只能看到被 BitLocker 加密后磁盤首部的標(biāo)識(shí)。在磁盤本身是加密的，但是當(dāng)前情況下已經(jīng)被解密的情況下，采集邏輯鏡像是最好的選擇，此時(shí)一般就是對(duì)某個(gè)盤符對(duì)應(yīng)的分區(qū)進(jìn)行采集，那么采集到的數(shù)據(jù)往往就是單個(gè)分區(qū)的、解密后的數(shù)據(jù)，相信這個(gè)還是很好理解的。

對(duì)于 Image File、鏡像文件選項(xiàng)，多數(shù)時(shí)候是添加來查看的，當(dāng)然也可以用于一些常見格式的轉(zhuǎn)換。此處以第一個(gè)選項(xiàng)，物理磁盤為例。

可以看出這個(gè)軟件功能確實(shí)簡(jiǎn)陋很多哈哈 ??

添加完物理磁盤后，如果要進(jìn)行鏡像采集，可以在證據(jù)樹對(duì)磁盤或分區(qū)進(jìn)行右鍵單擊，選擇 Export Disk Image（導(dǎo)出磁盤鏡像）：

除了 Export Disk Image 以外，還有 Image Mounting，這個(gè)在后面進(jìn)行講解。

選擇 導(dǎo)出磁盤 之后，出現(xiàn)以下窗口：

點(diǎn)擊 Add 后，出現(xiàn)以下窗口，要求指定鏡像的格式、名稱和地址：

Raw(dd) 表示采集原始鏡像，不包括其他信息，同時(shí)沒有壓縮，鏡像大小完全等于磁盤實(shí)際大小。

E01 也是常用鏡像格式之一，是 Encase 的鏡像格式，建議理解為一個(gè)證據(jù)容器，其中容納了鏡像信息和被采集的磁盤鏡像內(nèi)容（可以是被壓縮的），在進(jìn)行校驗(yàn)時(shí)，務(wù)必注意不能直接對(duì) E01 證據(jù)容器進(jìn)行哈希計(jì)算，而是應(yīng)該在取證軟件內(nèi)對(duì)證據(jù)進(jìn)行校驗(yàn)。

繼續(xù)選擇 Next，要求填寫案件基本信息，練習(xí)時(shí)可略過：

填寫妥當(dāng)后即可開始采集。

鏡像掛載

進(jìn)入 Image Mounting 菜單：

在此以某 E01 格式的計(jì)算機(jī)鏡像為例，選中該文件，并指定掛載方式，即可點(diǎn)擊 Mount 進(jìn)行掛載：

掛載過程中可能會(huì)不響應(yīng)，耐心等待即可。使用完畢后，可選中磁盤分區(qū)，點(diǎn)擊下方 Unmount 進(jìn)行卸載，最好是卸載后再關(guān)閉軟件。

采集內(nèi)存

FTK Imager 還有一大功能就是采集內(nèi)存鏡像，這個(gè)在應(yīng)急響應(yīng)和現(xiàn)場(chǎng)取證中都非常有用，由于 FTK Imager 處于積極開發(fā)中，因此對(duì)一些較新的 Windows 操作系統(tǒng)也有比較好的兼容性。

在 File 菜單中選中 Capture Memory，彈出以下窗口：

選擇好目標(biāo)地址和鏡像名稱后，即可開始采集。

使用 FTK Imager 進(jìn)行操作系統(tǒng)仿真

https://blog.csdn.net/NDASH/article/details/109295885

https://www.cnblogs.com/ndash/p/16353508.html

https://www.cnblogs.com/ndash/p/NDASH.html

在此引用如下：

原文鏈接：https://www.cnblogs.com/ndash/p/NDASH.html

作者：蘇小沐

公眾號(hào)：DFIR

【電子取證：FTK Imager篇】DD、E01系統(tǒng)鏡像仿真

星河滾燙，人生有理想！ ---【suy999】

DD、E01系統(tǒng)鏡像動(dòng)態(tài)仿真

（一）使用到的軟件

　　1、FTK Imager (v4.5.0.3)

