取证与数据恢复:冷系统分析,实时系统分析与镜像分析之间的过渡办法

news2024/12/29 10:14:01

天津鸿萌科贸发展有限公司是 ElcomSoft 系列取证软件的授权代理商。

ElcomSoft 系列取证软件

ElcomSoft 系列取证软件支持从计算机和移动设备进行数据提取、解锁文档、解密压缩文件、破解加密容器、查看和分析证据。

  • 计算机和手机取证的完整集合
  • 硬件加速解密最多支持10,000计算机协同工作
  • 包含全部移动设备数据提取解密分析的相关工具
  • 移动设备逻辑、物理、无线数据获取工具
  • Apple, Microsoft 和 Google 云服务数据提取
  • 访问删除的证据并以取证的专业方式提取

ElcomSoft System Recovery 是 ElcomSoft 系列取证软件之一。它支持在所有版本的 Windows 中重置或恢复本地 Windows 帐户和 Microsoft 帐户密码。为任何用户帐户分配管理权限,重置过期密码或导出密码哈希以进行脱机恢复。创建取证磁盘镜像及随附可启动的 Windows PE 环境。

  • 执行取证有效的数据提取
  • 重置 Windows 帐户密码
  • 从 TrueCrypt、VeraCrypt、Bitlocker、FileVault (HFS+/APFS)、PGP 磁盘、LUKS 和 LUKS2 加密磁盘中提取加密元数据
  • 创建取证磁盘镜像
  • 恢复本地帐户、Microsoft 帐户和 Wi-Fi 网络密码
  • 自定义的 Windows PE 环境,具有广泛的硬件兼容性和真正的本机 FAT 和 NTFS 支持

实时系统分析、镜像分析、冷系统分析

在数字取证领域,有多种方法可以分析计算机系统。您可能熟悉实时系统分析或调查取证磁盘镜像,但还有另一种称为冷系统分析的方法。与专家处理活动用户会话的实时分析不同,冷系统分析的工作方式不同。这就像是实时分析和检查计算机磁盘镜像之间的中间地带。但是,什么情况下会使用冷分析呢?您能用它做什么,它与通常所用的方法相比有什么优势呢?

什么是冷系统分析?

冷系统分析在现场经常使用,但该术语本身并不像“实时系统分析”那样常见,因此需要一些解释。该术语是在“冷启动攻击”之后诞生的,它反过来定义了一种非常特殊的攻击类型,允许从系统的易失性内存中提取机密(例如加密密钥)。在冷启动攻击过程中,专家从便携式介质(通常是 USB 闪存驱动器)启动计算机。这正是冷系统分析期间使用的方法:检查员从便携式 USB 驱动器启动计算机,并尝试访问系统和/或从计算机中提取证据。

那么什么是“实时系统分析”呢?在实时系统分析中,检查者尝试获得对经过身份验证的用户会话的控制权。只有当被调查的计算机处于打开状态,并且至少有一个用户具有活动会话时,才有可能这样做。冷系统分析假定计算机的初始状态已关闭或休眠,并且没有经过身份验证的用户会话可用。

与实时系统分析相反的是检查取证磁盘镜像,取证磁盘镜像是对用户物理存储设备的比特精确捕获。即使在调查过程中存储在磁盘镜像中的数据出现问题,也始终可以返回到原始文件。

冷系统分析的风险

实时系统分析是三种方法中风险最大的。经过身份验证的用户会话可能充满惊喜。可能有未知的(和潜在的危险)后台进程在运行,任何可用的证据都可能随时自毁。如果计算机连接到网络,则可能会发生更糟糕的情况,而断开网络连接可能会触发未知的、具有潜在危险的任务。实时系统分析从来都不是取证可靠的,只有在仔细权衡风险后才能进行。

