取证与数据恢复:冷系统分析,实时系统分析与镜像分析之间的过渡办法

天津鸿萌科贸发展有限公司是 ElcomSoft 系列取证软件的授权代理商。

ElcomSoft 系列取证软件

ElcomSoft 系列取证软件支持从计算机和移动设备进行数据提取、解锁文档、解密压缩文件、破解加密容器、查看和分析证据。

  • 计算机和手机取证的完整集合
  • 硬件加速解密最多支持10,000计算机协同工作
  • 包含全部移动设备数据提取解密分析的相关工具
  • 移动设备逻辑、物理、无线数据获取工具
  • Apple, Microsoft 和 Google 云服务数据提取
  • 访问删除的证据并以取证的专业方式提取

ElcomSoft System Recovery 是 ElcomSoft 系列取证软件之一。它支持在所有版本的 Windows 中重置或恢复本地 Windows 帐户和 Microsoft 帐户密码。为任何用户帐户分配管理权限,重置过期密码或导出密码哈希以进行脱机恢复。创建取证磁盘镜像及随附可启动的 Windows PE 环境。

  • 执行取证有效的数据提取
  • 重置 Windows 帐户密码
  • 从 TrueCrypt、VeraCrypt、Bitlocker、FileVault (HFS+/APFS)、PGP 磁盘、LUKS 和 LUKS2 加密磁盘中提取加密元数据
  • 创建取证磁盘镜像
  • 恢复本地帐户、Microsoft 帐户和 Wi-Fi 网络密码
  • 自定义的 Windows PE 环境,具有广泛的硬件兼容性和真正的本机 FAT 和 NTFS 支持

实时系统分析、镜像分析、冷系统分析

在数字取证领域,有多种方法可以分析计算机系统。您可能熟悉实时系统分析或调查取证磁盘镜像,但还有另一种称为冷系统分析的方法。与专家处理活动用户会话的实时分析不同,冷系统分析的工作方式不同。这就像是实时分析和检查计算机磁盘镜像之间的中间地带。但是,什么情况下会使用冷分析呢?您能用它做什么,它与通常所用的方法相比有什么优势呢?

什么是冷系统分析?

冷系统分析在现场经常使用,但该术语本身并不像“实时系统分析”那样常见,因此需要一些解释。该术语是在“冷启动攻击”之后诞生的,它反过来定义了一种非常特殊的攻击类型,允许从系统的易失性内存中提取机密(例如加密密钥)。在冷启动攻击过程中,专家从便携式介质(通常是 USB 闪存驱动器)启动计算机。这正是冷系统分析期间使用的方法:检查员从便携式 USB 驱动器启动计算机,并尝试访问系统和/或从计算机中提取证据。

那么什么是“实时系统分析”呢?在实时系统分析中,检查者尝试获得对经过身份验证的用户会话的控制权。只有当被调查的计算机处于打开状态,并且至少有一个用户具有活动会话时,才有可能这样做。冷系统分析假定计算机的初始状态已关闭或休眠,并且没有经过身份验证的用户会话可用。

与实时系统分析相反的是检查取证磁盘镜像,取证磁盘镜像是对用户物理存储设备的比特精确捕获。即使在调查过程中存储在磁盘镜像中的数据出现问题,也始终可以返回到原始文件。

冷系统分析的风险

实时系统分析是三种方法中风险最大的。经过身份验证的用户会话可能充满惊喜。可能有未知的(和潜在的危险)后台进程在运行,任何可用的证据都可能随时自毁。如果计算机连接到网络,则可能会发生更糟糕的情况,而断开网络连接可能会触发未知的、具有潜在危险的任务。实时系统分析从来都不是取证可靠的,只有在仔细权衡风险后才能进行。