　　2、VMware Workstation 15 Pro (v15.5.2)

（二）FTK Imager 掛載鏡像

　　1、選擇 Imager Mounting

　　2、選擇系統(tǒng)鏡像掛載*"注意一"?。?！

（三）VMware新建虛擬機(jī)

　　1、新建虛擬機(jī)

　　2、固件類型*"注意二"?。?！

　　3、處理器、內(nèi)存及其它配置

　　4、磁盤類型選擇“SATA”*"注意三"?。?！

　　5、本地磁盤*"注意四"?。?！

　　6、完成創(chuàng)建虛擬機(jī)

　　7、打開虛擬機(jī)

　　8、錯(cuò)誤示范*"注意五"！?。?/p>

結(jié)尾

一、DD、E01系統(tǒng)鏡像動(dòng)態(tài)仿真

    在電子取證分析過程中，我們經(jīng)常遇到DD、E01等系統(tǒng)鏡像，然而，并非所有工作者手邊都有自動(dòng)化取證軟件，我們?nèi)绾卫檬稚系馁Y源，將鏡像給仿真起來查看里面的數(shù)據(jù)？
    本文以E01鏡像為例（DD鏡像相同），我們來通過簡(jiǎn)單的操作進(jìn)行手動(dòng)仿真，讓鏡像數(shù)據(jù)活起來！

（一）使用到的軟件

1、FTK Imager (v4.5.0.3)

    FTK Imager “可寫”模式掛載系統(tǒng)鏡像為本地驅(qū)動(dòng)器。
    FTK Imager官網(wǎng)鏈接：“https://accessdata.com/product-download/ftk-imager-version-4-5”。

2、VMware Workstation 15 Pro (v15.5.2)

    VM新建虛擬機(jī)仿真系統(tǒng)鏡像。
    VM官網(wǎng)鏈接：“https://www.vmware.com/products/workstation-pro/workstation-pro-evaluation.html”。

（二）FTK Imager 掛載鏡像

    主要使用FTK Imager“可寫”模式，掛載系統(tǒng)鏡像到本地驅(qū)動(dòng)器！

1、選擇 Imager Mounting

    路徑:文件->Imager Mounting;

2、選擇系統(tǒng)鏡像掛載

    1）選擇需要掛載的鏡像文件;
    2）選擇"Block Device/Writable"；
    3）點(diǎn)擊"Mount";
    4）記住"驅(qū)動(dòng)器號(hào)";

*"注意一"?。?！

    1）特別強(qiáng)調(diào)第2步！一定要選擇“可寫”模式，否則鏡像無法仿真起來!
    2）mount成功后，會(huì)在本地磁盤顯示出新的分區(qū)，可以打開Windows資源管理器查看，以及默認(rèn)在鏡像位置新生成一個(gè)后綴為“.adcf”的鏡像同名文件，用來存放可寫模式下鏡像被修改的數(shù)據(jù)。

    鏡像掛載前后對(duì)比！

	掛載成功后，默認(rèn)在鏡像的位置下生成一個(gè)后綴為".adcf"的同鏡像名文件，用來存放鏡像虛擬寫入的文件。

（三）VMware新建虛擬機(jī)

1、新建虛擬機(jī)

1）新建虛擬機(jī)：
	創(chuàng)建新的虛擬機(jī)->“自定義（高級(jí)）”->下一步，虛擬機(jī)硬件兼容性默認(rèn)即可！
2）稍后安裝操作系統(tǒng)：
	后面會(huì)用到FTK Imager掛載起來的鏡像”	
3）選擇對(duì)應(yīng)的鏡像系統(tǒng)
4）虛擬機(jī)保存位置

	選擇對(duì)應(yīng)操作系統(tǒng)；填寫虛擬機(jī)名稱、虛擬機(jī)保存的位置，默認(rèn)保存在C盤，建議自定義保存在其它容量大的分區(qū)里面。

