iT邦幫忙

2025 iThome 鐵人賽

DAY 19
0

🧂 前言

今天會介紹我覺得在 Forensic 當中最難的一個類別 - Disk Forensic,因為它單單一題的檔案就容量超大,裡面的內容超級無敵多,所以工具的使用與觀察就會很重要,所以今天的內容會包含基本的流程與會用到的工具


💾 Disk Forensic

Disk Forensic 是專注於從磁碟或存儲媒體,如:硬碟、固態硬碟、USB 隨身碟、記憶卡......等等中取得、分析與復原資料,以作為法律或調查用途的證據,目標是在不改變原始資料的前提下,盡可能還原被刪除的資料、隱藏資料、檔案相關 metadata、檔案修改紀錄、時間戳記等,以協助重建案情、時間軸或找出惡意行為

目前藍隊 CTF 的 Disk Forensic 題目會給兩種檔案,一種是 Image 檔案

另一種會是類似完整的硬碟內的檔案,但是又不是完整的

這兩個差別是什麼呢?

上面的是由 FTK Imager 或是其他取證工具將完整的 disk 資料把它轉成 image,因此原本留在 disk 裡面有什麼資料,在 Image 裡就會留著這些資料,所以檔案有可能會超級大。如果要查看也可以使用 FTK Imager 查看或者掛載到電腦上

FTK Imager

下載連結:https://www.exterro.com/digital-forensics-software/ftk-imager

FTK Imager 是由 AccessData 開發的一款磁碟/資料映像與預覽工具,它可用於在不改變原始資料的情況下,取得一個與原始儲存裝置(硬碟、USB、記憶卡等),以供日後分析、法律調查等用途

如果要掛載 Image,點選左上角的 File -> Add Evidence Item

選擇 Image File

選擇 disk image 路徑

之後就可以查看 image 內容了


另一個則是另外使用一個 KAPE 工具將 disk 中關鍵的一些檔案(如:evtx、NTUSER.DAT、tmp 等)提取出來再整理成一包壓縮檔,解壓後就會出現整理過後的硬碟內容,因此檔案大小會比使用 FTK Imager 轉換的 Image 小很多,並且可以直接查看,又稱為 triage image

KAPE

下載連結:https://www.kroll.com/en/services/cyber/incident-response-recovery/kroll-artifact-parser-and-extractor-kape

KAPE 是由 Eric Zimmerman 為 Kroll 所開發的 DFIR 工具,它是一個快速收集 artifacts 並初步處理的工具,用於從現場系統或儲存媒體中迅速抓取對鑑識有用的檔案或資訊,再利用 modules 來解析/整理這些資料。目的在於在完整映像完成前就能有可用線索。

source : ``https://isc.sans.edu/diary/25258


接下來得到了 image 檔之後,就可以開始看我們想要得知的一些內容

Windows Event Logs

路徑:%WinDir%\System32\winevt\logs

此資料夾底下會有很多 evtx 檔案,其中記錄了很多事件,主要會看的有這三個

  • Security.evtx : 用於記錄系統的安全性事件(稽核、登入/登出、帳戶變更、安全性相關操作)
  • Application.evtx : 用來記錄各個應用程式或程式元件本身所產生的事件
  • System.evtx : 記錄 Windows 系統組件、驅動程式、核心服務等所產生的事件

可以用內建的 Windows Event Viewer 查看,或者使用第三方程式,如:Event Log Explorer 介面比較好看一點

查詢時會需要搭配一下 Event ID,這邊列出一些很常會使用到的

Event ID Log 來源 說明
4624 Security 成功登入事件
4625 Security 登入失敗事件
4634 Security 使用者登出
4672 Security 特殊權限帳號登入 (例如系統管理員)
4688 Security 建立新行程 (process creation)
4689 Security 行程結束 (process termination)
4697 Security 安裝新的服務
4720 Security 建立新的使用者帳號
4722 Security 啟用使用者帳號
4723 Security 使用者嘗試變更自己的密碼
4724 Security 嘗試重設其他帳號密碼
4725 Security 停用使用者帳號
4726 Security 刪除使用者帳號
4732 Security 使用者被新增至本機群組
4733 Security 使用者被移出本機群組
4740 Security 使用者帳號被鎖定
1102 Security 清除稽核日誌 (Event Log 被清除)
6005 System Event Log 服務啟動 (通常代表開機)
6006 System Event Log 服務關閉 (通常代表關機)
6008 System 非正常關機事件

Windows Registry

路徑:%WinDir%\System32\Config

Windows Registry 是 Windows 的中央設定資料庫,系統與應用程式把大量設定、狀態與活動資訊寫入其中。它不是單一文字檔,而是以樹狀結構儲存的二進位資料庫,供作業系統、驅動程式與應用程式查詢與修改

它是由這三個基本結構儲存

  • Hive:Windows 註冊表的最高層級結構單位,每個 Hive 都是一個獨立的檔案,儲存在硬碟上。可以把 Hive 想像成一個大型的資料庫檔案。
  • Key:類似資料夾,可包含 subkeys 與 values。每個 key 在 metadata 裡有屬性,形成樹狀結構。
  • Value:key 下面的項目,真正在存資料的地方。每個 value 有三個部分:name、type、data。

而 HKEY_LOCAL_MACHINE (HKLM) 是存放針對整個電腦的設定,如驅動程式、已安裝軟體、系統服務、硬體資訊等

source : ``https://www.lifewire.com/what-is-a-registry-value-2626042

以下四個是很常會去查看的 Hive

  • SAM:儲存本地使用者帳號與群組的資訊,例如使用者名稱、建立時間、最後登入時間。
  • SECURITY:包含使用者帳號的安全相關資訊,例如密碼政策。
  • SOFTWARE:紀錄所有已安裝軟體(包含 Windows 內建與第三方軟體)。
  • SYSTEM:儲存系統層級的組態資訊,例如事件日誌設定、硬體(像是 USB 裝置)相關的設定。

可以使用 RegistryExplorer 幫助查看

另外有時候匯入 Hive 時會出現這樣的警告

此警告表示主 hive 檔案與其 transaction logs (.LOG) 的序號不一致,代表 transaction log 中存在尚未同步到主檔案的變更。

Windows Registry 採用 write-ahead logging 機制:修改時先寫入記憶體快取,再記錄到 transaction log,最後才定期 flush 到主 hive 檔案。而當 log 檔案的序號大於主檔案時,這個 hive 就會被稱為 Dirty Hive

按下 Yes 之後就會開始進行與 transaction logs 的合併

選擇 transaction logs

選擇後它就會幫你合併,合併完後先儲存到一個地方

存完後就可以看這個合併過後的 Hive

Registry Explorer 工具除了可以查看之外它還有預設書籤可以使用,快速定位到想要看的 key

以下列出常見路徑

Registry 路徑 說明
HKLM\SYSTEM\CurrentControlSet\Services 系統服務與驅動程式資訊
HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ActiveComputerName 電腦名稱
HKLM\SYSTEM\MountedDevices 磁碟/USB 裝置掛載資訊
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 系統啟動時自動執行程式
HKLM\SAM\SAM\Domains\Account\Users 本機帳號資訊

總結

今天分享了什麼是 disk forensic 以及一些會想要先查看的線索,接下來幾天會繼續介紹其他在 Disk 中值得分析的檔案


上一篇
Day18 在網路上挖呀挖呀挖
下一篇
Day20 Config 不養它們,Amcache 跟 NTUSER.DAT 自己開小灶
系列文
Blue 了 Blue 了!只會看封包與log的我錯了嗎!20
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言