使用取证磁盘镜像是最安全的方法,同时也是最耗时的。这是最合理的取证方法。

冷系统分析介于两者之间。通过从已知良好的便携式介质启动用户的计算机,专家可以使用熟悉的取证工具访问干净的系统。然而,这是嫌疑人的电脑,操作者的错误可能会导致不可逆转的事故。顺便说一下,最常见的错误之一是急于重置用户的 Windows 帐户密码,这会立即永久锁定访问 EFS 加密文件的能力以及存储在 Web 浏览器(如 Google Chrome 或 Microsoft Edge)中的任何密码。但是,如果谨慎使用,冷系统分析可以比取证磁盘镜像分析带来显著优势,而不会产生与实时系统分析相关的大部分风险。通过冷系统分析获得的结果在取证层面上可能合理,也可能不合理,具体取决于您使用的工具和技术。

使用 Elcomsoft System Recovery 进行冷系统分析

使用 Elcomsoft System RecoveryESR),进行取证有效的冷系统分析就很容易了。与大多数基于 Linux 的同类产品不同,Elcomsoft System Recovery 基于熟悉的 Windows 环境,因此是调查 Windows 计算机的理想工具。

通过运行 Elcomsoft System Recovery 安装程序准备可启动 USB 驱动器后,就可以执行各种任务了,具体取决于系统分区是否加密。

有两种模式可用:一种是取证合理的写入阻止“只读”模式,另一种是可以通过重置密码、分配管理权限等来修改用户帐户的模式。

启动 ESR 后,能够在磁盘工具和帐户工具(SAM 数据库)之间进行选择。

删除 BitLocker 保护

如果使用 BitLocker 对系统分区进行加密,则在解锁卷之前几乎无法执行任何操作。在这种情况下,您可以启动到 Elcomsoft System Recovery,捕获卷的加密元数据,将数据带到实验室,并尝试通过运行 Elcomsoft Distributed Password Recovery 软件来恢复原始 BitLocker 密码。

根据特定 BitLocker 卷上使用的保护程序的配置(主要取决于系统是否具有 TPM 模块),你可能无法解锁卷。

如果你有系统卷的密码或 BitLocker 恢复密钥,则 ESR 可以使用 Windows PE 的内置 BitLocker 功能解锁和装载卷。完成此操作后,您可以继续分析磁盘,与传统的镜像和解密工作流程相比,这节省了大量时间。

收集现有密码

启动进入 Elcomsoft System Recovery 后,该工具将探测现有的 Windows 帐户以获取常用密码。如果发现密码,将显示该密码以允许进一步分析。

破解 Windows 帐户密码

如果密码未知怎么办?如果是这种情况,您需要运行攻击以恢复原始密码。在此之前,需要提取加密元数据(哈希值),并在 Elcomsoft Distributed Password Recovery 中使用该数据来发起攻击。

解锁磁盘加密

如果计算机尚未关闭,但被发现处于混合睡眠或休眠状态,则可以找到磁盘加密工具(如 BitLocker、TrueCrypt、VeraCrypt 或 PGP)的动态加密密钥(OTFE 密钥)。这些键可以在休眠或页面文件中找到。在冷系统分析期间,可以提取这些文件并将它们保存在外部介质上,以便使用 Elcomsoft Forensic Disk Decryptor 进行进一步分析。

搜索加密磁盘

对于磁盘加密,使用 ESR 进行冷系统分析允许通过运行彻底的自动搜索来查找加密磁盘。

搜索加密虚拟机

除了磁盘加密工具,加密虚拟机是最常见的掩盖工具之一。您可以在 ESR 中查找加密的虚拟机,这同样是一个自动化过程。一旦该工具找到加密的虚拟机,它就会自动保存加密元数据,您可以在 Elcomsoft Distributed Password Recovery 中使用它来破解原始密码。

创建取证磁盘镜像

在冷系统分析阶段,您能做的只有这么多,而制作磁盘镜像是加快调查速度的最后一条捷径。传统上,专家会拆卸计算机,取出磁盘,然后使用专门的写入阻止磁盘镜像设备制作镜像。ESR 提供了一个快捷方式,允许在不取出驱动器的情况下制作取证磁盘镜像。

冷系统分析的快速和不洁

冷系统分析与您的方法一样具有取证意义。在某些情况下,为了提高效率,您可能会失去“取证合理”的部分。一个很好的例子是紧急解锁前雇员的 Windows 帐户、重新分配管理权限或通过删除恶意或意外设置的 Syskey 保护来恢复计算机的功能。

