硬盘维修-Winhex取证
第一章 配置软件
X-way Forensics软件可以通过setup.exe安装配置后使用,也可以通过运行xwforensics.exe直接使用。具体使用方法可根据用户习惯来选择。但通常来说,直接运行最为方便。
软件使用中,保存有X-way Forensics软件临时文件和案例文件的分区将作为默认的数据输出路径,即只有该分区被允许写入数据。因此,在选择X-way Forensics软件使用分区时,需要考虑好下一步数据分析的实际情况。建议选择容量较大,数据较少的分区。
使用软件前,请预先X-ways目录下建立如下三个文件夹,分别用于保存案例文件、镜像文件和临时文件。文件夹名称也可自定义。
一、第一次使用X-ways
运行X-ways Forensic软件后,软件首次启动,出现英文用户界面。当进入软件后,将设置更改为中文后,再次启动即可以看到右侧的中文界面。
当数据分析使用时,一定要选择计算机法证版用户界面。简化界面为 X-ways Investigator 用户界面。点击确定后,将出现 “General Options”对话框。此时软件界面仍为英文。暂时关闭该对话框,选择调用中文界面。点击菜单中的 |Help | Setup | Chinese,Please! ,软件界面即转为中文。如果将来需要使用英文界面,可用同样方法转换回来。
二、设置
使用X-ways Forensics进行各项操作之前,首先需要进行设置。点击 |菜单|常规设置|,或直接按 F5 键,即可显示常规设置对话窗。
保存临时文件的目录:当前设置默认保存临时文件至C:\Documents and Settings\sprite\Local Settings\Temp。为便于管理临时文件,我们为其新创建一个temp文件夹,本例为E:\xway\temp。
保存镜像和备份文件的目录:当前设置默认保存镜像文件和备份文件至C:\Documents and Settings\ sprite\ LocalSettings\ Temp。为将来方便地调用和管理镜像文件,我们为其新创建一个images文件夹,路径为E:\xway\images。
保存案件和方案的目录:当前系统默认保存为X-ways Forensics 的当前目录下,本例为E:\xway目录。由于将来创建的案件越来越多,这些案例文件保存在当前目录下非常混乱,不易查找,因此,我们为其新创建一个案例文件夹,E:\xway\case。
保存脚本的目录:系统默认保存在X-ways Forensics 的当前目录下,本例为E:\xway目录。本手册中不涉及脚本,无需改变。
保存哈希库的目录:系统默认哈希库文件位置为E:\xway\HashDB。此目录可由X-ways Forensics 自动创建和管理,无需改变。
注:如果在固定计算机中安装使用X-ways Forensics,通过上述设置即可使用。如果在移动硬盘中使用X-ways Forensics,请确定路径设置正确,并将上述路径指向移动硬盘中的相应目录。如果在光盘中使用X-ways Forensics,则一定要将路径指向移动硬盘中的相应目录。
第二章 创建案件
本说明中所有图片均出自X-ways Forensics 13.8 版。
一、创建新案件
开始数据分析,首先要创建案例,并将需要分析的存储介质或者镜像文件加载到案例中。X-ways Forensics软件本身不会使数据内容产生变化。
在案件数据对话框中,可输入案件名称、案件描述、调查员、机构地址等辅助信息。案件名称应使用英文或数字,否则案例日志和报告中无法出现屏幕快照图片。为保障数据分析中显示的时间正确,需在显示时区中设置正确的时区信息。案件创建日期将由X-ways Forensics依据系统时钟自动创建。请确保当前计算机系统时间设置准确。
二、添加数据
创建案件后,需要添加所需获取/分析的目标。可以添加物理存储设备,如磁盘、光盘、USB移动存储设备等,也可添加E01、DD磁盘镜像,以及X-ways 自有的证据文件格式。
三、创建磁盘镜像
