🧂 前言

今天會介紹我覺得在 Forensic 當中最難的一個類別 - Disk Forensic，因為它單單一題的檔案就容量超大，裡面的內容超級無敵多，所以工具的使用與觀察就會很重要，所以今天的內容會包含基本的流程與會用到的工具

💾 Disk Forensic

Disk Forensic 是專注於從磁碟或存儲媒體，如：硬碟、固態硬碟、USB 隨身碟、記憶卡......等等中取得、分析與復原資料，以作為法律或調查用途的證據，目標是在不改變原始資料的前提下，盡可能還原被刪除的資料、隱藏資料、檔案相關 metadata、檔案修改紀錄、時間戳記等，以協助重建案情、時間軸或找出惡意行為

目前藍隊 CTF 的 Disk Forensic 題目會給兩種檔案，一種是 Image 檔案

另一種會是類似完整的硬碟內的檔案，但是又不是完整的

這兩個差別是什麼呢？

上面的是由 FTK Imager 或是其他取證工具將完整的 disk 資料把它轉成 image，因此原本留在 disk 裡面有什麼資料，在 Image 裡就會留著這些資料，所以檔案有可能會超級大。如果要查看也可以使用 FTK Imager 查看或者掛載到電腦上

FTK Imager

下載連結：https://www.exterro.com/digital-forensics-software/ftk-imager

FTK Imager 是由 AccessData 開發的一款磁碟／資料映像與預覽工具，它可用於在不改變原始資料的情況下，取得一個與原始儲存裝置（硬碟、USB、記憶卡等），以供日後分析、法律調查等用途

如果要掛載 Image，點選左上角的 File -> Add Evidence Item

選擇 Image File

選擇 disk image 路徑

之後就可以查看 image 內容了

另一個則是另外使用一個 KAPE 工具將 disk 中關鍵的一些檔案（如：evtx、NTUSER.DAT、tmp 等）提取出來再整理成一包壓縮檔，解壓後就會出現整理過後的硬碟內容，因此檔案大小會比使用 FTK Imager 轉換的 Image 小很多，並且可以直接查看，又稱為 triage image

KAPE

下載連結：https://www.kroll.com/en/services/cyber/incident-response-recovery/kroll-artifact-parser-and-extractor-kape

KAPE 是由 Eric Zimmerman 為 Kroll 所開發的 DFIR 工具，它是一個快速收集 artifacts 並初步處理的工具，用於從現場系統或儲存媒體中迅速抓取對鑑識有用的檔案或資訊，再利用 modules 來解析／整理這些資料。目的在於在完整映像完成前就能有可用線索。

source : ``https://isc.sans.edu/diary/25258

接下來得到了 image 檔之後，就可以開始看我們想要得知的一些內容

Windows Event Logs

路徑：%WinDir%\System32\winevt\logs

此資料夾底下會有很多 evtx 檔案，其中記錄了很多事件，主要會看的有這三個

• Security.evtx : 用於記錄系統的安全性事件（稽核、登入／登出、帳戶變更、安全性相關操作）
• Application.evtx : 用來記錄各個應用程式或程式元件本身所產生的事件
• System.evtx : 記錄 Windows 系統組件、驅動程式、核心服務等所產生的事件

可以用內建的 Windows Event Viewer 查看，或者使用第三方程式，如：Event Log Explorer 介面比較好看一點

查詢時會需要搭配一下 Event ID，這邊列出一些很常會使用到的

Windows Registry

路徑：%WinDir%\System32\Config

Windows Registry 是 Windows 的中央設定資料庫，系統與應用程式把大量設定、狀態與活動資訊寫入其中。它不是單一文字檔，而是以樹狀結構儲存的二進位資料庫，供作業系統、驅動程式與應用程式查詢與修改

它是由這三個基本結構儲存

• Hive：Windows 註冊表的最高層級結構單位，每個 Hive 都是一個獨立的檔案，儲存在硬碟上。可以把 Hive 想像成一個大型的資料庫檔案。
• Key：類似資料夾，可包含 subkeys 與 values。每個 key 在 metadata 裡有屬性，形成樹狀結構。
• Value：key 下面的項目，真正在存資料的地方。每個 value 有三個部分：name、type、data。

而 HKEY_LOCAL_MACHINE (HKLM) 是存放針對整個電腦的設定，如驅動程式、已安裝軟體、系統服務、硬體資訊等

source : ``https://www.lifewire.com/what-is-a-registry-value-2626042

以下四個是很常會去查看的 Hive

• SAM：儲存本地使用者帳號與群組的資訊，例如使用者名稱、建立時間、最後登入時間。
• SECURITY：包含使用者帳號的安全相關資訊，例如密碼政策。
• SOFTWARE：紀錄所有已安裝軟體（包含 Windows 內建與第三方軟體）。
• SYSTEM：儲存系統層級的組態資訊，例如事件日誌設定、硬體（像是 USB 裝置）相關的設定。

可以使用 RegistryExplorer 幫助查看

另外有時候匯入 Hive 時會出現這樣的警告

此警告表示主 hive 檔案與其 transaction logs (.LOG) 的序號不一致，代表 transaction log 中存在尚未同步到主檔案的變更。

Windows Registry 採用 write-ahead logging 機制：修改時先寫入記憶體快取，再記錄到 transaction log，最後才定期 flush 到主 hive 檔案。而當 log 檔案的序號大於主檔案時，這個 hive 就會被稱為 Dirty Hive

按下 Yes 之後就會開始進行與 transaction logs 的合併

選擇 transaction logs

選擇後它就會幫你合併，合併完後先儲存到一個地方

存完後就可以看這個合併過後的 Hive

Registry Explorer 工具除了可以查看之外它還有預設書籤可以使用，快速定位到想要看的 key

以下列出常見路徑

總結

今天分享了什麼是 disk forensic 以及一些會想要先查看的線索，接下來幾天會繼續介紹其他在 Disk 中值得分析的檔案