如果不清楚鏡像類型
	1、看 FTK Imager 掛載起來的分區(qū)，在“驅(qū)動(dòng)器”里面可以看到“分區(qū)”的文件系統(tǒng)類型，根據(jù)文件判斷該掛載的鏡像就為“Windows”；
	2、磁盤管理里面看類型。

2、固件類型

*"注意二"?。?！

	這個(gè)很重要！選擇錯(cuò)誤，系統(tǒng)無法正確引導(dǎo)啟動(dòng)。
	Windows配置方面，舊系統(tǒng)統(tǒng)一般選擇BIOS，現(xiàn)在多數(shù)電腦都是UEFI，具體看掛載起來的系統(tǒng)鏡像。

3、處理器、內(nèi)存及其它配置

	有條件的建議配置高一些，方便運(yùn)行虛擬機(jī)。處理器和內(nèi)存分配太小了會(huì)卡，有時(shí)候鏡像數(shù)據(jù)量大還不一定能運(yùn)行起來。

4、磁盤類型選擇“SATA”

*"注意三"?。?！

	磁盤類型一樣看所選鏡像，這里測(cè)試了選擇“SATA、SCSI”都可以啟動(dòng)成功，選“NVMe”不行，猜測(cè)鏡像文件非NVMe固態(tài)硬盤所做。

5、本地磁盤

*"注意四"?。?！

	選擇“使用物理磁盤”，通常第一次選擇，點(diǎn)擊下一步會(huì)請(qǐng)求以管理員權(quán)限運(yùn)行，需要允許！然后設(shè)備選擇前面 FTK Imager 掛載起來的對(duì)應(yīng)驅(qū)動(dòng)器號(hào)，磁盤默認(rèn)選擇使用整個(gè)磁盤即可。

6、完成創(chuàng)建虛擬機(jī)

	到這里直接下一步即可完成虛擬機(jī)的創(chuàng)建了。整體上需要注意的幾個(gè)點(diǎn)，細(xì)心就行了。

7、打開虛擬機(jī)

	前面操作沒問題的話，系統(tǒng)鏡像就正常被啟動(dòng)起來了。

8、錯(cuò)誤示范

*"注意五"?。?！

	看分區(qū)類型，如果顯示EFI，固件類型只能選擇“UEFI”，不能選擇“BIOS”?。?！否則出現(xiàn)以下報(bào)錯(cuò)，而且無法進(jìn)入系統(tǒng)?。。?

	引導(dǎo)選擇錯(cuò)誤后，選擇忽略，還是無法進(jìn)入系統(tǒng)！

結(jié)尾

	在這里還是啰嗦幾句，經(jīng)過測(cè)試發(fā)現(xiàn) FTK Imager 新版本在掛載鏡像的時(shí)候不是很穩(wěn)定，程序容易崩掉！工作中發(fā)現(xiàn)v3版本的穩(wěn)定些。

名稱	時(shí)間
最后編輯日期：	2020 年 10 月 26 日

Arsenal Image Mounter

https://arsenalrecon.com/products/arsenal-image-mounter

軟件簡(jiǎn)介

Arsenal Imager Mounter 是一個(gè)專門的磁盤掛載工具，下載后是一個(gè)壓縮包，以便攜的方式運(yùn)行，需要Microsoft .Net Framework 4.0環(huán)境，個(gè)人用戶可以免費(fèi)使用基本功能：

該軟件的功能和 FTK Imager 相差不大，但是專業(yè)版包含了卷影復(fù)制、操作系統(tǒng)仿真等功能，當(dāng)然也可以使用類似于 FTK Imager 仿真的方式掛載磁盤，并且使用 Vmware Workstation 進(jìn)行仿真。

