今天會介紹我覺得在 Forensic 當中最難的一個類別 - Disk Forensic,因為它單單一題的檔案就容量超大,裡面的內容超級無敵多,所以工具的使用與觀察就會很重要,所以今天的內容會包含基本的流程與會用到的工具
Disk Forensic 是專注於從磁碟或存儲媒體,如:硬碟、固態硬碟、USB 隨身碟、記憶卡......等等中取得、分析與復原資料,以作為法律或調查用途的證據,目標是在不改變原始資料的前提下,盡可能還原被刪除的資料、隱藏資料、檔案相關 metadata、檔案修改紀錄、時間戳記等,以協助重建案情、時間軸或找出惡意行為
目前藍隊 CTF 的 Disk Forensic 題目會給兩種檔案,一種是 Image 檔案

另一種會是類似完整的硬碟內的檔案,但是又不是完整的

這兩個差別是什麼呢?
上面的是由 FTK Imager 或是其他取證工具將完整的 disk 資料把它轉成 image,因此原本留在 disk 裡面有什麼資料,在 Image 裡就會留著這些資料,所以檔案有可能會超級大。如果要查看也可以使用 FTK Imager 查看或者掛載到電腦上
下載連結:https://www.exterro.com/digital-forensics-software/ftk-imager
FTK Imager 是由 AccessData 開發的一款磁碟/資料映像與預覽工具,它可用於在不改變原始資料的情況下,取得一個與原始儲存裝置(硬碟、USB、記憶卡等),以供日後分析、法律調查等用途

如果要掛載 Image,點選左上角的 File -> Add Evidence Item

選擇 Image File

選擇 disk image 路徑

之後就可以查看 image 內容了

另一個則是另外使用一個 KAPE 工具將 disk 中關鍵的一些檔案(如:evtx、NTUSER.DAT、tmp 等)提取出來再整理成一包壓縮檔,解壓後就會出現整理過後的硬碟內容,因此檔案大小會比使用 FTK Imager 轉換的 Image 小很多,並且可以直接查看,又稱為 triage image

下載連結:https://www.kroll.com/en/services/cyber/incident-response-recovery/kroll-artifact-parser-and-extractor-kape
KAPE 是由 Eric Zimmerman 為 Kroll 所開發的 DFIR 工具,它是一個快速收集 artifacts 並初步處理的工具,用於從現場系統或儲存媒體中迅速抓取對鑑識有用的檔案或資訊,再利用 modules 來解析/整理這些資料。目的在於在完整映像完成前就能有可用線索。

source : ``https://isc.sans.edu/diary/25258
接下來得到了 image 檔之後,就可以開始看我們想要得知的一些內容
路徑:%WinDir%\System32\winevt\logs
此資料夾底下會有很多 evtx 檔案,其中記錄了很多事件,主要會看的有這三個
可以用內建的 Windows Event Viewer 查看,或者使用第三方程式,如:Event Log Explorer 介面比較好看一點

查詢時會需要搭配一下 Event ID,這邊列出一些很常會使用到的
| Event ID | Log 來源 | 說明 |
|---|---|---|
| 4624 | Security | 成功登入事件 |
| 4625 | Security | 登入失敗事件 |
| 4634 | Security | 使用者登出 |
| 4672 | Security | 特殊權限帳號登入 (例如系統管理員) |
| 4688 | Security | 建立新行程 (process creation) |
| 4689 | Security | 行程結束 (process termination) |
| 4697 | Security | 安裝新的服務 |
| 4720 | Security | 建立新的使用者帳號 |
| 4722 | Security | 啟用使用者帳號 |
| 4723 | Security | 使用者嘗試變更自己的密碼 |
| 4724 | Security | 嘗試重設其他帳號密碼 |
| 4725 | Security | 停用使用者帳號 |
| 4726 | Security | 刪除使用者帳號 |
| 4732 | Security | 使用者被新增至本機群組 |
| 4733 | Security | 使用者被移出本機群組 |
| 4740 | Security | 使用者帳號被鎖定 |
| 1102 | Security | 清除稽核日誌 (Event Log 被清除) |
| 6005 | System | Event Log 服務啟動 (通常代表開機) |
| 6006 | System | Event Log 服務關閉 (通常代表關機) |
| 6008 | System | 非正常關機事件 |
路徑:%WinDir%\System32\Config
Windows Registry 是 Windows 的中央設定資料庫,系統與應用程式把大量設定、狀態與活動資訊寫入其中。它不是單一文字檔,而是以樹狀結構儲存的二進位資料庫,供作業系統、驅動程式與應用程式查詢與修改
它是由這三個基本結構儲存
而 HKEY_LOCAL_MACHINE (HKLM) 是存放針對整個電腦的設定,如驅動程式、已安裝軟體、系統服務、硬體資訊等

source : ``https://www.lifewire.com/what-is-a-registry-value-2626042
以下四個是很常會去查看的 Hive
可以使用 RegistryExplorer 幫助查看

另外有時候匯入 Hive 時會出現這樣的警告

此警告表示主 hive 檔案與其 transaction logs (.LOG) 的序號不一致,代表 transaction log 中存在尚未同步到主檔案的變更。
Windows Registry 採用 write-ahead logging 機制:修改時先寫入記憶體快取,再記錄到 transaction log,最後才定期 flush 到主 hive 檔案。而當 log 檔案的序號大於主檔案時,這個 hive 就會被稱為 Dirty Hive
按下 Yes 之後就會開始進行與 transaction logs 的合併

選擇 transaction logs

選擇後它就會幫你合併,合併完後先儲存到一個地方

存完後就可以看這個合併過後的 Hive

Registry Explorer 工具除了可以查看之外它還有預設書籤可以使用,快速定位到想要看的 key

以下列出常見路徑
| Registry 路徑 | 說明 |
|---|---|
| HKLM\SYSTEM\CurrentControlSet\Services | 系統服務與驅動程式資訊 |
| HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ActiveComputerName | 電腦名稱 |
| HKLM\SYSTEM\MountedDevices | 磁碟/USB 裝置掛載資訊 |
| HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | 系統啟動時自動執行程式 |
| HKLM\SAM\SAM\Domains\Account\Users | 本機帳號資訊 |
今天分享了什麼是 disk forensic 以及一些會想要先查看的線索,接下來幾天會繼續介紹其他在 Disk 中值得分析的檔案