案件取证操作X-Ways

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

案件取证操作X-WaysForensics使用软件介绍X-WaysForensics是WinHex软件法政版,也是一款应用较为广泛的,运行与Windows环境的取证分析软件。以下以本课案例说明Tom利用该软件进行取证分析的常用操作。环境设置X-wayForensics软件可以通过setup.exe安装配置后使用,也可以通过运行xwforensics.exe直接使用。具体使用方法可根据用户习惯来选择。但通常来说,直接运行最为方便。通常,取证调查人员在使用X-WaysForensics时需要对工作环境按照自己的工作习惯和要求进行一些设置。环境设置软件使用中,保存有X-wayForensics软件临时文件和案例文件的分区将作为默认的数据输出路径,即只有该分区被允许写入数据。因此,在选择X-wayForensics软件使用分区时,需要考虑好下一步数据分析的实际情况。建议选择容量较大,数据较少的分区。环境设置使用软件前,调查人员Tom通常需要预先建立“cases”、“temp”、“images”和“scripts”四个文件夹,分别用于保存案例文件、临时文件、镜像文件和脚本文件,并在软件设置中对该四个文件夹的路径进行指定。环境设置使用X-waysForensics进行各项操作之前,首先需要进行设置。点击菜单中的“Options-General…”键,即可显示常规设置对话窗。环境设置在该对话框中有5个重要的软件工作目录需要设置:保存临时文件的目录:默认保存临时文件至C:\DocumentsandSettings\sprite\LocalSettings\Temp。为便于管理临时文件,通常为其新创建一个temp文件夹,本例中Tom将其指定为E:\X-Ways\temp;环境设置在该对话框中有5个重要的软件工作目录需要设置:保存镜像和备份文件的目录:设置默认保存镜像文件和备份文件至C:\DocumentsandSettings\sprite\LocalSettings\Temp。为将来方便地调用和管理镜像文件,通常需要为其新创建一个images文件夹,本例中Tom将其指定为E:\X-Ways\images;环境设置在该对话框中有5个重要的软件工作目录需要设置:保存案件和方案的目录:默认保存为X-waysForensics的当前目录下,由于调查人员创建的案件越多,这些案例文件保存在当前目录下就会越混乱,不易查找,因此,Tom为其新创建一个案例文件夹,并指定为E:\X-Ways\cases;环境设置在该对话框中有5个重要的软件工作目录需要设置:保存脚本的目录:默认保存在X-waysForensics的当前目录下,基于便于管理的原因,Tom将其指定为E:\X-Ways\scripts;保存哈希库的目录:默认哈希库文件位置为E:\xway\HashDB。此目录可由X-waysForensics自动创建和管理,也可通过调查人员指定,本例中Tom将其指定为E:\X-Ways\HashDB。环境设置环境设置注:如果在固定计算机中安装使用X-waysForensics,通过上述设置即可使用。如果在移动硬盘中使用X-waysForensics,请确定路径设置正确,并将上述路径指向移动硬盘中的相应目录。如果在光盘中使用X-waysForensics,则一定要将路径指向移动硬盘中的相应目录。。创建案件Tom启动X-WaysForensics,并在CaseData栏的菜单中选择“File-CreateNewCase”。创建案件Tom在随后出现的案件数据对话框中,输入案件编号、案件描述、调查员、机构地址等辅助信息(案件名称应使用英文或数字,以避免案例日志和报告中无法出现屏幕快照图片的情况)。创建案件为保障数据分析中显示的时间正确,Tom点击“Displaytimezone…”按钮,并在随后出现的时区选择对话框中选择正确的时区。