创建磁盘镜像,需在扇区察看方式下,选择菜单中 | 文件| 创建磁盘镜像|。选择镜像文件格式,如E01磁盘镜像,并指定保存位置。
创建镜像文件过程中,将显示复制进度。
操作结束,将生成TXT格式操作日志,包含如磁盘参数、MD5值等信息。
第三章 基本操作
本说明中所有图片均出自X-ways Forensics 13.8 版。
一、浏览所有文件
如果需要显示当前驱动器下所有文件,使用鼠标右键单击驱动器图标,选择右键菜单中的展开目录。文件浏览器中将显示所选驱动器下所有文件列表。取消全部文件显示模式,使用鼠标左键单击驱动器图标。
二、文件浏览器菜单说明
过滤漏斗:过滤选项,灰色时表示未启用;蓝色时,表示应用了相应的过滤设置。本例中,由于对文件名称栏目进行了过滤操作,文件名称旁边出现了一个“蓝色漏斗”。
窗口文件数量:位于右上角,表示当前窗口显示出的文件数量及总计文件数量。本例中,由于应用了过滤操作,窗口右上角数字含义为:应用过滤后,有170份文件符合过滤要求,有686份文件被过滤掉。如果没有使用过滤,此处仅显示文件总数量,即856份文件。
选择文件数量:位于右下角,表示当前窗口选择的文件数量及容量。本例中,选择了5份文件,总计容量117KB。
文件标记:文件名称前面的小方框为标记选框。可以手工为文件逐一添加标记,也可以通过鼠标右键中标记命令为所有选择的文件添加标记。
注:对指定文件的导出、添加注释、添加报告分类、创建哈希集,均可通过鼠标右键来实现。磁盘快照时间:磁盘快照是X-ways Forensics的一个重要功能,用于对当前驱动器中的所有数据进行快速解析,如计算哈希值、分析丢失数据、拆解压缩文件和电子邮件、加密文件检测等。当对当前使用的物理磁盘进行分析时,如C盘,磁盘的数据可能会随时发生改变,因此需要更新磁盘快照来保证案件中使用最新的数据。本例中,“20分钟前”表示当前案件数据是20分钟前制作的。可以通过F10更新磁盘快照。
三、更改文件浏览器显示内容
文件浏览器显示内容可以根据实际需要进行调整。通过Ctrl+F5,或菜单中|选项|目录浏览器|,调用目录浏览器过滤设置对话框。
设置显示宽度:
数字=0,表示不显示该栏目
数字>0,表示该栏目实际显示的宽度
本例中,文件名称栏目宽度为176点,文件类型栏目为65点,路径等项目为0,表示不显示。
当需要显示更多未列出的栏目,如路径、哈希值等,可将该栏目数值从0更改为50。数值可暂时设定,之后可利用鼠标将栏目调整至满意宽度。如需隐藏某栏目,将该数值更改回0即可。
四、过滤
当使用某过滤条件时,例如:对文件名进行过滤,查找所有DOC文档,只需点击文件名称右侧的漏斗,输入过滤条件*.DOC,点击激活即可显示过滤结果。文件名过滤支持多语种字符。如需取消某过滤条件,点击禁用即可。
五、图例说明
在文件浏览器中,会有一些不同的文件及图标显示方式,具体含义可以对照图例说明察看相应说明。
本例中,password-123456.doc显示为绿色,文件属性为e!A,对照图例说明,可知该文件为加密文件。当对该文件添加注释后,文件名后显示出一个红色三角。15.DOC文件类型显示为蓝色JPG,表示该文件为签名不匹配文件。通过“磁盘快照”功能,可将当前案件中所有这些类别的文件判断出来。
六、文件预览
X-ways内置了强大的文件察看器,可以支持400种以上文件格式的查看。点击预览,即可逐一察看文件内容。
如果还没有对案件数据进行磁盘快照,当浏览文件时,X-ways将自动对文件签名、加密等状态进行检测。
第四章 磁盘快照
本说明中所有图片均出自X-ways Forensics 13.8 版。 创建案件,载入E01证据文件后,一般应首先进行磁盘快照。由于磁盘快照过程将会把案件中的所支持的压缩文件、电子邮件及附件、删除的数据解开及恢复出来,古经快照处理后得到的数据要比未进行磁盘快照的文件数量多。此时进行过滤和搜索,会得到更准确的结果。
每个任务前面的方框,经选取后显示绿色对勾。
每个任务后面的方框,表示完成状态。绿色对勾表示全部完成;实心绿框表示已完成了部分,但尚未全部完成。
开始进行磁盘快照,选中相应的选项,点击确定即可。
任务说明:
依据文件系统搜索并恢复目录及文件:将当前磁盘中的删除、丢失文件全部恢复。