關(guān)于這個(gè)，蘇小沐 的博客寫得比較充分，為避免丟失，在此引用如下，讀者可以移步觀看：

使用 Arsenal Imager Mounter 進(jìn)行操作系統(tǒng)仿真

https://www.cnblogs.com/ndash/p/14054233.html

【計(jì)算機(jī)取證篇】鏡像掛載利器-Arsenal Image Mounter

Arsenal Image Mounter是一款非常優(yōu)秀的磁盤掛載工具，在Microsoft Windows中可以將磁盤映像的內(nèi)容作為“真實(shí)磁盤”掛載到系統(tǒng)中。---【suy】

一、Arsenal Image Mounter簡(jiǎn)介

Arsenal Image Mounter包含了一個(gè)虛擬SCSI適配器（通過獨(dú)特的Storport miniport驅(qū)動(dòng)程序），使用戶可以從Windows中對(duì)掛載的鏡像啟動(dòng)虛擬機(jī)（然后繞過Windows身份驗(yàn)證）、管理BitLocker -受保護(hù)的卷、安裝/訪問“卷影副本”、“磁盤管理器”等功能。

下載安裝

官網(wǎng)下載地址：https://arsenalrecon.com/downloads/

1、下載的是壓縮包文件，解壓后運(yùn)行；

2、支持32位、64位運(yùn)行環(huán)境；

3、需要Microsoft .Net Framework 4.0環(huán)境

4、如果軟件無法正常打開，請(qǐng)以“管理員”身份運(yùn)行；

二、鏡像掛載

Arsenal Image Mounter在Microsoft Windows中將磁盤映像的內(nèi)容作為完整的磁盤裝入。

1、軟件運(yùn)行后，提示啟動(dòng)信息，點(diǎn)擊“ok”

2、選擇磁盤鏡像

路徑：File->Mount disk image File

3、鏡像模式設(shè)置

〇只讀磁盤設(shè)備 將磁盤映像作為只讀磁盤設(shè)備掛載。不允許寫操作。

〇寫入臨時(shí)磁盤設(shè)備 將磁盤映像作為可寫磁盤設(shè)備掛載。修改將被寫入一個(gè)寫-覆蓋差異文件，原始磁盤映像將不會(huì)被改變。有時(shí)也稱為寫覆蓋或?qū)憦?fù)制模式。 指定另一個(gè)不同的文件位置

仿真鏡像的話就需要設(shè)置讀寫模式才行。

4、磁盤信息

掛載成功后，在軟件的界面上會(huì)顯示出每個(gè)掛載的設(shè)備信息，包括ID、磁盤狀態(tài)（聯(lián)機(jī)或脫機(jī)）、驅(qū)動(dòng)器號(hào)、分區(qū)類型、磁盤簽名信息、大小，模式（只讀或讀寫），驅(qū)動(dòng)器類型（固定或移動(dòng)）。

您還可以在界面的下半部分中選擇繼續(xù)添加鏡像、啟動(dòng)虛擬機(jī)和刪除鏡像等其他功能選項(xiàng)。

5、掛載之后在磁盤管理顯示

可在磁盤管理中查看掛載好的磁盤。

高級(jí)功能-更改磁盤掛載模式

特別方便的一點(diǎn)是，Arsenal Image Mounter可以直接對(duì)已經(jīng)掛載的鏡像在“高級(jí)功能”再設(shè)置就可以更改模式，不需要像FTK Imager需要重新再掛載鏡像，而且速度很快。

點(diǎn)擊只讀設(shè)置，磁盤管理查看磁盤就會(huì)變成只讀模式。

名稱	時(shí)間
最后編輯日期：	2020 年 11 月 28 日

ALEAPP、ILEAPP

https://github.com/abrignoni/

https://github.com/abrignoni/ALEAPP

https://github.com/abrignoni/iLEAPP

軟件簡(jiǎn)介

該系列軟件是 Github 用戶 abrignoni 使用 Python 語言編寫的移動(dòng)設(shè)備文件系統(tǒng)解析工具，軟件分為 CLI 和 GUI 版本，現(xiàn)在講解使用 ALEAPP GUI 版本創(chuàng)建報(bào)告的流程。

