取证与数据恢复:冷系统分析,实时系统分析与镜像分析之间的过渡办法

天津鸿萌科贸发展有限公司是 ElcomSoft 系列取证软件的授权代理商。

ElcomSoft 系列取证软件

ElcomSoft 系列取证软件支持从计算机和移动设备进行数据提取、解锁文档、解密压缩文件、破解加密容器、查看和分析证据。

  • 计算机和手机取证的完整集合
  • 硬件加速解密最多支持10,000计算机协同工作
  • 包含全部移动设备数据提取解密分析的相关工具
  • 移动设备逻辑、物理、无线数据获取工具
  • Apple, Microsoft 和 Google 云服务数据提取
  • 访问删除的证据并以取证的专业方式提取

ElcomSoft System Recovery 是 ElcomSoft 系列取证软件之一。它支持在所有版本的 Windows 中重置或恢复本地 Windows 帐户和 Microsoft 帐户密码。为任何用户帐户分配管理权限,重置过期密码或导出密码哈希以进行脱机恢复。创建取证磁盘镜像及随附可启动的 Windows PE 环境。

  • 执行取证有效的数据提取
  • 重置 Windows 帐户密码
  • 从 TrueCrypt、VeraCrypt、Bitlocker、FileVault (HFS+/APFS)、PGP 磁盘、LUKS 和 LUKS2 加密磁盘中提取加密元数据
  • 创建取证磁盘镜像
  • 恢复本地帐户、Microsoft 帐户和 Wi-Fi 网络密码
  • 自定义的 Windows PE 环境,具有广泛的硬件兼容性和真正的本机 FAT 和 NTFS 支持

实时系统分析、镜像分析、冷系统分析

在数字取证领域,有多种方法可以分析计算机系统。您可能熟悉实时系统分析或调查取证磁盘镜像,但还有另一种称为冷系统分析的方法。与专家处理活动用户会话的实时分析不同,冷系统分析的工作方式不同。这就像是实时分析和检查计算机磁盘镜像之间的中间地带。但是,什么情况下会使用冷分析呢?您能用它做什么,它与通常所用的方法相比有什么优势呢?

什么是冷系统分析?

冷系统分析在现场经常使用,但该术语本身并不像“实时系统分析”那样常见,因此需要一些解释。该术语是在“冷启动攻击”之后诞生的,它反过来定义了一种非常特殊的攻击类型,允许从系统的易失性内存中提取机密(例如加密密钥)。在冷启动攻击过程中,专家从便携式介质(通常是 USB 闪存驱动器)启动计算机。这正是冷系统分析期间使用的方法:检查员从便携式 USB 驱动器启动计算机,并尝试访问系统和/或从计算机中提取证据。

那么什么是“实时系统分析”呢?在实时系统分析中,检查者尝试获得对经过身份验证的用户会话的控制权。只有当被调查的计算机处于打开状态,并且至少有一个用户具有活动会话时,才有可能这样做。冷系统分析假定计算机的初始状态已关闭或休眠,并且没有经过身份验证的用户会话可用。

与实时系统分析相反的是检查取证磁盘镜像,取证磁盘镜像是对用户物理存储设备的比特精确捕获。即使在调查过程中存储在磁盘镜像中的数据出现问题,也始终可以返回到原始文件。

冷系统分析的风险

实时系统分析是三种方法中风险最大的。经过身份验证的用户会话可能充满惊喜。可能有未知的(和潜在的危险)后台进程在运行,任何可用的证据都可能随时自毁。如果计算机连接到网络,则可能会发生更糟糕的情况,而断开网络连接可能会触发未知的、具有潜在危险的任务。实时系统分析从来都不是取证可靠的,只有在仔细权衡风险后才能进行。

使用取证磁盘镜像是最安全的方法,同时也是最耗时的。这是最合理的取证方法。

冷系统分析介于两者之间。通过从已知良好的便携式介质启动用户的计算机,专家可以使用熟悉的取证工具访问干净的系统。然而,这是嫌疑人的电脑,操作者的错误可能会导致不可逆转的事故。顺便说一下,最常见的错误之一是急于重置用户的 Windows 帐户密码,这会立即永久锁定访问 EFS 加密文件的能力以及存储在 Web 浏览器(如 Google Chrome 或 Microsoft Edge)中的任何密码。但是,如果谨慎使用,冷系统分析可以比取证磁盘镜像分析带来显著优势,而不会产生与实时系统分析相关的大部分风险。通过冷系统分析获得的结果在取证层面上可能合理,也可能不合理,具体取决于您使用的工具和技术。