使用取证磁盘镜像是最安全的方法,同时也是最耗时的。这是最合理的取证方法。

冷系统分析介于两者之间。通过从已知良好的便携式介质启动用户的计算机,专家可以使用熟悉的取证工具访问干净的系统。然而,这是嫌疑人的电脑,操作者的错误可能会导致不可逆转的事故。顺便说一下,最常见的错误之一是急于重置用户的 Windows 帐户密码,这会立即永久锁定访问 EFS 加密文件的能力以及存储在 Web 浏览器(如 Google Chrome 或 Microsoft Edge)中的任何密码。但是,如果谨慎使用,冷系统分析可以比取证磁盘镜像分析带来显著优势,而不会产生与实时系统分析相关的大部分风险。通过冷系统分析获得的结果在取证层面上可能合理,也可能不合理,具体取决于您使用的工具和技术。

使用 Elcomsoft System Recovery 进行冷系统分析

使用 Elcomsoft System RecoveryESR),进行取证有效的冷系统分析就很容易了。与大多数基于 Linux 的同类产品不同,Elcomsoft System Recovery 基于熟悉的 Windows 环境,因此是调查 Windows 计算机的理想工具。

通过运行 Elcomsoft System Recovery 安装程序准备可启动 USB 驱动器后,就可以执行各种任务了,具体取决于系统分区是否加密。

有两种模式可用:一种是取证合理的写入阻止“只读”模式,另一种是可以通过重置密码、分配管理权限等来修改用户帐户的模式。

启动 ESR 后,能够在磁盘工具和帐户工具(SAM 数据库)之间进行选择。

删除 BitLocker 保护

如果使用 BitLocker 对系统分区进行加密,则在解锁卷之前几乎无法执行任何操作。在这种情况下,您可以启动到 Elcomsoft System Recovery,捕获卷的加密元数据,将数据带到实验室,并尝试通过运行 Elcomsoft Distributed Password Recovery 软件来恢复原始 BitLocker 密码。

根据特定 BitLocker 卷上使用的保护程序的配置(主要取决于系统是否具有 TPM 模块),你可能无法解锁卷。

如果你有系统卷的密码或 BitLocker 恢复密钥,则 ESR 可以使用 Windows PE 的内置 BitLocker 功能解锁和装载卷。完成此操作后,您可以继续分析磁盘,与传统的镜像和解密工作流程相比,这节省了大量时间。

收集现有密码

启动进入 Elcomsoft System Recovery 后,该工具将探测现有的 Windows 帐户以获取常用密码。如果发现密码,将显示该密码以允许进一步分析。

破解 Windows 帐户密码

如果密码未知怎么办?如果是这种情况,您需要运行攻击以恢复原始密码。在此之前,需要提取加密元数据(哈希值),并在 Elcomsoft Distributed Password Recovery 中使用该数据来发起攻击。

解锁磁盘加密

如果计算机尚未关闭,但被发现处于混合睡眠或休眠状态,则可以找到磁盘加密工具(如 BitLocker、TrueCrypt、VeraCrypt 或 PGP)的动态加密密钥(OTFE 密钥)。这些键可以在休眠或页面文件中找到。在冷系统分析期间,可以提取这些文件并将它们保存在外部介质上,以便使用 Elcomsoft Forensic Disk Decryptor 进行进一步分析。

搜索加密磁盘

对于磁盘加密,使用 ESR 进行冷系统分析允许通过运行彻底的自动搜索来查找加密磁盘。

搜索加密虚拟机

除了磁盘加密工具,加密虚拟机是最常见的掩盖工具之一。您可以在 ESR 中查找加密的虚拟机,这同样是一个自动化过程。一旦该工具找到加密的虚拟机,它就会自动保存加密元数据,您可以在 Elcomsoft Distributed Password Recovery 中使用它来破解原始密码。

创建取证磁盘镜像

在冷系统分析阶段,您能做的只有这么多,而制作磁盘镜像是加快调查速度的最后一条捷径。传统上,专家会拆卸计算机,取出磁盘,然后使用专门的写入阻止磁盘镜像设备制作镜像。ESR 提供了一个快捷方式,允许在不取出驱动器的情况下制作取证磁盘镜像。

冷系统分析的快速和不洁

冷系统分析与您的方法一样具有取证意义。在某些情况下,为了提高效率,您可能会失去“取证合理”的部分。一个很好的例子是紧急解锁前雇员的 Windows 帐户、重新分配管理权限或通过删除恶意或意外设置的 Syskey 保护来恢复计算机的功能。