開始分析工作

軟件主界面如下：

這個(gè)軟件是開源的，也建議各位讀者移步 Github 觀看源碼，了解一下分析的過程，軟件由 Python 編寫，閱讀難度不高，不過要求要對(duì) Android 文件的基本結(jié)構(gòu)有了解，并且會(huì)簡(jiǎn)單的 SQL 語句。

軟件主頁面上提醒支持的文件或目錄類型：tar、gz、zip或文件夾，不支持常見的磁盤格式，因此建議先在其他取證軟件中將文件導(dǎo)出，然后以文件夾的方式導(dǎo)入到程序中。

在此以龍信杯的Android手機(jī)檢材為例，具體的系統(tǒng)應(yīng)該是 MIUI：

選中所有分析模塊即可，分析完成后會(huì)生成一個(gè) HTML 格式的報(bào)告，在瀏覽器中查看即可：

基本信息

彩信、短信

WiFi 記錄

操作系統(tǒng)版本

對(duì)手機(jī)基本信息的取證，主要還是解析數(shù)據(jù)庫(kù)，這個(gè)大差不差的。另外這個(gè)軟件對(duì)一些國(guó)內(nèi)的APP支持較差，讀者有條件也可以編寫代碼輔助分析。

ALEAPP和iLEAPP邏輯相似，都是對(duì)文件系統(tǒng)進(jìn)行分析，但是iOS因?yàn)椴蝗菀撰@取到完整的文件系統(tǒng)，因此在此不做演示。

Eric Zimmerman's Tools

https://ericzimmerman.github.io/#!index.md

軟件簡(jiǎn)介

Eric Zimmerman's Tools 是由 Eric Zimmerman 編寫的一系列 Windows 取證工具，軟件運(yùn)行平臺(tái) .NET 4 或 .NET 6，均有對(duì)應(yīng)版本。

MFTExplorer（GUI）

對(duì) MFT 記錄進(jìn)行分析，可使用取證工具導(dǎo)出 $MFT，再導(dǎo)入該軟件進(jìn)行解析，可以查看解析后的 MFT 記錄。

軟件分析時(shí)間較長(zhǎng)，查看邏輯和 FTK Imager、X-Ways Forensics 類似，可以在左邊展開不同的層級(jí)，在右側(cè)窗口內(nèi)查看記錄。

此外，該應(yīng)用同時(shí)提供了 CLI 版本，可以生成 csv 格式的報(bào)告，以便于數(shù)據(jù)分析。

ShellBagsExplorer

? 主要是分析的 usrclass.dat，可以分析出文件打開記錄。

RegistryExplorer（GUI）

導(dǎo)入注冊(cè)表文件，可作為離線的注冊(cè)表查看器使用。

iBackup Viewer

https://ibackupviewer.com

用于查看 iTunes 備份文件，免費(fèi)版有一定的功能限制，列表如下：

使用時(shí)，可在設(shè)置中添加 iTunes 備份的地址，這樣就能自動(dòng)識(shí)別、分析了：

選擇 Add，添加需要解析的 iTunes 備份文件目錄即可。

HxD

https://mh-nexus.de/en/hxd/

開源的16進(jìn)制查看、編輯工具。

DB Browser for SQLite

https://sqlitebrowser.org

開源的數(shù)據(jù)庫(kù)查看工具，功能應(yīng)該不需要多說。

由于 X-Ways Forensics 沒有內(nèi)嵌 sqlite 的查看器（但也可以通過磁盤快照的方式來實(shí)現(xiàn)，只是效率相對(duì)低一些，也沒有直接使用這個(gè)軟件來得方便），因此也可以在 X-Ways Forensics 的查看器設(shè)置中手動(dòng)添加這個(gè)軟件，以方便快速查看 sqlite 的內(nèi)容。文章來源地址http://www.zghlxwxcb.cn/news/detail-760102.html

Kali Linux

到了這里，關(guān)于使用開源、免費(fèi)軟件進(jìn)行取證（不氪金取證方法）的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！