前言

經歷了多個 Lab 的歷練，我們已經掌握了多個平台的磁碟鑑識技術。今天讓我們系統性地整理這些分析技術和工具，建立完整的磁碟鑑識知識地圖。

Disk Forensics 技術總結

Windows

註冊表

Registry Explorer

Registry Explorer 這個工具用來瀏覽 Hive，例如：SYSTEM、SOFTWARE、SECURITY。

AmCache

記錄程式執行資訊，包含完整檔案路徑、SHA1 雜湊值、執行時間、修改時間等等，刪除的程式仍有紀錄。位於 C:\Windows\appcompat\Programs\Amcache.hve，使用 Eric Zimmerman 發行的 AmCacheParser 工具來解析。

ShellBag

ShellBags 紀錄資料夾存取歷史，已刪除的資料夾仍有紀錄。主要存在 C:\Users<user>\NTUSER.DAT 和 C:\Users<user>\AppData\Local\Microsoft\Windows\UsrClass.dat 中，使用 Eric Zimmerman 發行的 ShellBag Explorer 工具來分析。

回收桶

$I 檔案儲存被刪除檔案的元數據，例如：原始檔案名稱、完整路徑、刪除時間等，$R 檔案則儲存被刪除檔案的實際內容。

瀏覽器

Chrome/Edge

C:\Users<user>\AppData\Local\Google\Chrome\User Data\Default\History
C:\Users<user>\AppData\Local\Microsoft\Edge\User Data\Default\History
History 用於儲存網頁瀏覽紀錄，包含網址、網頁標題、訪問次數、訪問時間等，使用 SQLite Viewer 分析。

Firefox

C:\Users<user>\AppData\Roaming\Mozilla\Firefox\Profiles\places.sqlite 儲存歷史記錄，包含瀏覽紀錄、下載紀錄、書籤等，使用 SQLite Viewer 分析。
C:\Users<user>\AppData\Roaming\Mozilla\Firefox\Profiles\logins.json 儲存網站登入資訊，包含網站、用戶名、密碼等，需具有 C:\Users<user>\AppData\Roaming\Mozilla\Firefox\Profiles\key4.db 並使用 PasswordFox 這個工具來解密。

通訊與郵件

Windows Push Notification

C:\Users<user>\AppData\Local\Microsoft\Windows\Notifications\wpndatabase.db 是 Windows 推播通知服務的資料庫，儲存應用程式推送通知的記錄，使用 SQLite viewer 分析。

Windows Mail

C:\Users<user>\Appdata\Local\Packages\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\LocalState\HxStore.hxd 用於儲存郵件內容和相關資訊，透過 strings, grep 等工具來恢復資料。

其他證據

Prefetch

Prefetch 會記錄程式執行證據：執行次數統計、程式載入資源、首次與最後執行時間等等，以提升程式啟動效率。位在 C:\Windows\Prefetch\ 下，每個程式的資料存在各自的 .pf 檔中，使用 Eric Zimmerman 發行的 PECmd 工具來分析。

PowerShell

調查 PowerShell 歷史紀錄可以重建攻擊指令，位在AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ ConsoleHost_history.txt。

惡意軟體分析

LNK 檔案分析

LNK 檔案也就是捷徑，它擁有執行任何檔案的能力，是攻擊者常用於部屬惡意軟體的手段，使用 LECmd 工具分析。

LOLAPPS

LOLAPPS（Living Off The Land Applications）是指系統中既有的合法應用程式，這些程式具備意外的功能或特性，可以被攻擊者濫用來進行惡意活動，例如：Greenshot、VS code 等。
https://lolapps-project.github.io/ 這個網站列出常見的 LOLAPPS 及它們的利用手法。

其他工具

Timeline Explorer

Eric Zimmerman 發行的工具，用於高效處理、分析 CSV 和 Excel 俱時間線的資料，常搭配 AmCacheParser、PECmd 等 Eric Zimmerman 發行的工具一同使用。

mimikatz

專門用於提取憑證資訊，協助我們恢復遺失或未紀錄的憑證，協助調查。

Linux

系統資訊收集

/boot

可用於蒐集發行版和安裝的核心版本等訊息。

/etc

Linux 的配置中心，包含幾乎所有系統和應用程式的配置檔案。像是：lsb-release、os-release、issue等檔案具有發行版和核心版本等資訊。

kern.log

包含核心操作、硬體事件、系統錯誤訊息，可用於獲得核心版本和建立時間線。

日誌分析

auth.log

紀錄身分驗證事件，可以用於調查身分驗證相關活動，像是攻擊者是否獲得權限、SSH 登入等。

Apache access.log

紀錄對 Apache Server 的 HTTP 請求，可以用於評估與辨識攻擊手法。

daemon.log

紀錄守護進程運行過程中的錯誤、警告、運作狀態等資訊，可以用於識別守護進程是否遭受攻擊。

term.log

記錄透過終端機執行 APT 命令的完整輸出，搜尋 Setting up 可以找出完成安裝的工具。

bash_history

紀錄運行的命令列指令，可以用於還原惡意指令。

Android

Agent Data

contacts3.db

聯絡人資料庫，包含聯絡人姓名、電話、電子郵件等資訊。

downloads.db

下載記錄資料庫，記錄下載檔案的 URL 來源、檔案大小、下載時間等等。

ADB Backup Data

com.android.providers.settings.data

位於 \adb-data\apps\com.android.providers.settings\k\，提供系統設定資訊，包含 WiFi 配置、網路密碼、連線記錄、MAC 位址等資訊。

Dumpsys Data（系統轉儲資料）

batterystats.txt

包含電池歷史事件記錄。

Live Data（即時資料）

usage_stats.txt

即時收集的應用程式使用統計資料，包含使用時間、最後使用時間、前台運行時間等。

SD Card Data（外部儲存資料）

DCIM/Camera

包含拍攝的照片和影片檔案，檔案中的 EXIF 資料包含 GPS 座標、時間戳記、設備資訊等重要資訊。

Chromebook

ChromeOS

Chrome 擴充功能

存在 decrypted\mount\user\Extensions 下，每個擴充功能都有一個自己的manifest.json，manifest.json 是擴充功能的設定檔，它包含了擴充功能運作所需的所有重要資訊：版本、名稱、權限、金鑰等等。

使用者資料

個人頭像

位於 decrypted\mount\user\Accounts\Avatar Images

自動填寫資料

autofill是瀏覽器的自動填表工具，可在輸入表單時自動填入已儲存的電子郵件、姓名、地址、電話、密碼等重複性資訊，儲存在 decrypted\mount\user\Web Data 中，使用 SQLite Viewer 分析。

Google Takeout

My Activity

包含了使用者在各種 Google 服務上的活動紀錄和使用歷史 ，例如：Chrome、Maps、Search、YouTube、Gmail等等。

總結

今天我們總結了這個系列用到重要的 Disk Forensics 技術，完結了我們 Disk Forensics 系列，這個系列幫我們打下磁碟鑑識堅實的基底，這套磁碟鑑識技能與記憶體鑑識相輔相成，為未來更深入的分析奠定了基礎。
明天我們將完成最後一塊拼圖，總結 Network Forensics 技術，構建完整的數位鑑識技術體系。