使用 Elcomsoft System Recovery 进行冷系统分析

使用 Elcomsoft System RecoveryESR),进行取证有效的冷系统分析就很容易了。与大多数基于 Linux 的同类产品不同,Elcomsoft System Recovery 基于熟悉的 Windows 环境,因此是调查 Windows 计算机的理想工具。

通过运行 Elcomsoft System Recovery 安装程序准备可启动 USB 驱动器后,就可以执行各种任务了,具体取决于系统分区是否加密。

有两种模式可用:一种是取证合理的写入阻止“只读”模式,另一种是可以通过重置密码、分配管理权限等来修改用户帐户的模式。

启动 ESR 后,能够在磁盘工具和帐户工具(SAM 数据库)之间进行选择。

删除 BitLocker 保护

如果使用 BitLocker 对系统分区进行加密,则在解锁卷之前几乎无法执行任何操作。在这种情况下,您可以启动到 Elcomsoft System Recovery,捕获卷的加密元数据,将数据带到实验室,并尝试通过运行 Elcomsoft Distributed Password Recovery 软件来恢复原始 BitLocker 密码。

根据特定 BitLocker 卷上使用的保护程序的配置(主要取决于系统是否具有 TPM 模块),你可能无法解锁卷。

如果你有系统卷的密码或 BitLocker 恢复密钥,则 ESR 可以使用 Windows PE 的内置 BitLocker 功能解锁和装载卷。完成此操作后,您可以继续分析磁盘,与传统的镜像和解密工作流程相比,这节省了大量时间。

收集现有密码

启动进入 Elcomsoft System Recovery 后,该工具将探测现有的 Windows 帐户以获取常用密码。如果发现密码,将显示该密码以允许进一步分析。

破解 Windows 帐户密码

如果密码未知怎么办?如果是这种情况,您需要运行攻击以恢复原始密码。在此之前,需要提取加密元数据(哈希值),并在 Elcomsoft Distributed Password Recovery 中使用该数据来发起攻击。

解锁磁盘加密

如果计算机尚未关闭,但被发现处于混合睡眠或休眠状态,则可以找到磁盘加密工具(如 BitLocker、TrueCrypt、VeraCrypt 或 PGP)的动态加密密钥(OTFE 密钥)。这些键可以在休眠或页面文件中找到。在冷系统分析期间,可以提取这些文件并将它们保存在外部介质上,以便使用 Elcomsoft Forensic Disk Decryptor 进行进一步分析。

搜索加密磁盘

对于磁盘加密,使用 ESR 进行冷系统分析允许通过运行彻底的自动搜索来查找加密磁盘。

搜索加密虚拟机

除了磁盘加密工具,加密虚拟机是最常见的掩盖工具之一。您可以在 ESR 中查找加密的虚拟机,这同样是一个自动化过程。一旦该工具找到加密的虚拟机,它就会自动保存加密元数据,您可以在 Elcomsoft Distributed Password Recovery 中使用它来破解原始密码。

创建取证磁盘镜像

在冷系统分析阶段,您能做的只有这么多,而制作磁盘镜像是加快调查速度的最后一条捷径。传统上,专家会拆卸计算机,取出磁盘,然后使用专门的写入阻止磁盘镜像设备制作镜像。ESR 提供了一个快捷方式,允许在不取出驱动器的情况下制作取证磁盘镜像。

冷系统分析的快速和不洁

冷系统分析与您的方法一样具有取证意义。在某些情况下,为了提高效率,您可能会失去“取证合理”的部分。一个很好的例子是紧急解锁前雇员的 Windows 帐户、重新分配管理权限或通过删除恶意或意外设置的 Syskey 保护来恢复计算机的功能。

