【实战】镜像检材取证和嫌疑人证据场景下实战思路教程 PART Ⅲ
字数 2172 2025-08-06 18:07:42

镜像检材取证与嫌疑人证据场景实战教程

0x00 前言

本教程是镜像检材取证和嫌疑人证据场景分析的第三部分,重点介绍使用GUI软件进行综合取证分析。案例背景为嫌疑人非法售卖学生和员工隐私数据库(包含性别、薪资、身份证、地址、手机号等信息),交易金额1万余元,并开发诈骗类恋爱APP。

0x01 电子数据鉴定基础

1. 相关术语解释

  • 电子数据(Electronic Data): 基于计算机应用和通信技术形成的信息数据
  • 存储介质(Storage Medium): 承载电子数据的各类载体或设备
  • 检材(Material for Examination): 电子数据鉴定中的检验对象

2. 电子数据鉴定基本原则

  1. 原始性原则: 保证检材/样本的原始性
  2. 可靠性原则: 确保鉴定过程、结果的准确可靠
  3. 可重现原则: 保证鉴定结果可重现
  4. 及时性原则: 及时进行数据固定与保存
  5. 可追溯原则: 满足追溯性要求

0x02 取证工具介绍

1. 火眼证据分析软件

  • 自动解析系统信息(版本、配置、启动项等)
  • 支持多种文件系统和虚拟磁盘解析
  • 支持文件删除恢复
  • 支持Windows/Linux/MacOS系统分析
  • 支持微信、钉钉等即时通讯软件分析

2. 雷电APP智能分析软件

  • APK文件基本信息分析
  • 权限分析
  • 动态监控APP行为
  • 网络数据包抓包
  • 加固检测、一键脱壳、反编译

3. 火眼仿真取证软件

  • 无痕启动多种操作系统
  • 支持多种镜像格式(qcow/VHD/VHDX等)
  • 自动识别系统类型并提取信息
  • 内置VMware虚拟机支持

4. VeraCrypt

  • 支持文件容器加密
  • 支持分区/设备加密
  • Windows系统盘启动加密
  • 卷隐藏功能

0x03 实战取证分析

1. 磁盘SHA256值获取

  • 使用火眼证据分析添加E01文件
  • 快速分析获取磁盘SHA256: 4077F689A4D840DC462E1DC616FDDA73126EE48F97B8879C466ECDB36ABF9CBA

2. Windows系统安装时间

  • 查看操作系统信息
  • 安装时间: 2022-04-13 15:27:32

3. Foxmail邮箱账号

  • 查看Foxmail应用信息
  • 分析收件箱和已删除邮件
  • 发现"Backup For EFS Certificate PWD"邮件

4. PowerShell历史命令

  • 文件位置: %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Powershell\PSReadLine\ConsoleHost_history.txt
  • 命令记录: 
    powercfg -h off
del Z:\company_info
ipconfig
ping www.baidu.com
dir
ping 114.114.114.114

5. EFS加密文件解密

  1. 从浏览器书签找到奶牛快传链接下载EFS备份证书
  2. 从Foxmail邮件获取证书密码提示
  3. 修复压缩包获取密码: 135790
  4. 导入证书后解密EFS加密文件
  5. 获取内容: VCpwdis:156430t

6. MySQL数据库分析

  • 版本号: 8.0.28
  • debian-sys-maint用户密码: 4x00183SOYkUNisN (位于/etc/mysql/debian.cnf)

7. iOS设备信息

  • iPad密码: ipad
  • 序列号: JR43G07954
  • 版本号: 15.4.1

8. 微信交易信息

  • 买家微信ID: flame_guan
  • 转账金额: 16800.00
  • 交易时间: 2022-04-07 16:43:46

9. 数据库恢复与分析

  1. 修改XML为VHD格式
  2. 使用VeraCrypt解密(密码: 156430t)
  3. 恢复被删除的company_info.sql文件
  4. 导入MySQL分析

数据库查询示例:

  • 不同职位数量: select title,count(*) as numers from titles group by title; → 8种
  • 最早入职员工名: 查询hire_date最早的记录
  • 员工253406总工资: 157331
  • 姓名缩写W.W员工数: 95
  • "Kazuhiro Kushnir"所在部门: Production

10. 非法APK分析

  • SHA256: e15095d49efdccb0ca9b2ee125e4d8136cac5f74c1711f44c6347598ffb1bd7b
  • 应用名称: 爱聊
  • 短信权限: 无(未在AndroidManifest.xml中找到相关权限)
  • TencentMapSDK KEY: ANQBZ-ELQW5-2EFIN-QLKQ2-RZU4O-KVB7I
  • 服务器URL: 通过抓包分析获取

11. 配置文件解密

  • 加密算法: AES-CBC
  • 密钥: handsomehandsome
  • 解密步骤:
    1. Base64解码
    2. AES解密
  • 使用CyberChef工具完成解密

