【Thm蓝队】introdigitalforensics之简单数字取证

前言

前几天没有发靶场的wp是在准备期末考试.如今考完了,寒假常更新靶场也准备打打CTFshow 到时候也会发wp

房间地址:https://tryhackme.com/room/introdigitalforensics

图片[1],【Thm蓝队】introdigitalforensics之简单数字取证,编程网络技术爱好者中心-神域博客网

作为一名数字取证调查员,您会看到与上图所示类似的场景。作为数字取证调查员,您应该做什么?获得适当的法律授权后,基本计划如下:

  1. 获取证据:收集笔记本电脑、存储设备、数码相机等数字设备。(请注意,笔记本电脑和计算机在打开时需要特殊处理;但是,这超出了本房间的范围。)
  2. 建立监管链:正确填写相关表格(样本表格)。目的是确保只有经过授权的调查人员才能获取证据,并且任何人都无法篡改证据。
  3. 将证据放在安全的容器中:您要确保证据不会损坏。对于智能手机,您需要确保它们无法访问网络,这样它们就不会被远程擦除。
  4. 将证据传输到您的数字取证实验室。

在实验室,过程如下:

  1. 从安全容器中检索数字证据。
  2. 创建证据的取证副本:取证副本需要先进的软件以避免修改原始数据。
  3. 将数字证据返回到安全容器:您将处理副本。如果您损坏了副本,您随时可以创建一个新副本。
  4. 开始在取证工作站上处理副本。

上述步骤改编自计算机取证和调查指南,第 6 版

更一般地说,根据国防计算机取证实验室前主任 Ken Zatyko 的说法,数字取证包括:

  • 适当的搜查授权:如果没有适当的法律授权,调查人员就无法开始搜查。
  • 监管链:这对于随时跟踪谁持有证据是必要的。
  • 用数学验证:使用一种特殊的数学函数(称为哈希函数),我们可以确认文件未被修改。
  • 使用经过验证的工具:数字取证中使用的工具应经过验证,以确保它们正常工作。例如,如果您要创建磁盘映像,您需要确保取证映像与磁盘上的数据相同。
  • 可重复性:只要有适当的技能和工具,数字取证的结果就可以重现。
  • 报告:数字取证调查以一份报告结束,该报告显示与所发现的案件相关的证据。

实战

主要是取证第三关:

我们在数字设备(从智能手机到计算机)上所做的一切都会留下痕迹。让我们看看在后续的调查中如何使用它。

我们的猫加多被绑架了。绑匪已向我们发送了一份 MS Word 文档格式的文件,其中包含他们的请求。为了您的方便,我们已将文档转换为 PDF 格式,并从 MS Word 文件中提取图像。

您可以将附件下载到本地机器进行检查;但是,为了您的方便,我们已将文件添加到 AttackBox 中。要继续操作,请打开 AttackBox 上的终端,然后转到/root/Rooms/introdigitalforensics 如下所示的目录。在以下终端输出中,我们更改为包含案例文件的目录。终端

root# cd /root/Rooms
root# cd introdigitalforensics
root# ls
letter-image.jpg  ransom-letter.doc  ransom-letter.pdf  ransom-lettter-2.zip

文档元数据

当您创建文本文件时,TXT操作系统会保存一些元数据,例如文件创建日期和上次修改日期。但是,当您使用更高级的编辑器(例如 MS Word)时,许多信息会保留在文件的元数据中。读取文件元数据的方式有多种;您可以在其官方查看器/编辑器中打开它们或使用合适的取证工具。请注意,将文件导出为其他格式(例如 )PDF将保留原始文档的大部分元数据,具体取决于所使用的 PDF 编写器。

让我们看看我们能从 PDF 文件中了解到什么。我们可以尝试使用该程序读取元数据pdfinfo。Pdfinfo 显示与 PDF 文件相关的各种元数据,例如标题、主题、作者、创建者和创建日期。(AttackBox 已经pdfinfo安装;但是,如果您使用的是 Kali Linux 并且尚未pdfinfo安装,则可以使用 进行安装sudo apt install poppler-utils。)请考虑以下使用 的示例pdfinfo DOCUMENT.pdf。终端

user@TryHackMe$ pdfinfo DOCUMENT.pdf 
Creator:        Microsoft® Word for Office 365
Producer:       Microsoft® Word for Office 365
CreationDate:   Wed Oct 10 21:47:53 2018 EEST
ModDate:        Wed Oct 10 21:47:53 2018 EEST
Tagged:         yes
UserProperties: no
Suspects:       no
Form:           none
JavaScript:     no
Pages:          20
Encrypted:      no
Page size:      595.32 x 841.92 pts (A4)
Page rot:       0
File size:      560362 bytes
Optimized:      no
PDF version:    1.7

PDF 元数据清楚地表明它是于 2018 年 10 月 10 日使用 MS Word for Office 365 创建的。回答以下问题

使用pdfinfo查找所附 PDF 文件的作者。提交

照片 EXIF 数据

EXIF 代表可交换图像文件格式;它是将元数据保存到图像文件的标准。每当您使用智能手机或数码相机拍照时,图像中都会嵌入大量信息。以下是可以在原始数字图像中找到的元数据的示例:

  • 相机型号/智能手机型号
  • 图像捕捉的日期和时间
  • 照片设置,例如焦距、光圈、快门速度和 ISO 设置

由于智能手机配备了 GPS 传感器,因此很有可能找到嵌入在图像中的 GPS 坐标。GPS坐标,即纬度和经度,通常会显示照片拍摄的地点。

有许多在线和离线工具可以从图像中读取 EXIF 数据。一种命令行工具是exiftool. ExifTool 用于读取和写入各种文件类型(例如 JPEG 图像)中的元数据。(AttackBox 已经exiftool安装;但是,如果您使用的是 Kali Linux 并且尚未exiftool安装,则可以使用安装它sudo apt install libimage-exiftool-perl。)在下面的终端窗口中,我们执行exiftool IMAGE.jpg读取此图像中嵌入的所有 EXIF 数据。终端

user@TryHackMe$ exiftool IMAGE.jpg
[...]
GPS Position : 51 deg 31' 4.00" N, 0 deg 5' 48.30" W
[...]

如果您使用上述坐标并搜索一张在线地图,您将了解有关该位置的更多信息。搜索Microsoft Bing 地图Google 地图显示51° 31' 4.00" N, 0° 5' 48.30" W,这些坐标表明该图像是在伦敦博物馆附近拍摄的。(我们只是将 替换deg°以使搜索正常工作。)我们注意到搜索页面上的坐标已转换为十进制表示形式:51.517776, -0.09675

使用exiftool或任何类似的工具,尝试找到绑匪在何处获取他们附加到文档中的图像。街道的名称是什么?

图片[2],【Thm蓝队】introdigitalforensics之简单数字取证,编程网络技术爱好者中心-神域博客网

下载附件:

图片[3],【Thm蓝队】introdigitalforensics之简单数字取证,编程网络技术爱好者中心-神域博客网

打开一看是三个不同后缀的文件

打开看看

图片[4],【Thm蓝队】introdigitalforensics之简单数字取证,编程网络技术爱好者中心-神域博客网

打开

图片[5],【Thm蓝队】introdigitalforensics之简单数字取证,编程网络技术爱好者中心-神域博客网

可以看见都是猫猫,其实域也是一个猫猫爱好者

看看题目

取证分析PDF

图片[6],【Thm蓝队】introdigitalforensics之简单数字取证,编程网络技术爱好者中心-神域博客网
sudo apt install poppler-utils #安装PDF数字取证
图片[7],【Thm蓝队】introdigitalforensics之简单数字取证,编程网络技术爱好者中心-神域博客网

取证PDF

pdfinfo ransom-letter.pdf
图片[8],【Thm蓝队】introdigitalforensics之简单数字取证,编程网络技术爱好者中心-神域博客网
图片[9],【Thm蓝队】introdigitalforensics之简单数字取证,编程网络技术爱好者中心-神域博客网

来看下一题

取证分析照片

图片[10],【Thm蓝队】introdigitalforensics之简单数字取证,编程网络技术爱好者中心-神域博客网

先安装一下exiftool

sudo apt install libimage-exiftool-perl
图片[11],【Thm蓝队】introdigitalforensics之简单数字取证,编程网络技术爱好者中心-神域博客网

取证分析jpg

exiftool letter-image.jpg

结果:

图片[12],【Thm蓝队】introdigitalforensics之简单数字取证,编程网络技术爱好者中心-神域博客网
图片[13],【Thm蓝队】introdigitalforensics之简单数字取证,编程网络技术爱好者中心-神域博客网
图片[14],【Thm蓝队】introdigitalforensics之简单数字取证,编程网络技术爱好者中心-神域博客网
图片[15],【Thm蓝队】introdigitalforensics之简单数字取证,编程网络技术爱好者中心-神域博客网

结果太多,省略部分结果

图片[16],【Thm蓝队】introdigitalforensics之简单数字取证,编程网络技术爱好者中心-神域博客网

看一下GPS经纬度

图片[17],【Thm蓝队】introdigitalforensics之简单数字取证,编程网络技术爱好者中心-神域博客网

把deg换成°

换算后是:

51°30' 51.90" N, 0° 5' 38.73" W
图片[18],【Thm蓝队】introdigitalforensics之简单数字取证,编程网络技术爱好者中心-神域博客网

复制答案

图片[19],【Thm蓝队】introdigitalforensics之简单数字取证,编程网络技术爱好者中心-神域博客网
图片[20],【Thm蓝队】introdigitalforensics之简单数字取证,编程网络技术爱好者中心-神域博客网

OK

图片[21],【Thm蓝队】introdigitalforensics之简单数字取证,编程网络技术爱好者中心-神域博客网
图片[22],【Thm蓝队】introdigitalforensics之简单数字取证,编程网络技术爱好者中心-神域博客网
------本文已结束,感谢您的阅读------
THE END
喜欢就支持一下吧
点赞13 分享
评论 抢沙发
头像
善语结善缘,恶语伤人心
提交
头像

昵称

取消
昵称常用语 夸夸
夸夸
还有吗!没看够!
表情图片

    暂无评论内容