解锁 Windows 帐户

在网络管理不足的组织中,需要解锁 Windows 用户的帐户是很常见的。ESR 使这变得非常容易;更改任何 Windows 用户的密码实际上只需单击几下即可。但请注意,这在取证上远非合理:如果重置用户的密码,则使用 Windows DPAPI 加密的任何数据(例如加密的文件系统、存储的密码等)都将永久丢失。

分配管理权限

如果管理密码丢失或未知,可能需要为某个 Windows 帐户分配管理权限才能恢复对系统的完全访问权限。ESR 只需点击几下即可实现。该功能也适用于您已使用 ESR 重置密码的帐户。

删除 Syskey 保护

如果还没有听说过 Windows Syskey 保护,那么您并不孤单。此功能不提供任何真正的安全性,但如果知道该功能的人意外或恶意设置了 Syskey 密码,则可能会变得非常麻烦。关于如何重置或恢复 Windows SYSKEY 密码,可以查看我们的相关文章。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/775993.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

面向对象案例:电影院

TOC 思路 代码 结构 具体代码 Movie.java public class Movie {//一共七个private int id;private String name;private double price;private double score;private String director;private String actors;private String info;//get和setpublic int getId() {return id;…

2024年【湖北省安全员-C证】考试资料及湖北省安全员-C证考试试卷

题库来源:安全生产模拟考试一点通公众号小程序 湖北省安全员-C证考试资料是安全生产模拟考试一点通生成的,湖北省安全员-C证证模拟考试题库是根据湖北省安全员-C证最新版教材汇编出湖北省安全员-C证仿真模拟考试。2024年【湖北省安全员-C证】考试资料及…

解决@Autowired 注入service 到 static接口方法的问题

1 对类进行 Component 定义 2 定义service及 static service Component public class OperationalJudgment {private static MemberService memberService;Resourceprivate MemberService service;PostConstructpublic void init() {memberServicethis.service;}3 static方法中…

PTrade常见问题系列3

量化允许同时运行回测和交易的策略个数配置。 量化允许同时运行回测和交易的策略个数在哪里查看? 在量化服务器/home/fly/config/custom_config_conf文件中,其中运行回测的策略个数由backtest_switch(是否限制普通回测个数)及ba…

AutoCAD 2022 for Mac/Win版 安装包下载

AutoCAD 2022 是由 Autodesk 开发的一款计算机辅助设计(CAD)软件。它广泛应用于工程、建筑、制造、动画和媒体娱乐等多个领域。 系统要求: 操作系统:Windows 10 或更高版本。 处理器:Intel 或 AMD 处理器&#xff0c…

算法库应用--寻找最长麦穗

学习贺利坚老师算法库 数据结构例程——串的顺序存储应用_使用顺序串存储身份证号-CSDN博客 本人详细解析博客 串的顺序存储的应用实例二_串的顺序存储应用-CSDN博客 版本更新日志 V1.0: 在原有的基础上, 进行优化名字, 并且有了相应的算法库作为支撑, 我使用了for循环来代替老…

第N7周:seq2seq翻译实战-pytorch复现-小白版

🍨 本文为🔗365天深度学习训练营 中的学习记录博客🍖 原作者:K同学啊 理论基础 seq2seq(Sequence-to-Sequence)模型是一种用于机器翻译、文本摘要等序列转换任务的框架。它由两个主要的递归神经网络&#…

HTML【详解】超链接 a 标签的四大功能(页面跳转、页内滚动【锚点】、页面刷新、文件下载)

超链接 a 标签主要有以下功能&#xff1a; 跳转到其他页面 <a href"https://www.baidu.com/" target"_blank" >百度</a>href&#xff1a;目标页面的 url 地址或同网站的其他页面地址&#xff0c;如 detail.htmltarget&#xff1a;打开目标页面…

全面助力巴西slot游戏包推广本土网盟dsp流量广告优势

全面助力巴西slot游戏包推广本土网盟dsp流量广告优势 在巴西这片充满活力的土地上&#xff0c;电子游戏市场蓬勃发展&#xff0c;成为娱乐产业的重要组成部分。随着网络技术的不断进步和移动互联网的普及&#xff0c;巴西玩家对于电子游戏的热情愈发高涨&#xff0c;游戏市场呈…