通过文件签名搜索并恢复文件:根据文件签名值搜索特定类型格式文件,如:可以仅搜索并恢复doc格式文件。
计算哈希值:自动计算所有文件的哈希值。目录、0字节文件没有哈希值。算法支持MD5、SHA-1、SHA-256。
依据哈希库对比哈希值:如果已经拥有完整的哈希库,可在计算文件哈希值过程中,将哈希值与哈希库中值比对,以确定文件哈希分类。例如,通过此选项排除已知的Windows系统文件。
依据文件签名校验文件真实类型:可判断doc、jpg格式文件是否被改名或伪装。
分析ZIP和RAR等压缩文件中的数据:将压缩文件释放,并以虚拟目录形式浏览。
导出电子邮件正文和附件:拆解电子邮件,将邮件正文与附件以虚拟形式显示。
查找嵌入在正文内的图片:可以将WORD、PPT等复合文件中的图片抽取出来。
肤色图片和黑白图片检测:用于检测包含人体肤色特征的图片和其他黑白文字图片。
加密文件检测:用于检测特定类型加密文件,如加密的DOC、XLS文件。首先,通过熵值检测,自动对大于255 字节的文件进行检测。如果熵值超过设定值,文件属性标记为"e?" ,表明应仔细检查该文件。例如:PGP Desktop, BestCrypt 或DriveCrypt 加密文件。熵值检测不适用于ZIP, RAR, CAB, JPG, MPG 和SWF 等文件。其次、可检测特定类型加密文件,如doc (MS Word 4至2003版),xls (MS Excel 2至2003版),ppt和pps (MS PowerPoint 97-2003),mpp (MS Project 98-2003),pdf (Adobe Acrobat)。如果为加密文件,文件属性显示 "e!" 。#p#分页标题#e#
更新快照:将当前案件中磁盘数据保持最新状态。更新快照后,上述所有操作及搜索记录等将全部被清空。
完成磁盘快照之后,如右图显示案件中数据增多,这时才能继续进行过滤、搜索等操作。
第五章 过滤
本说明中所有图片均出自X-ways Forensics 13.8 版。在X-ways Forensics 中,可方便地对各种类型的数据文件进行过滤操作。
一、按文件名称过滤
可以使用通配符,针对特定文件名称进行过滤。如搜索“*.DOC,*.HTM,收件箱*”等。使用通配符时,不能出现2个*。此种过滤方式,适用于对文件名,及单一文件类型过滤。速度快,准确率高。
例:如果需要查找文件内容包含“陈立康”的Word文件,可首先过滤出*.DOC文档,然后全选、标记,并在标记文件中搜索关键词“陈立康”即可。
二、按文件类型过滤
可按照设定的文件分类,对不同类型的文件进行过滤。通过此过滤方式,可以容易地将办公文档、图形图像、压缩文件,以及各种重要数据,如注册表文件、互联网历史记录、回收站文件、打印池、Windows交换文件、日志等,快速过滤出来。
文件过滤类型可以自定义扩充与修改。文件名为:File Type Categories.txt。最新文件类型过滤文件www.china-forensic.com/xways/downloads/FileType.rar。
使用方法:选择相应文件类型,点击激活。过滤前,应在磁盘快照中选择依据文件签名校验文件真实类型,才能够判断出文件的真实类型。
三、按签名状态过滤
进行完整磁盘快照后,X-ways可依据文件签名检测每一个文件的签名信息是否匹配。如果文件扩展名被改变,签名状态将显示为签名不匹配。通过选择过滤选项中的文件签名显示状态,可发现签名匹配、不匹配的文件。
缺省状态下,文件显示为“签名未校验”。通过文件签名校验文件类型后:如果文件非常小,状态被显示为“无关的”;如果文件扩展名和文件签名都未知,状态被显示为“不在列表中”;如果文件签名和文件扩展名一致,状态被显示为“签名匹配”;如果文件扩展名正确,但文件签名未知,状态显示为“签名未确认”;如果文件签名和文件扩展名不匹配,或没有文件扩展名,状态显示为“签名不匹配”。
三、按文件大小过滤
根据文件的实际大小过滤,不包含残留区数据。
第一选项,用于设定小于一定容量文件,如可查找小于1.2MB的文件;