(案件创建日期将由X-waysForensics依据系统时钟自动创建,因此创建案例前应确保当前取证工作计算机系统时间设置的准确)。创建案件新案例创建完成后,在CaseData栏出现了刚刚创建的案例。利用X-Ways进行取证复制Tom在CaseData栏中选择“File-AddMedium”,添加所需获取Adam办公计算机硬盘。利用X-Ways进行取证复制在随后出现的磁盘介质选择对话框中选择需要复制的源物理磁盘。利用X-Ways进行取证复制磁盘加载后,出现该磁盘的结构分析。利用X-Ways进行取证复制Tom在加载了源物理磁盘后,在X-WaysForesics的菜单中选择“File-CreateDiskImage…”,进行制作该源磁盘的取证复制镜像。利用X-Ways进行取证复制随后Tom在磁盘镜像创建对话框中选择镜像文件格式为“E01”、确定镜像文件名和存放路径、镜像描述、计算Hash码的格式“SHA-1”以及镜像文件长度等信息。利用X-Ways进行取证复制在点击“Ok”后,X-WaysForensics开始为Adam的办公计算机磁盘制作取证备份镜像。利用X-Ways进行取证复制镜像制作完成后出现提醒对话框。并且出现该镜像Hash码的计算结果利用X-Ways进行取证复制在该镜像的目的文件夹中,存储了分卷的Adam办公计算机磁盘的取证镜像。添加原始证据取证分析的原始证据可能是一个物理的计算机磁盘、U盘、各种存储卡以及它们的取证镜像等等。在本例中Tom需要将业已获取的Adam办公计算机磁盘的取证镜像添加进案例中。添加原始证据需要添加原始证据时,可选择CaseDate栏菜单中的“File”按钮“AddMedium…”:通常用以向案例中添加物理磁盘驱动器;“AddImage…”:向案例中添加磁盘镜像文件;“AddFile…”:向案例中添加单个文件。由于Tom已经制作了Adam办公计算机磁盘的取证镜像,因此选择“AddImage…”,并选择好镜像文件,添加到案例中。验证原始证据添加原始证据后,首先需要确保证据没有被改变,即需要验证证据。双击添加的镜像,验证镜像中的指纹是否正确。基本界面和操作刚加入案件的磁盘镜像,没有磁盘文件目录树,如果需要显示驱动器下所有文件,应在右边视图栏的上方,使用鼠标右击磁盘镜像图标,选择右键菜单中的“AddAllPartitionsToCase”展开目录基本界面和操作若调查时仅需要显示出某个目录下的所有文件,则选中需要浏览的目录或驱动器,然后点击文件浏览工作区下方的显示所有文件的按钮。基本界面和操作过滤漏斗:当工作区左上角出现蓝色的漏斗时,表示目前应用了过滤文件的设置,点击该漏斗可以调出文件过滤对话框对过滤条件进行修改。基本界面和操作窗口文件数量:位于右上角,表示当前窗口显示出的文件数量及总计文件数量。本例中,由于应用了过滤操作,窗口右上角数字含义为:应用过滤后,有16份文件符合过滤要求,有46份文件被过滤掉。如果没有使用过滤,此处仅显示文件总数量,即62份文件。基本界面和操作选择文件数量:位于右下角,表示当前窗口选择的文件数量及容量。本例中,选择了3份文件,总计容量31.3MB。基本界面和操作文件标记:文件名称前面的小方框为标记选框。可以手工为文件逐一添加标记,也可以通过右键菜单中的“Tag”命令为所选文件添加标记。过滤文件根据案件性质,通过设置适合的过滤器对文件进行过滤,从而提高调查效率,是调查分析人员的基本技能。在X-waysForensics中,通过点击过滤漏斗(如果未出现蓝色漏斗图标可以点击文件浏览工作区左上角的“/”图标)可以打开过滤器设置对话框。过滤文件在过滤器设置对话框的右边列出了一系列常用的过滤和显示项,对于每一项均设置有一个输入栏,如果其中的数字为0,就表示不显示该栏目,而如果其中的数字0,则表示显示该栏目,并且按照该栏中的数字来设置实际显示的宽度。通常,如果需显示未列出的栏目,可将该栏目数值从0更改为50进行暂时的设定,之后可利用鼠标将相应的栏目调整至满意宽度。