解锁 Windows 帐户

在网络管理不足的组织中,需要解锁 Windows 用户的帐户是很常见的。ESR 使这变得非常容易;更改任何 Windows 用户的密码实际上只需单击几下即可。但请注意,这在取证上远非合理:如果重置用户的密码,则使用 Windows DPAPI 加密的任何数据(例如加密的文件系统、存储的密码等)都将永久丢失。

分配管理权限

如果管理密码丢失或未知,可能需要为某个 Windows 帐户分配管理权限才能恢复对系统的完全访问权限。ESR 只需点击几下即可实现。该功能也适用于您已使用 ESR 重置密码的帐户。

删除 Syskey 保护

如果还没有听说过 Windows Syskey 保护,那么您并不孤单。此功能不提供任何真正的安全性,但如果知道该功能的人意外或恶意设置了 Syskey 密码,则可能会变得非常麻烦。关于如何重置或恢复 Windows SYSKEY 密码,可以查看我们的相关文章。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1890924.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

arduino IDE 处于read only editor模式

当我们浏览一些arduino的例子的时候,有时候想修改这些例子。但是这些例子即使另存到自己的文件目录下,仍然不能修改,提示处于read only 模式。 网上有一些什么说法,说要设置什么之类的,当我们点开之后,好像…

13-4 GPT-5:博士级AI,人工智能的新时代

图片来源:AI Disruptive 人工智能世界正在迅速发展,新的创新和突破层出不穷。在本文中,我们将深入探讨最新的进展,从即将推出的 GPT-5 模型到 Apple 和 Meta 之间可能的合作。 GPT-5:博士级别的人工智能 虽然尚未正…

Windows Server 2008近源应急OS-1

前景需要:小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急。 我们需要…

微信小程序 typescript 开发日历界面

1.界面代码 <view class"o-calendar"><view class"o-calendar-container" ><view class"o-calendar-titlebar"><view class"o-left_arrow" bind:tap"prevMonth">《</view>{{year}}年{{month…

py黑帽子学习笔记_burp

配置burp kali虚机默认装好了社区版burp和java&#xff0c;其他os需要手动装 burp是用java&#xff0c;还得下载一个jython包&#xff0c;供burp用 配apt国内源&#xff0c;然后apt install jython --download-only&#xff0c;会只下载包而不安装&#xff0c;下载的目录搜一…

基于最大相邻夹角的边缘点提取(matlab)

1、背景介绍 边缘点是指点云数据中代表物体或场景几何形状突变的那些点。在三维点云中&#xff0c;边缘点通常标志着不同表面或物体的分界&#xff0c;或者是物体表面上的不规则性&#xff0c;如裂缝、棱角、突起等。点云边缘检测的作用非常重要&#xff0c;最常见是进行特征点…

Transformation(转换)开发-switch/case组件

一、switch/case组件-条件判断 体育老师要做一件非常重要的事情&#xff1a;判断学生是男孩还是女孩、或者是蜘蛛&#xff0c;然后让他们各自到指定的队伍中 体育老师做的事情&#xff0c;我们同样也会在Kettle中会经常用来。在Kettle中&#xff0c;switch/case组件可以来做类似…

私有云统一多云管理平台主要服务内容

私有云统一多云管理平台&#xff0c;作为企业IT架构现代化的关键组成部分&#xff0c;旨在为企业提供高效、灵活、安全的云计算资源管理解决方案。这类平台通过整合和优化不同云环境(包括私有云、公有云、混合云)的管理&#xff0c;帮助企业打破云孤岛&#xff0c;实现资源的统…

守护创新之魂:源代码防泄漏的终极策略

在信息化快速发展的今天&#xff0c;企业的核心机密数据&#xff0c;尤其是源代码&#xff0c;成为了企业竞争力的关键所在。然而&#xff0c;源代码的泄露风险也随之增加&#xff0c;给企业的安全和发展带来了巨大威胁。在这样的背景下&#xff0c;SDC沙盒作为一种创新的源代码…

【JAVA入门】Day12 - 权限修饰符

【JAVA入门】Day12 - 权限修饰符 文章目录 【JAVA入门】Day12 - 权限修饰符一、private二、空着不写三、protected四、public五、权限修饰符的使用规则 权限修饰符是用来控制一个成员能够被访问的范围的。 权限修饰符可以修饰成员变量、方法、构造方法、内部类。 publ…