解锁 Windows 帐户

在网络管理不足的组织中,需要解锁 Windows 用户的帐户是很常见的。ESR 使这变得非常容易;更改任何 Windows 用户的密码实际上只需单击几下即可。但请注意,这在取证上远非合理:如果重置用户的密码,则使用 Windows DPAPI 加密的任何数据(例如加密的文件系统、存储的密码等)都将永久丢失。

分配管理权限

如果管理密码丢失或未知,可能需要为某个 Windows 帐户分配管理权限才能恢复对系统的完全访问权限。ESR 只需点击几下即可实现。该功能也适用于您已使用 ESR 重置密码的帐户。

删除 Syskey 保护

如果还没有听说过 Windows Syskey 保护,那么您并不孤单。此功能不提供任何真正的安全性,但如果知道该功能的人意外或恶意设置了 Syskey 密码,则可能会变得非常麻烦。关于如何重置或恢复 Windows SYSKEY 密码,可以查看我们的相关文章。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/41067.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

MMSC物料库位扩充

MMSC物料库位扩充 输入事务码MMSC: 回车后添加新的库位即可: 代码实现,使用BDC *&------------------------------------------------* *&BDC的定义 *&------------------------------------------------* DATA gt_bdcdata T…

ggrcs包4.0版本发布—重新对密度图宽度进行了设计

目前本人写的ggrcs包新的4.0版本已经在CRAN上线,目前支持逻辑回归(logistic回归)、cox回归和多元线性回归。 需要的可以使用代码安装 install.packages("ggrcs")如果原来安装了旧版本,重新在安装一次就可以升级到新版…

如何选择小红书矩阵系统

在内容营销领域,小红书已成为一个不可忽视的平台,尤其是对于品牌和个人创作者来说。小红书矩阵系统,指的是一系列策略和工具,它们可以帮助用户在小红书上高效地管理和分发内容。本文将探讨如何选择适合自己需求的小红书矩阵系统&a…

YOLOv8数据集可视化[目标检测实践篇]

先贴代码,后面再补充解析。 这个篇章主要是对标注好的标签进行可视化,虽然比较简单,但是可以从可视化代码中学习到YOLOv8是如何对标签进行解析的。 下面直接贴代码: import cv2 import numpy as np import osdef read_det_labels(label_file_path):with open(labe…

蓝桥杯开发板STM32G431RBT6高阶HAL库学习FreeRtos——完成第一个小项目点灯

一、配置LED引脚(注意引脚都配置为高电平) 二、新建两个任务,一个为动态创建,一个静态创建(以后大多数情况进行动态创建)//将两个优先级设置成一样 补充: 1.FreeRTOS创建静态任务和动态任务的各自优缺点 静态任务和动…

react框架,使用vite和nextjs构建react项目

react框架 React 是一个用于构建用户界面(UI)的 JavaScript 库,它的本质作用是使用js动态的构建html页面,react的设计初衷就是为了更方便快捷的构建页面,官方并没有规定如何进行路由和数据获取,要构建一个完整的react项目,我们需要…

3D技术赋能电商行业:“人-货-场”视角下的新变革!

在当今数字化时代,3D技术正以前所未有的方式赋能电商行业,在提升用户体验,优化商品展示,以及打造沉浸式的购。物场景上,重塑了电商行业的面貌,深刻改变着消费者的购物体验和商家的营销策略。 51建模网作为专…

视图库对接系列(GA-T 1400)九、视图库对接系列(本级)机动车数据推送

背景 在上几章中,我们已经可以将视图库的平台写到我们的数据库中了。 换句话说就已经接入我们的平台了,这几期的话,我们就对接设备, 将设备的数据接入到我们平台来。 机动车数据推送 接入机动车数据推送相对比较简单,我们只需要实现对应的接口就ok了。 具体如图: 有增…

RRStudio 下载及安装(详尽版)

R语言来自S语言,是S语言的一个变种。S语言、C语言、Unix系统都是贝尔实验室的研究成果。R 语言是一种解释型的面向数学理论研究工作者的语言,主要用于统计分析、绘图、数据挖掘。 R 语言自由软件,免费、开放源代码,支持各个主要计…

Emacs有什么优点,用Emacs写程序真的比IDE更方便吗?

