由中国刑事警察学院主办的“美亚杯”第八届中国电子数据取证大赛将于2022年11月11日到13日在线上线下同步举行。“美亚杯”已成为国内外电子数据取证领域的顶级赛事,考点涵盖Windows、Linux、macOS三大主流系统,涉及计算机和手机取证分析、服务器数据库分析、内存分析、网络抓包分析、逆向分析等宽广的技术知识领域。取证小程序是一种运行于取证软件、利用Python脚本对电子数据进行数据提取和数据分析的应用,是用户可自主编程及分享,实现取证分析能力无限拓展的全新解决方案。目前,取证小程序已经成为众多客户在开展取证工作中的好帮手,并在近几届“美亚杯”中发挥重要作用。“美亚杯”常见知识点的解题“三能手”
工欲善其事,必先利其器。在本届“美亚杯”即将鸣锣开赛之际,我们特别为大家推荐常用的三个取证小程序,力求帮助各位选手快速解答“硬盘信息”、“内存镜像解析”和“操作系统默认程序”等三个常见知识点的题目。硬盘信息是历届“美亚杯”必考的题型,涉及文件系统的相关内容,是最为基础和应该掌握的知识点,“证据文件磁盘信息”小程序可快速解答此类题型。图1 第四届个人赛题目
图2 第四届个人赛解答
内存镜像解析工具专业版,是基于Volatility3开发的内存取证小程序。开放友好的交互界面,解决Volatility传统命令行方式的易用性问题,大大降低操作难度,提高答题效率。图3 主界面效果
图4 第五届个人赛第56题
操作系统默认程序解析,专注于快速解答“美亚杯”中常见的“默认浏览器”、“默认浏览器主页”、“默认应用”、“默认计算机桌面图片”等相关题目。
图5 第五届个人赛第2题
分析已发布的案情资料可见,本届“美亚杯”题目涉及假网站、伪冒电邮、网络流量及疑似入侵行为分析等。针对假网站,解题过程可能会使用宝塔面板进行搭建,推荐使用“宝塔面板解析”小程序。AGC集团的电邮系统、假网站均可能涉及到中间件日志解析问题,如accss.log ngnix日志等,可以使用“中间件日志解析”小程序进行分析。假网站的维护人员可能使用一些远程工具进行运维工作,可能涉及到“xshell解析”、"WinSCP"等小程序。本届“美亚杯”给出的建议工具中提到“Mnemonic Code Converter”(助记词转换工具),因此可能涉及到虚拟币等相关内容,可以使用“暗网取证”小程序,对比特币核心钱包信息进行解析。赛前推荐准备以下取证小程序,可到小程序共享平台进行下载使用。
░中间件日志解析░
░xshell解析░
░WinSCP░
░暗网取证░
░宝塔面板解析░
图6 第八届“美亚杯”小程序推荐
此外,在上一届“美亚杯”中,“Office文档元数据解析”、“路由器日志解析”两个取证小程序在选手答题过程中发挥了重要作用,实实在在帮助“美亚杯”选手高效快速解题。推荐大家到小程序共享平台下载使用,有备无患。第七届“美亚杯”赛后复盘
取证小程序共享平台上已开设“美亚杯复盘专区”,欢迎参赛选手关注了解。
图7 “美亚杯”专栏
图8 钉钉查看入口
图9 取证大师入口
取证小程序简单易学、灵活扩展,当遇到取证软件暂不支持解析的计算机、手机、汽车及物联网等设备的新型应用软件时,一线工作人员可自行编写取证小程序,快速完成取证工作,无需等待取证软件更新版本。
除了应用程序数据提取,还可利用取证小程序实现取证过程中常用的实用小工具编写,扩展取证软件本身的功能;也可使用提供的数据获取接口,读取已提取到的数据进行研判分析,实现数据分析功能。
未来,取证小程序将会持续扩展新接口,以便用户能快速实现完全自定义的取证功能和取证流程。也欢迎广大用户参与进来,共同建设取证小程序生态圈。最后,预祝各位参赛选手和团队取得好成绩哟~