第二选项,用于设定大于一定容量的文件,如可查找大于3.4KB的文件。
两个选项同时使用,用于设定一定容量大小之间的文件。
四、按文件时间过滤
创建时间:当前磁盘中的文件和目录的创建时间。
修改时间:当前磁盘中文件和目录最后修改后的时间。
访问时间:但前磁盘中文件和目录的最后读取或访问的时间。
记录更新时间:NTFS或Linux文件系统中,文件和目录的最后修改时间。这是包含于文件元数据中的文件系统数据结构。
删除时间:Linux系统下文件和目录的删除时间。
五、按文件属性过滤
A = 文档 R = 只读
H = 隐含 S = 系统
P = 连接点
C = 文件系统级压缩
c = ZIP, RAR等文件中压缩
E = 文件系统级加密
e = ZIP, RAR中加密文件
e? = 可能是压缩或加密的
第六章 搜索
本说明中所有图片均出自X-ways Forensics 13.8 版。 同步搜索,允许用户指定一个搜索关键词列表文件,每行设定一个搜索关键词。所发现的搜索关键词被保存在搜索列表中,或位置管理器中。同步搜索能够以“物理搜索”和“逻辑搜索”两种方式进行。物理搜索,通过扇区方式进行;逻辑搜索,通过文件方式进行。相比而言,逻辑搜索功能更强大,更彻底。
数据搜索时,可以同时使用Unicode (UCS-2LE)和代码页方式对相同的词汇全面搜索。当前Windows系统默认代码页,被标记有星号,且被缺省采用。如美国和西欧的计算机,通常默认代码页为1252 ANSI Latin I。Microsoft Windows使用ANSI代码页。苹果Macintosh使用MAC代码页。OEM表示DOS和Windows命令行中使用的代码页。如果搜索词汇无法转换为当前使用的代码页,搜索时将会出现提示信息。
一、选定搜索文件
将所有文件展开,或通过过滤选择所需搜索的文件。
1、在特定文件中搜索,须首先选择文件,并添加标记。之后,可以使用在标记数据中搜索。如在所有文件中搜索,无需选择文件。直接选择在所有数据中搜索。
2、点击同步搜索
3、输入关键词。每行一个关键词,支持空格。
4、输入关键字,选择字符编码。 如果需要搜索Unicode字符,则需将Unicode (UCS-2LE)选中。如果对PDF等文件中的数据进行搜索,还需选择“解码文件中的文本”。对非Unicode文本进行搜索,需使用代码页。对不同语种字符进行搜索,需将代码页设置为相应语种。繁体中文代码页为950,日文为932,韩文为949。
5、设定其他选项
如果只需要发现包含有关键词的文件,则可将“每个文件显示1个搜索结果”选中,以提高搜索速度。
通过选定证据项中搜索,可以在当前案例中多个磁盘或镜像文件中进行搜索。
二、查看搜索结果
搜索结束后,显示所有包含关键词的搜索结果。本例中共有5个关键词,173个搜索命中结果。双击每一个关键词,可以查看该关键词的搜索结果。搜索结果保存在案例文件中。再次打开案例文件,搜索结果依然保存。通过DEL键,可以删除该关键词及结搜索果。可以通过搜索结果栏,预览所搜索的关键词上下文内容。
描述栏,可以查看搜索方式及编码方式。有Unicode、代码页和Decoded三种。
点击相关文件,可以通过预览方式察看文件内容。
对于文件的操作,与文件浏览器操作方式类似。通过鼠标右键菜单,可以进行标记、复制、注释等操作。如果需要在案件报告里包含文件内容中的重要信息,可以复制这些信息,全部粘贴到注释中即可。
第七章 报告
本说明中所有图片均出自X-ways Forensics 13.8 版。
一、添加至报告表
创建报告前,须选择所关注的文件,然后点击鼠标右键,添加至报告表。根据文件内容或类别,可新建报告表,命名为“关注的文档”、“xxx地址”、“xxx电子邮件”等。只有将文件添加至报告表后,这些文件才能被包含在报告当中。
二、创建报告
选择 |案件数据|—|创建案件报告|。
三、设置选项
输入报告头,封面信息,选用的徽章图像,所需包含的报告表,报告中包含的项目名称及内容。如果选择了包含操作记录日志,分析过程中的所有屏幕画面图片,所执行的命令及运行结果,都可包含于报告中。
四、报告样例:
第八章 数据恢复