解析Kotlin中的内联函数,inline、noinline、crossinline【笔记摘要】

用编译时常量的概念&#xff0c;引出本文要讲内联函数inline&#xff1a; 1.编译时常量 Java的编译时常量 Compile-time Constant 它有四个要求&#xff1a;1.这个变量需要是 final 的  2.类型只能是字符串或者基本类型  3.这个变量需要在声明的时候就赋值  4.等号右边…

华为路由器静态路由配置(eNSP模拟实验)

实验目标 如图下所示&#xff0c;让PC1ping通PC2 具体操作 配置PC设备ip 先配置PC1的ip、掩码、网关。PC2也做这样的配置 配置路由器ip 配置G0/0/0的ip信息 #进入系统 <Huawei>system-view #进入GigabitEthernet0/0/0接口 [Huawei]int G0/0/0 #设置接口的ip和掩码 […

springboot 自定义的全局捕获异常失效

背景&#xff1a;springbootspringcloud 分布式微服务。 问题&#xff1a;公共模块在使用RestControllerAdvice全局捕获异常时&#xff0c;捕获不到子服务抛出的相应异常 首先看一下全局异常组件有么有被扫描到 如何查看&#xff0c;很简单只需要写一段类加载打印代码&#x…

Ansys Zemax|场曲跟畸变图的前世今生

实现 OpticStudio通过在X和Y方向&#xff08;弧矢和子午方向&#xff09;的傍轴光线追踪确定近轴图像平面的Z坐标&#xff0c;并测量该近轴焦平面与系统图像平面的Z坐标之间的距离。 切向数据是沿Z轴从图像平面到近轴图像平面在切向&#xff08;YZ&#xff09;平面测量的距离…

解决pip安装时的“SyntaxError: invalid syntax”错误

项目场景&#xff1a; 项目中有新的成员加入时&#xff0c;第一步就是安装开发环境&#xff0c;然而往往同样的机器、同样的配置&#xff0c;我们却总能遇到各种各样不同的问题。 今天分享一个简单的操作问题。 问题描述 项目用到pandas&#xff0c;安装pandas时遇到Syntax…

使用 App Store Connect API 生成和读取分析报告

文章目录 前言安装 API Swift SDK配置 API Swift SDK生成分析报告获取所有可用的报告获取报告的分段下载分段的数据总结 前言 Apple 最近推出了50多个新的分析报告&#xff0c;其中包含数百个新的数据点和指标&#xff0c;以帮助开发者了解他们的应用程序的表现情况。 这些报…

k8s部署rancher

一、添加helm chart仓库 二、创建命名空间 # kubectl create ns cattile-system 三、安装cert-manager https://github.com/cert-manager/cert-manager/releases/download/v1.14.5/cert-manager.crds.yaml# kubectl apply -f cert-manager.crds.yaml 四、安装rangcher # he…

day02-广播机制

广播机制 广播是numpy对不同形状的数组进行数值计算的方式&#xff0c;对数组的算术运算通常在相应的元素上进行 1.如果两个数组a和b形状相同&#xff0c;即满足a.shape b.shape&#xff0c;那么a*b的结果就是a与b数组对应位相乘。这要求维数相同且各维度的长度相同 a np.a…

Python成为全球热门语言的“秘密”

1994年&#xff0c;美国举办了一次 针对Python的workshop 从全美国选出来的程序员 聚在一起讨论着这个“秘密武器” Python是如何从一个开发者的“副业” 变成现在全球热门语言呢&#xff1f; 今天我们一起探讨一下Python简史 往下翻看&#xff0c;解锁答案&#x1f447…

帮人安装打印机驱动踩过的坑

自从当了程序员&#xff0c;总被人认为是无所不能。安装系统&#xff0c;组装电脑都会。有啥只要跟电脑沾点边的事情都来找我。这不今天就被叫去帮人安装打印机驱动。 问题描述 以前老电脑都可以用打印机的&#xff0c;自从换新电脑后就不行了。别人可以用&#xff0c;就他的新…