0x04 取证总结

本教程展示了从镜像检材中提取关键证据的完整流程,重点介绍了GUI取证工具的使用方法。相比命令行工具,GUI软件提供了更直观的信息展示和更高效的操作方式,适合系统化的取证分析工作。

0x05 参考链接

  1. 火眼取证官网
  2. PowerShell文档
  3. 奶牛快传链接
  4. Android权限请求文档
  5. EFS加密使用指南
  6. 电子数据鉴定相关标准
镜像检材取证与嫌疑人证据场景实战教程 0x00 前言 本教程是镜像检材取证和嫌疑人证据场景分析的第三部分,重点介绍使用GUI软件进行综合取证分析。案例背景为嫌疑人非法售卖学生和员工隐私数据库(包含性别、薪资、身份证、地址、手机号等信息),交易金额1万余元,并开发诈骗类恋爱APP。 0x01 电子数据鉴定基础 1. 相关术语解释 电子数据(Electronic Data) : 基于计算机应用和通信技术形成的信息数据 存储介质(Storage Medium) : 承载电子数据的各类载体或设备 检材(Material for Examination) : 电子数据鉴定中的检验对象 2. 电子数据鉴定基本原则 原始性原则 : 保证检材/样本的原始性 可靠性原则 : 确保鉴定过程、结果的准确可靠 可重现原则 : 保证鉴定结果可重现 及时性原则 : 及时进行数据固定与保存 可追溯原则 : 满足追溯性要求 0x02 取证工具介绍 1. 火眼证据分析软件 自动解析系统信息(版本、配置、启动项等) 支持多种文件系统和虚拟磁盘解析 支持文件删除恢复 支持Windows/Linux/MacOS系统分析 支持微信、钉钉等即时通讯软件分析 2. 雷电APP智能分析软件 APK文件基本信息分析 权限分析 动态监控APP行为 网络数据包抓包 加固检测、一键脱壳、反编译 3. 火眼仿真取证软件 无痕启动多种操作系统 支持多种镜像格式(qcow/VHD/VHDX等) 自动识别系统类型并提取信息 内置VMware虚拟机支持 4. VeraCrypt 支持文件容器加密 支持分区/设备加密 Windows系统盘启动加密 卷隐藏功能 0x03 实战取证分析 1. 磁盘SHA256值获取 使用火眼证据分析添加E01文件 快速分析获取磁盘SHA256: 4077F689A4D840DC462E1DC616FDDA73126EE48F97B8879C466ECDB36ABF9CBA 2. Windows系统安装时间 查看操作系统信息 安装时间: 2022-04-13 15:27:32 3. Foxmail邮箱账号 查看Foxmail应用信息 分析收件箱和已删除邮件 发现"Backup For EFS Certificate PWD"邮件 4. PowerShell历史命令 文件位置: %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Powershell\PSReadLine\ConsoleHost_history.txt 命令记录: 5. EFS加密文件解密 从浏览器书签找到奶牛快传链接下载EFS备份证书 从Foxmail邮件获取证书密码提示 修复压缩包获取密码: 135790 导入证书后解密EFS加密文件 获取内容: VCpwdis:156430t 6. MySQL数据库分析 版本号: 8.0.28 debian-sys-maint用户密码: 4x00183SOYkUNisN (位于 /etc/mysql/debian.cnf ) 7. iOS设备信息 iPad密码: ipad 序列号: JR43G07954 版本号: 15.4.1 8. 微信交易信息 买家微信ID: flame_guan 转账金额: 16800.00 元 交易时间: 2022-04-07 16:43:46 9. 数据库恢复与分析 修改XML为VHD格式 使用VeraCrypt解密(密码: 156430t ) 恢复被删除的 company_info.sql 文件 导入MySQL分析 数据库查询示例: 不同职位数量: select title,count(*) as numers from titles group by title; → 8种 最早入职员工名: 查询 hire_date 最早的记录 员工253406总工资: 157331 元 姓名缩写W.W员工数: 95 人 "Kazuhiro Kushnir"所在部门: Production 10. 非法APK分析 SHA256: e15095d49efdccb0ca9b2ee125e4d8136cac5f74c1711f44c6347598ffb1bd7b 应用名称: 爱聊 短信权限: 无(未在AndroidManifest.xml中找到相关权限) TencentMapSDK KEY: ANQBZ-ELQW5-2EFIN-QLKQ2-RZU4O-KVB7I 服务器URL: 通过抓包分析获取 11. 配置文件解密 加密算法: AES-CBC 密钥: handsomehandsome 解密步骤: Base64解码 AES解密 使用CyberChef工具完成解密 0x04 取证总结 本教程展示了从镜像检材中提取关键证据的完整流程,重点介绍了GUI取证工具的使用方法。相比命令行工具,GUI软件提供了更直观的信息展示和更高效的操作方式,适合系统化的取证分析工作。 0x05 参考链接 火眼取证官网 PowerShell文档 奶牛快传链接 Android权限请求文档 EFS加密使用指南 电子数据鉴定相关标准