“美亚杯”第八届中国电子数据取证大赛已于11月13日圆满落幕(点击划线处了解更多)。本届大赛题目由香港大学和香港警务处联合出题,不仅涉及了计算机取证分析、手机取证分析、服务器数据库分析、网络抓包分析等部分,还包含了虚拟机取证分析、暗网取证分析等,综合考察了参赛选手的电子数据取证能力。
学而不思则罔,思而不学则殆。赛程结束后举行的赛后复盘也吸引着学界、业界的广泛关注。复盘大会上,在各选手的经验交流中频繁提及“取证小程序”。
“取证小程序”是一种运行于取证软件、利用Python脚本对电子数据进行提取和分析的应用。随着“取证小程序”不断升级完善,功能也在不断增加,无论是在协助警方办案,还是在各大比武现场及比赛现场中,“取证小程序”都发挥着不容忽视的重要作用。
实战题目
“虚拟机解析”取证小程序是一款在第三届“创享杯”中由参赛选手北京市公安局马远声研发所研发的针对检材中的虚拟机文件进行快速解析的功能性小程序,可以直观地分析虚拟机的基础配置信息、快照信息以及运行记录等用户使用痕迹,在取证过程中能够辅助取证人员开展下一步的取证分析工作。
在本届“美亚杯”大赛中,涉及虚拟机部分的相关赛题用“虚拟机解析”小程序直接进行解析,可快速完成答题,极大提高参赛选手的做题效率。
图3 虚拟机解析小程序取证大师下载路径
运行取证小程序“虚拟机解析”可以快速分析出嫌疑人的计算机中只安装了1台虚拟机。
图4 虚拟机台数
通过观察虚拟机磁盘文件存放位置可推断出虚拟机存放在“\Users\HEI\Documents\Virtual Machines”路径下,如下图:
图5 虚拟机磁盘文件存放路径
也可以在虚拟机“基础配置”栏右击跳转源文件,在证据文件目录下找到虚拟机存放路径。
图6 虚拟机基础配置源文件存放路径
运行“虚拟机解析”小程序时,在自动取证过程中会提示“发现虚拟磁盘文件!请跳转源文件右键分析虚拟机”这一弹窗,这也是在提醒我们虚拟磁盘文件中包含着重要信息,让我们注意。
图7 自动取证时虚拟磁盘文件弹窗
图8 跳转源文件
图9 虚拟磁盘解析
虚拟磁盘解析后我们会看到证据文件多了一个带有红色感叹号的分区,这个时候我们只需要选择该分区,然后右键点击扫描磁盘结构。
图10 扫描磁盘结构
图11 扫描磁盘结构后的结果
图12 对ubuntu-lv自动取证
对扫描出的磁盘结构进行自动取证,通过查看系统痕迹里的系统信息来获取该虚拟机的系统版本号。
图13 虚拟机系统版本
后续题目,也是基于扫描磁盘结构后才能够进行解答,这恰恰证明了取证小程序在此次比赛中起到的重要作用,倘若没有前面的解析,那么后续要在短短两个小时中去分析虚拟机结构配置,其难度可想而知。有些不法分子为了牟利会通过一些违法渠道登录暗网进行非法交易,而“暗网解析”取证小程序便可针对嫌疑人的犯罪行为进行解析。该款小程序不仅对Tor浏览器有一个深入的解析,而且还能对嫌疑人的比特币钱包信息做完整取证。“暗网取证”小程序在取证大师共享平台上的下载量与浏览量常年排名前三,这也说明该款小程序应用之广泛、受众之多。“暗网取证”也是历届“美亚杯”的热门考题,在本届亦有相关题目。图14 暗网取证小程序取证大师下载路径
暗网取证部分考题问及嫌疑人计算机中包含几个浏览器,其中 Internet Explorer、 Opera、Microsoft Edge、Google Chrome等四个浏览器用取证大师自动取证即可解析出是否使用过。运行自动取证后可发现,取证大师“上网记录”栏中只有Internet Explorer、Microsoft Edge、Google Chrome这3个浏览器。由于题目为多选题,因此在未确定答案的前提下,需判断剩下的Tor浏览器是否被嫌疑人使用过。图15 取证大师自动取证后浏览器结果
在运行“暗网取证”小程序后,此问题便迎刃而解。“暗网取证”小程序解析后,结果显示有Tor浏览器的使用痕迹,因此可以判定嫌疑人计算机中还包含Tor浏览器。图 16Tor浏览器解析
在比赛过程中,该题成为高频失分点。许多选手在取证大师自动取证后便判定嫌疑人计算机中只包含Internet Explorer、 Opera、Microsoft Edge、Google Chrome这3个浏览器,殊不知这是一个小陷阱,细心处理下才会发现嫌疑人还使用过Tor浏览器。这次比赛虽没有对Tor浏览器进行深入的设题,但却用一个简单的题目将其作为分水岭,不得不赞叹出题组的巧思。
本届“美亚杯”与以往相比,在一些题目的处理上虽没有直接明了地表露出难易程度,恰恰在简单的地方让人意想不到。在比赛过程中运用“取证小程序”,再结合自身的取证经验,便能达到事半功倍的效果。