Streaming local LLM with FastAPI, Llama.cpp and Langchain

题意&#xff1a; 使用FastAPI、Llama.cpp和Langchain流式传输本地大型语言模型 问题背景&#xff1a; I have setup FastAPI with Llama.cpp and Langchain. Now I want to enable streaming in the FastAPI responses. Streaming works with Llama.cpp in my terminal, but…

google 邮件信息收集

主要介绍通过google和fofax对目标进行邮件信息收集 chrome插件 email-whatsapp-extractor link-klipper-extract-all bulk-url-opener-extension email-whatsapp-extractor 使用正则表达式&#xff0c;获取访问页面内所有的email邮箱和whatsapp号码&#xff0c;以表格的形式导…

C电池 和 D 电池的作用和类型详解及其之间的区别

C 和 D 电池是我们日常生活中必不可少的部件。它们通常用于高功率设备。例如手电筒和玩具。 D 型电池和 C 型电池是两种常见的电池类型。它们是一次性圆柱形电池。您可以在很多设备上使用它们。虽然它们有很多相似之处&#xff0c;但它们也有不同的特点。这些特点使它们适合某…

设置和取消Excel“打开密码”的3种方法

在日常工作中&#xff0c;Excel文件中常常包含敏感数据。为了防止未经授权的访问&#xff0c;给Excel文件设置打开密码是一个非常有效的方法。下面分享3种设置Excel打开密码的方法&#xff0c;以及如何取消这些密码。 先来看看设置Excel打开密码的3种方法。 方法一&#xff1…

CSRF漏洞攻击

05-CSRF 1 CSRF概述 1.1 概述 CSRF (Cross-Site Request Forgery) 跨站请求伪造&#xff0c;也可称为一键式攻击 (one-click-attack)&#xff0c;通常缩写为 CSRF 或者 XSRF。 CSRF 攻击是一种挟持用户在当前已登录的浏览器上发送恶意请求的攻击方法。相对于XSS利用用户对指…

对FPGA开发流程系统的学习

FPGA 开发流程&#xff1a; HDL&#xff08;Hardware Design Language&#xff09;和原理图是两种最常用的数字硬件电路描述方法&#xff0c;HDL 设计法具有更好的可移植性、通用性和模块划分与重用性的特点&#xff0c;在目前的工程设计中被广泛使用。所以&#xff0c;我们在…

JDK新特性之协程

在 JVM 中&#xff0c;java 线程直接映射内核线程&#xff0c;因此 java 线程的创建、销毁和调度都要依赖内核态的操作&#xff08;系统调用&#xff09;。而协程是真正的用户线程&#xff0c;如上图所示很多的协程可以映射很少的几个内核线程&#xff0c;并且协程的创建、销毁…

【kubectl详解】最全的kubectl命令用法

文章目录 简介一.命令帮助翻译1.1.基本命令&#xff08;初学者&#xff09;&#xff1a;1.2.基本命令&#xff08;中级&#xff09;&#xff1a;1.3.部署命令&#xff1a;1.4.群集管理命令&#xff1a;1.5.疑难解答和调试命令&#xff1a;1.6.高级命令&#xff1a;1.7.设置命令…

腾讯混元文生图开源模型推出小显存版本,仅需 6G 显存即可运行

腾讯宣布开源小显存版本的混元文生图模型&#xff0c;降低至 6G 显存即可运行&#xff0c;方便个人电脑本地部署。同时&#xff0c;混元 DiT 模型升级至 1.2 版本&#xff0c;图片质感与构图提升。混元 Captioner 打标模型也正式开源&#xff0c;支持中英文双语&#xff0c;优化…

linux ifconfig未找到命令

linux ifconfig未找到命令 1、使用yum安装net-tools yum install net-toolsyum报未找到命令请查看文章vim未找到命令&#xff0c;且yum install vim安装vim失败 2、安装后使用ifconfig命令 ifconfig

数据库、创建表、修改表

一、数据库 1、登陆数据库 2、创建数据库zoo 3、修改数据库zoo字符集为gbk 4、选择当前数据库为zoo 5、查看创建数据库zoo信息 6、删除数据库zoo 二、创建表 1、创建一个名称为db_system的数据库 2、在该数据库下创建两张表&#xff0c;具体要求如下 员工表 user…