第五届美亚杯赛前必备：从案情资料到小程序解题

取证小程序实战

本周末即将举行的“美亚杯”第五届中国电子数据取证大赛团队赛中有涉及到 “一部路由器的日志”（了解更多：参赛必看| 第五届“美亚杯”中国电子数据取证大赛案情资料官方发布），比赛中很有可能出现相关考题，那么这一类题我们可以如何通过取证小程序来解析呢？

第四届美亚杯中有出现过路由器的相关考题，下面以它们为例让美美为大家介绍一下如何使用取证小程序解析主流路由器日志文件。

准备数据：

这里首先准备待解析数据。我们在几款主流路由器系统文件中找到需要解析的路由器日志文件、配置项文件、客户端列表文件等。

数据格式分析：

待解析的日志文件信息中包含的字段基本一致，仅截图展示其中两个日志文件信息，待解析字段包括：时间、日志类型、日志等级、描述。

待解析的配置项信息大致类型包括：配置项、值，仅展示其中一个文件信息。

从待解析的文件数据中分析出想要获取的客户端列表信息包括：设备名、MAC地址。

编写取证小程序：

下面开始依次实现3个模块的编写

1、定义取证小程序的表结构

根据模块1示例依次填充自定义取证小程序名、数据库表名、数据库存储字段名等信息。填充时注意字段名默认编写英文、描述信息编写中文。

2、判断是否为待解析的文件

根据待解析文件的父目录文件名和待解析文件名判断是否是待解析文件。

3、自定义解析规则函数

上面两个模块已经定义好取证小程序的表结构以及过滤出待解析的文件。最后一个模块就是自定义的解析规则。

解析连接记录并入库

① 解析路由器日志

② 解析路由器vpn配置

③ 解析路由器客户端列表记录

4、取证大师取证结果

① 路由器日志文件信息解析结果展示

② 路由器vpn配置信息展示

③ 路由器客户端列表信息展示

标星+置顶美亚柏科