Emacs 是一个功能强大的文本编辑器,它在开发者和程序员中非常受欢迎,主要优点包括: 可定制性:Emacs 允许用户通过 Lisp 编程语言来自定义编辑器的行为和界面,几乎可以修改任何方面。扩展性:拥有大量的扩展…

C++:类型转换

目录 一、C语言中的类型转换 二、为什么C要新的转换格式 三、 C强制类型转换 1.static_cast 2.reinterpret_cast 3.const_cast 4.dynamic_cast 一、C语言中的类型转换 在C语言中,如果赋值运算符左右两侧类型不同,或者形参与实参类型不匹配&…

【高阶数据结构】B-数、B+树、B*树的原理

文章目录 B树的概念及其特点解析B树的基本操作插入数据插入数据模拟 分析分裂如何维护平衡性分析B树的性能 B树和B*树B树B树的分裂B树的优势 B*B*树的分裂 总结 B树的概念及其特点 B树是一颗多叉的平衡搜索树,广泛应用于数据库和 文件系统中,以保持数据…

等保2.0的具体技术要求有哪些重点?

在数字化浪潮汹涌澎湃的当下,网络安全犹如一座守护智慧之城的巍峨城墙,不可或缺。等级保护制度(等保)作为我国网络安全战略的基石,历经岁月沉淀,已演进至2.0时代,即《网络安全等级保护基本要求》…

算法思想总结:优先级队列

一、最后一块石头的重量 . - 力扣(LeetCode) 我们每次都要快速找到前两个最大的石头进行抵消,这个时候用优先级队列(建大堆),不断取堆顶元素是最好的!每次删除堆顶元素后,可以自动调整&#xf…

HarmonyOS - 通过.p7b文件获取fingerprint

1、查询工程所对应的 .p7b 文件 通常新工程运行按照需要通过 DevEco Studio 的 Project Structure 勾选 Automatically generate signature 自动生成签名文件,自动生成的 .p7b 文件通常默认在系统用户目录下. 如:C:/Users/zhangsan/.ohos/config/default…

JavaSE面试题(二)

目录 一.为什么会有Java内存模型? 二.什么样的情况下finally不会执行 三.钩子是什么? 四.编译时期的多态性和运行时期的多态性 五.谈谈反射机制 六.Java管道 本专栏全是博主自己收集的面试题,仅可参考,不能相信面试官就出这…

TCP报文校验和(checksum)计算

一. 原理 将TCP相关内容&#xff08;TCP伪头部TCP头部TCP内容&#xff09;转换成16比特的字符&#xff0c;然后进行累加&#xff0c;最后结果进行取反。TCP伪头部是固定的&#xff0c;下文有相关代码展示。 二. 源码 源码 #include <stdio.h> #include <stdlib.h&…

3D鸡哥又上开源项目!单图即可生成,在线可玩

大家好&#xff0c;今天和大家分享几篇最新的工作 1、Unique3D Unique3D从单视图图像高效生成高质量3D网格&#xff0c;具有SOTA水平的保真度和强大的通用性。 如下图所示 Unique3D 在 30 秒内从单视图野生图像生成高保真且多样化的纹理网格。 例如属于一张鸡哥的打球写真照 等…

js 递归调用 相同对象--数组递归调用

<div class="save-cl"> <a-button @click="saveCl" >保存为常用策略</a-button> </div> saveCl(){ console.log(this.form.filterList[0],--------常用策略)// 此对象为上图对象 console.log(this.allElementsHaveValue(thi…

Windows的管理工具

任务计划程序&#xff1a;这是一个用来安排任务自动运行的工具。你可以在这里创建新的任务&#xff0c;设定触发条件&#xff0c;并指定任务的操作。 事件查看器&#xff1a;这是一套日志记录和分析工具&#xff0c;&#xff0c;你可以了解到系统的工作状况&#xff0c;帮助诊…