Windows 管理員如何開始計算機取證

在近期的網絡安全研討會，目的是“證明” 2020年的美國大選是一個騙局了報紙頭條，不是因為證據發現，而是缺乏證據。當我觀看為期三天的活動時，它提醒我計算機背后的大部分技術是多么未知。一點披露：雖然我分析了計算機系統，甚至在法庭上就它們作證，但我不會認為自己是所有法醫情況的專家。我可以權威地討論 Windows 事件日志是什么樣的，但是如果我正在查看一個我不熟悉的軟件，我不知道它的“正常”是什么樣的。 

計算機取證是準確理解計算機正在做什么、它留下的證據、您正在查看的工件以及您是否可以對所看到的內容得出結論的組合。數據包捕獲專家 Robert Graham 在最近的一條推文中說得最好：

請記住，這就是我們試圖篩選的：一個我們不了解的世界看起來很可疑，而我們了解的世界我們可以準確地確定發生了什么。

在進行法醫調查之前要問的問題

當事件發生時，您應該問自己以下問題：

• 在事件發生之前你打算捕捉什么？
• 您是否啟用并使用 Sysmon 增強了事件日志記錄？
• 您是否知道您計劃采樣的計算機和系統是否及時同步，以便當您查看一臺設備的日志文件時，它會與另一臺設備的時間戳相關聯？
• 您是否了解您正在查看的軟件的正常流量或行為？
• 你知道那臺機器有哪些網站或IP地址是正常的和基線的嗎？

為什么取證圖像不同

如果您從未拍攝過計算機系統的取證圖像并以平面原始形式看到它，那么在像 FTK Imager 這樣的工具中查看計算機系統可能會令人生畏。您不是在以可引導的形式查看系統。相反，它是十六進制的，或者我稱之為扁平格式，如下面的視頻所示。您通常在映像未啟動時開始查看。雖然您可以使用取證工具來安裝取證映像并啟動它，但它需要密碼，您可能不希望重置或刪除密碼。

取證分析師可能希望分析數據并保存啟動的虛擬機，以便在審判中找到任何潛在證據。說到證據，一張照片在法庭上真的值一千字。

開始對磁盤映像進行取證分析

要了解FTK Imager是什么以及可以做什么，請下載并使用它來制作任何示例計算機的副本。您還需要提供外部 USB 硬盤驅動器或網絡存儲位置。在學習的同時，不要擔心普通法醫需要做什么。當您開始法醫檢查時，請考慮其最終目標：您需要得出結論，因此記錄您所觀察到的內容將有助于調查員撰寫報告。老派的審查員只會獲取驅動器的 dd 映像，像 FTK Imager 這樣的工具已成為獲取驅動器映像并記錄驅動器及其內容的 SHA 哈希值的標準方法。

您可以使用 FTK Imager 查看驅動器的內容。請記住，因為您正在查看未啟動的操作系統，所以在您確定正在執行的操作之前，可能需要對某些信息進行一些分析。您需要了解事件日志的位置以及每個應用程序的日志文件的位置。

通常，這并不能說明系統發生的全部情況。隨著我們更多地轉向云服務，您必須查看瀏覽器中留下的工件以確定云服務發生了什么。

然后，您需要對將備份您的分析的其他日志文件進行分層。理想情況下，您會在邊緣找到一個防火墻日志文件，它將備份您在計算機上看到的內容。如果您懷疑網絡釣魚攻擊讓工作站接管，然后導致橫向移動和隨后的全面勒索軟件攻擊，那么防火墻中就會有被訪問的 IP 地址和到命令和控制服務器的出口流量的證據。所有這些分析都需要深入了解計算機的工作原理，并可能重新創建一些序列以確認您認為系統中正在發生的事情。

收集數據包捕獲是另一項需要規劃的任務。用于分析數據包的典型工具是Wireshark。類似于對系統進行成像，了解 Wireshark 告訴您的內容需要了解您的系統哪些是正常的，哪些不是。

結合 Windows 高級威脅防護的 Windows 10 E5 許可證是另一種獲得計算機系統實時取證視圖的方法。Microsoft Defender for Endpoints 門戶顯示您的計算機正在進行的活動的控制臺視圖。再一次，完全了解計算機中發生的事情可能會令人困惑。在我自己的計算機系統分析中，我經常忘記我已經安裝的任務或工具，我不得不回到我的文檔來確定我實際上設置了我在機器上看到的有問題的項目。

最重要的是，計算機取證需要時間和證據記錄。確保您已啟用網絡以提前捕獲此信息。應在設備上啟用日志記錄并存儲和歸檔日志。不要在現場觀眾面前做這個項目。這需要時間、技巧和調查。通常需要設置測試平臺并重新創建操作來確認您的想法。