过滤文件在对话框右边的系列项目中,有部分项目的最右边具有漏斗按钮,当某个或某些漏斗按钮处于按下状态并变为蓝色时,表明对应的项已经设置了过滤条件。调查者可以点击漏斗按钮来设置和组织单项或复合的过滤条件。过滤文件例如Tom点击“Filename”栏对应的漏斗按钮,就调出文件名过滤对话框。Tom可以在该对话框中设置文件名过滤条件,并点击“Activate”按钮激活该过滤条件。图例说明在文件浏览工作区中,会有一些不同的文件及图标显示方式,具体含义可点击工作区下方的“Legend”按钮,调出图例说明随时进行察看。图例说明其中较为常见和重要的图例和符号如下:文件/文件夹图标:•:现有目录;•:为分析需要虚拟出的目录;•:已删除的目录,通常可成功恢复;•:已删除的目录,未发现首簇;•:根目录;图例说明其中较为常见和重要的图例和符号如下:文件/文件夹图标:•:现存在的文件;•:为分析需要虚拟出的文件;•:已删除的文件,通常可成功恢复;•:已删除的文件,未发现首簇;图例说明其中较为常见和重要的图例和符号如下:文件属性符号:•A:文档•R:只读•H:隐含•S:系统•C:文件系统级压缩•c:压缩文件图例说明其中较为常见和重要的图例和符号如下:文件属性符号:•E:文件系统级加密•e:压缩文件中的加密•e!:特定文件类型加密•e?:加密的可能性较大预览文件X-Ways内置了较强的文件察看器,初始可支持几百种文件格式的查看。点击文件浏览工作区下方的“Preview”按钮,当在文件浏览工作区选择某个文件时,即可在界面右下部分察看文件的内容。如果预览文件时,还未对案件数据进行磁盘快照,那么X-Ways将自动对文件签名、加密等状态进行检测。进行磁盘快照调查人员创建案件,并载入磁盘镜像后,通常首先进行磁盘快照。由于磁盘快照过程将会把案件中的所支持的压缩文件、电子邮件及附件、删除的数据解开及恢复出来,因此快照处理后得到的数据要比未进行磁盘快照的文件数量多。此时进行过滤和搜索,会得到更为准确的结果。进行磁盘快照Tom在将Adam的办公计算机磁盘镜像加载到案件中后,在X-WaysForensics的菜单中选择“Specialist-RefineVolumeSnapshot…”,弹出磁盘快照对话框。进行磁盘快照每个任务前面的方框表示是否选取该项,后面的方框表示完成的状态。绿色对勾表示全部完成;实心绿框表示已完成了部分,但尚未全部完成。进行磁盘快照Particularlythoroughfilesystemstructuresearch:依据文件系统搜索并恢复目录及文件,将当前磁盘中的删除、丢失文件全部恢复。进行磁盘快照Fileheadersignaturesearch:依据文件头特征搜索文件。进行磁盘快照Computehash:计算哈希值,自动计算所有文件的哈希值。目录和0字节文件没有哈希值。算法支持MD5、SHA-1、SHA-256。勾选此项后,会出现一个选择框,进行是否对Hash库进行匹配进行选择。如果调查时已经拥有了完整的哈希库,可在计算文件哈希值过程中,将哈希值与哈希库中值比对,以确定文件哈希分类。例如,通过此选项排除已知的Windows系统文件。进行磁盘快照Verifyfiletypesbasedonsignatures:依据文件签名校验文件真实类型:可判断doc、jpg等格式的文件是否被改名或进行了伪装。进行磁盘快照ExploreandincludecontentsofZIPandRARarchivesetc.:分析ZIP和RAR等压缩文件中的数据。如果选中该项,会出现另一个选项“Treatarchiveslikedirectoriesafterwards”,如果勾选该项,则将压缩文件释放,并以虚拟目录形式浏览。进行磁盘快照SearchforJPEGandPNGpicturesembeddedin…:查找嵌入在正文内的图片,可将

1 / 87
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功