最近,特别是取证赛前后,经常有学生问我电子数据取证该怎么学?感觉刚刚入了门,好像什么都懂一点,又好像什么都不怎么懂,做题还行,实践就抓瞎了。个人觉得,想学好电子数据取证,最重要的是多思考,把各个细小的知识点串起来,从而形成自己的取证知识体系。
下面以今年取证赛资格赛第十题为例,分享一下自己的解题过程及相关的思考。题目为:工地主管计算机的E盘的Bitlocker修复密钥标识符是甚么? 此题对应的检材为VTM-computer.e01。
看到题目,我想到的解题思路如下:
**思路1:**使用镜像挂载工具挂载镜像文件,通过Windows资源管理器尝试解密并查看恢复密钥标识符。
**思路2:**取证取证软件尝试解密并查看恢复密钥。
**思路3:**如果用户保存恢复密钥后又打开查看过,用户痕迹中可能会找到对应的BitLocker标识信息(如果BitLocker以txt格式保存,文件名中包含恢复密钥标识)。
接下来按照上面的思路,逐一进行实践。
思路1。使用FTK Imager等工具挂载VTM-computer.e01,稍等片刻屏幕右上角会弹出解密界面(如果没有自动弹出,资源管理器中双击带有BitLocker锁定图标的分区即可弹出)。在解密界面中,点击“更多选项”,然后选择“输入恢复密钥”,便会弹出带有BitLocker恢复密钥标识符的解密窗口,但标识符不完整。故此方法无法用来解题。
思路2。取证大师加载镜像文件,右击存在BitLocker加密的分区,选择“BitLocker解密”,然后选择“恢复密钥串”,即可看到恢复密钥标识。
思路3。取证大师自动取证结果中,多次出现了恢复密钥相关的痕迹,例如“快捷方式文件解析”节点、“最近访问的文档”节点、“最近打开保存文档”节点、“IE浏览器历史记录”节点。用户曾打开过“C:\Users\PC1\Desktop\BitLocker Recovery Key 36EBC180-95F7-41FF-BE5B-4E56E7AF48B1.TXT”,结合思路,可以判定“36EBC180-95F7-41FF-BE5B-4E56E7AF48B1”即是所需的标识符。
如果仅仅为了解题,至此,题目的正确答案已经得到,思路2或及思路3结合思路1全部可行。但其实我们可以继续拓展一下。
如果这一题不是填空,而是选择题,我们是不是又多了一种解题思路?没错,将各选项作为关键词在检材中进行搜索。接下来使用用已知的BitLocker恢复密钥标识在检材中进行搜索,看有没有意外的发现。
在取证大师中点击“搜索”图标,选择“原始数据搜索” ,关键词为“36EBC180”,搜索范围选择“磁盘设备”,并限定分区3(操作系统所在分区)。
经过数分钟的等待,搜索终于结束。取证大师得到231条命中结果,相同文件合并后,得到17条记录,即共有17个文件中存在“36EBC180”。
接下来我们对这17条记录进行大致的解读。
上图第一个命中文件为“pagefile.sys”,这是Windows内存交换文件,功能类似Linux的swap分区,物理内存不足时,内存中的数据可能会临时写入到此文件。“pagefile.sys”中出现命中结果,说明BitLocker恢复密钥标识曾经出现在内存中。
第17个命中文件为“$MFT”。$MFT文件中出现命中结果,说明分区中目前或曾经存在过文件名中含有“36EBC180”的文件记录。由于保存BitLocker恢复密钥的txt文件很小,不到1KB,所以在文件系统中一般以常驻文件存在。这意味着,如果命中结果真的就是BitLocker恢复密钥文件,在命中结果前后可以找到恢复密钥字符串。
但是很可惜,通过查看上下文,命中的仅仅是快捷方式文件而已。只能说明用户曾经打开过恢复密钥文件。
第16个命中文件为“$UsnJrnl•$J”,命中记录27条。该文件是NTFS文件系统日志,命中此文件说明BitLocker恢复密钥文件存在更改、移动、删除等操作。
使用取证神探加载镜像文件,解析NTFS日志,得到347447条记录。对“名称”列进行过滤,过滤关键词为“36EBC180”,正好得到27条结果。
通过第一条记录可以得知,用户于2021-10-18 18:13:59导出了恢复密钥文件“BitLocker Recovery Key 36EBC180-95F7-41FF-BE5B-4E56E7AF48B1.TXT”到桌面。
通过最后一条记录可以得知,用户于2021-10-18 18:16:14对该文件进行了重命名。
接下来我们按时间进行过滤,范围为改名后的两分钟,即2021-10-18 18:16:14至2021-10-18 18:17:00,得到168条记录。
根据18:16:14至18:16:17的NTFS日志得知用户先将“BitLocker Recovery Key 36EBC180-95F7-41FF-BE5B-4E56E7AF48B1.TXT”重命名为了“BitLocker Recovery Key 1.TXT”,接着又重命名为了“BitLocker Recovery Key.TXT”,最后又命名为了“$RR64YMU.TXT”,路径也变成了“$Recycle.Bin\S-1-5-21-1376663006-2626393931-4032423365-1001\$RR64YMU.TXT”,即移动到了回收站,同时根据路径中的SID得知操作者为“PC1”。
接下来按文件名进行过滤,关键词为“$RR64YMU.TXT”,可以得知用户于18:16:26清空了回收站。至此,恢复密钥文件的创建时间、删除时间都清晰了。
继续回到恢复密钥标识符命中结果。第13个命中文件“NTUSER.DAT”及第14个命中文件“ntuser.dat.LOG2”说明注册表中存在恢复密钥相关内容,进一步分析分析可以得知这些内容实际来自MRU痕迹。
时间关系,其他命中的文件本文就不一一分析了。
上面举的这些例子,只是想告诉初学者,电子数据取证的学习,要形式知识体系。参加取证赛前,可能会重点突击练习解题技巧,但在赛后,更重要的知识点的梳理,一套取证题,发散开来,足以涉及大多数取证知识。取证赛由于时间、工具等关系,能拿名次不简单,但赛后如果能慢慢将各题涉及的知识点领悟透,也依然算得上是取证大佬!甚至,慢慢分析的过程中,去体会出题人出题时的思路,去思考哪些题目可以出的更完美,也不失为一种乐趣。
最后,给大家留下一些思考题,感兴趣的可以尝试看看,可以将思考结果通过邮件发给我(huzhuang(at)hustrong.com),全部答对的,我会送一份自己整理的《X-Ways Forensics入门指南》。
1.本文中,取证大师搜索结果为231条记录,如果你按照同样的步骤进行搜索,结果是否也为231条记录,如果不是,可能的原因是什么?
2.本问题提到的“BitLocker Recovery Key 36EBC180-95F7-41FF-BE5B-4E56E7AF48B1.TXT”曾经被打开过,请问是否由用户“PC1”打开?以及由什么应用打开的?请说明详细的判断理由。
3.本文中提到的恢复密钥标识符命中记录中,有一条记录命中的文件名为“recent”,该文件的完整路径是什么?是否是普通的文件?该文件中内容是什么?SHA-1值是多少?最后4字节内容是什么?
4.文件“BitLocker Recovery Key 36EBC180-95F7-41FF-BE5B-4E56E7AF48B1.TXT”是否被外传?如果有,通过什么方式传到了哪里?
5.现场数据固定,电脑已关机,但怀疑可能有BitLocker加密,请简述你的工作方案,请考虑到各种可能,注意各种操作的后果及影响。
