【Thm蓝队】introdigitalforensics之简单数字取证

前言

房间地址：https://tryhackme.com/room/introdigitalforensics

作为一名数字取证调查员，您会看到与上图所示类似的场景。作为数字取证调查员，您应该做什么？获得适当的法律授权后，基本计划如下：

1. 获取证据：收集笔记本电脑、存储设备、数码相机等数字设备。（请注意，笔记本电脑和计算机在打开时需要特殊处理；但是，这超出了本房间的范围。）
2. 建立监管链：正确填写相关表格（样本表格）。目的是确保只有经过授权的调查人员才能获取证据，并且任何人都无法篡改证据。
3. 将证据放在安全的容器中：您要确保证据不会损坏。对于智能手机，您需要确保它们无法访问网络，这样它们就不会被远程擦除。
4. 将证据传输到您的数字取证实验室。

在实验室，过程如下：

1. 从安全容器中检索数字证据。
2. 创建证据的取证副本：取证副本需要先进的软件以避免修改原始数据。
3. 将数字证据返回到安全容器：您将处理副本。如果您损坏了副本，您随时可以创建一个新副本。
4. 开始在取证工作站上处理副本。

上述步骤改编自计算机取证和调查指南，第 6 版。

更一般地说，根据国防计算机取证实验室前主任 Ken Zatyko 的说法，数字取证包括：

• 适当的搜查授权：如果没有适当的法律授权，调查人员就无法开始搜查。
• 监管链：这对于随时跟踪谁持有证据是必要的。
• 用数学验证：使用一种特殊的数学函数（称为哈希函数），我们可以确认文件未被修改。
• 使用经过验证的工具：数字取证中使用的工具应经过验证，以确保它们正常工作。例如，如果您要创建磁盘映像，您需要确保取证映像与磁盘上的数据相同。
• 可重复性：只要有适当的技能和工具，数字取证的结果就可以重现。
• 报告：数字取证调查以一份报告结束，该报告显示与所发现的案件相关的证据。

实战

主要是取证第三关：

我们在数字设备（从智能手机到计算机）上所做的一切都会留下痕迹。让我们看看在后续的调查中如何使用它。

我们的猫加多被绑架了。绑匪已向我们发送了一份 MS Word 文档格式的文件，其中包含他们的请求。为了您的方便，我们已将文档转换为 PDF 格式，并从 MS Word 文件中提取图像。

您可以将附件下载到本地机器进行检查；但是，为了您的方便，我们已将文件添加到 AttackBox 中。要继续操作，请打开 AttackBox 上的终端，然后转到/root/Rooms/introdigitalforensics 如下所示的目录。在以下终端输出中，我们更改为包含案例文件的目录。终端

root# cd /root/Rooms
root# cd introdigitalforensics
root# ls
letter-image.jpg  ransom-letter.doc  ransom-letter.pdf  ransom-lettter-2.zip

文档元数据

当您创建文本文件时，TXT操作系统会保存一些元数据，例如文件创建日期和上次修改日期。但是，当您使用更高级的编辑器（例如 MS Word）时，许多信息会保留在文件的元数据中。读取文件元数据的方式有多种；您可以在其官方查看器/编辑器中打开它们或使用合适的取证工具。请注意，将文件导出为其他格式（例如 ）PDF将保留原始文档的大部分元数据，具体取决于所使用的 PDF 编写器。

让我们看看我们能从 PDF 文件中了解到什么。我们可以尝试使用该程序读取元数据pdfinfo。Pdfinfo 显示与 PDF 文件相关的各种元数据，例如标题、主题、作者、创建者和创建日期。（AttackBox 已经pdfinfo安装；但是，如果您使用的是 Kali Linux 并且尚未pdfinfo安装，则可以使用 进行安装sudo apt install poppler-utils。）请考虑以下使用 的示例pdfinfo DOCUMENT.pdf。终端

user@TryHackMe$ pdfinfo DOCUMENT.pdf 
Creator:        Microsoft® Word for Office 365
Producer:       Microsoft® Word for Office 365
CreationDate:   Wed Oct 10 21:47:53 2018 EEST
ModDate:        Wed Oct 10 21:47:53 2018 EEST
Tagged:         yes
UserProperties: no
Suspects:       no
Form:           none
JavaScript:     no
Pages:          20
Encrypted:      no
Page size:      595.32 x 841.92 pts (A4)
Page rot:       0
File size:      560362 bytes
Optimized:      no
PDF version:    1.7

PDF 元数据清楚地表明它是于 2018 年 10 月 10 日使用 MS Word for Office 365 创建的。回答以下问题

使用pdfinfo查找所附 PDF 文件的作者。提交

照片 EXIF 数据

EXIF 代表可交换图像文件格式；它是将元数据保存到图像文件的标准。每当您使用智能手机或数码相机拍照时，图像中都会嵌入大量信息。以下是可以在原始数字图像中找到的元数据的示例：

• 相机型号/智能手机型号
• 图像捕捉的日期和时间
• 照片设置，例如焦距、光圈、快门速度和 ISO 设置

由于智能手机配备了 GPS 传感器，因此很有可能找到嵌入在图像中的 GPS 坐标。GPS坐标，即纬度和经度，通常会显示照片拍摄的地点。

有许多在线和离线工具可以从图像中读取 EXIF 数据。一种命令行工具是exiftool. ExifTool 用于读取和写入各种文件类型（例如 JPEG 图像）中的元数据。（AttackBox 已经exiftool安装；但是，如果您使用的是 Kali Linux 并且尚未exiftool安装，则可以使用安装它sudo apt install libimage-exiftool-perl。）在下面的终端窗口中，我们执行exiftool IMAGE.jpg读取此图像中嵌入的所有 EXIF 数据。终端

user@TryHackMe$ exiftool IMAGE.jpg
[...]
GPS Position : 51 deg 31' 4.00" N, 0 deg 5' 48.30" W
[...]

如果您使用上述坐标并搜索一张在线地图，您将了解有关该位置的更多信息。搜索Microsoft Bing 地图或Google 地图显示51° 31' 4.00" N, 0° 5' 48.30" W，这些坐标表明该图像是在伦敦博物馆附近拍摄的。（我们只是将 替换deg为°以使搜索正常工作。）我们注意到搜索页面上的坐标已转换为十进制表示形式：51.517776, -0.09675。

使用exiftool或任何类似的工具，尝试找到绑匪在何处获取他们附加到文档中的图像。街道的名称是什么？

下载附件：

打开一看是三个不同后缀的文件

打开看看

打开

可以看见都是猫猫,其实域也是一个猫猫爱好者

看看题目

取证分析PDF

sudo apt install poppler-utils #安装PDF数字取证

取证PDF

pdfinfo ransom-letter.pdf

来看下一题

取证分析照片

先安装一下exiftool

sudo apt install libimage-exiftool-perl

取证分析jpg

exiftool letter-image.jpg

结果：

结果太多,省略部分结果

看一下GPS经纬度

把deg换成°

换算后是：

51°30' 51.90" N, 0° 5' 38.73" W

复制答案

OK

------本文已结束，感谢您的阅读------