本说明中所有图片均出自X-ways Forensics 13.8 版。 对于删除和格式化的磁盘,可以利用X-ways Forensics 的强大数据恢复功能,将磁盘中的数据尽可能地恢复回来。
例一:恢复标准方式格式化后的SD卡:
1、创建案例,添加存储设备-SD卡;
2、进行磁盘快照,只需选择依据文件系统搜索并恢复目录及文件即可。
3、磁盘快照完毕,显示发现470个数据。
4、展开目录,可看到所有数据均已恢复。5、可进行关键词搜索、恢复\复制等操作。
例二:重组Raid阵列或动态磁盘。
1、加载Raid 镜像文件
2、选择菜单中 |专业工具| — |重组Raid|
3、设置参数及Raid排列顺序。如阵列顺序排列错误,则提示出错信息。
4、阵列顺序排列正确,可顺利显示分区,打开文件。
第九章 安全擦除
本说明中所有图片均出自X-ways Forensics 13.8 版。
一、文件擦除
可以彻底清除文件数据内容,不留任何痕迹。选用菜单中 |工具|—|文件工具|—|安全擦除|,选定需要擦除的文件名,设置填充值。
注意:文件名或上级目录名不能包含中文。对于中文名称,可先将目录或文件名改为数字、英文,即可成功擦除。
二、磁盘擦除
可以彻底清除指定磁盘中的所有数据。例如对于前面数据恢复成功的SD卡,经过磁盘擦除之后,数据将永远无法恢复。
1、调用 |工具|——|打开磁盘| 或 通过F9键。
2、选择菜单中 |编辑| — |填充磁盘扇区|
3、设置设置填充值和填充方式。4、磁盘被填充数据后,经重新格式化,可重新使用。
第十章 高级应用-1 理解文件签名库和文件类型库
本说明中所有图片均出自X-ways Forensics 及Winhex 13.8版。本节,我们利用Winhex / X-ways Forensics分析软件,对“王者加密大师”1.0版工具软件制作的加密文件进行分析,介绍一种数据分析方法。即如何对未知文件格式进行分析,发现该类型文件的唯一特征签名信息,通过“修改文件签名库”,使Winhex / X-ways Forensics分析软件能够自动通过文件签名校验发现这种类型的加密文件。
一、“王者加密大师”简介
王者加密大师是一款简单易用的数据加密工具软件。据该软件官方描述:王者加密大师是一款专业的加密、解密软件,可以对任何想加密的文件进行加密,这就是说你可以用它对各种文件进行加密,如:文本文件(*.txt)、图像文件(*.jpg,*.gif,*.bmp,*.tif…)、音乐文件(*.mid;*.mp3;*.wav;*.wma,*.wmv…)、可执行文件(*.exe;*.dll…)、办公文件(*.wps;*.doc;*.xls)等众多的文件进行加密解密。软件充分考虑了用户的操作,通过简单几步便可完成加密,解密要求。本软件将是你重要数据和隐私的保护神。软件下载地址:www.sjwx.net。#p#分页标题#e#
软件安装后,运行该软件,可看到如下主界面。进行加密、解密操作,只需点击相应按钮即可。
“王者加密大师”加密测试
1、首先制作1份需要加密保护的文件。利用MS Word,制作一份新文件,并在文件中输入了一些文字。
2、调用王者加密大师,选择刚刚制作的需要加密的Word文件。
3、软件显示加密成功,出现如下窗口。
4、我们用Word打开刚刚制作的加密文件,Word显示如下信息:
当在Word软件中出现这种信息,通常表示该Word文件格式破损,Word软件无法识别正确的文件格式,无法成功打开该文件。此时证明,王者加密大师已经对该文件数据加密成功。
二、利用Winhex/X-ways Forensics软件分析文件格式
我们利用Winhex/X-ways Forensics打开该文件。可以发现,原有的Word文件的标准文件头部数据被改变,被“王者加密大师”改变为其自身格式。但察看其文件格式,我们吃惊地发现,利用王者加密大师对Word文件添加的保护口令,竟然以明文形式保存在文件头部。本例中,我们设置的口令为x-ways@china-forensic.com,通过下图,可以清楚地看到这一段口令。
这仅仅是偶然,还是“王者加密大师”就是以这种无保护方式保存口令呢?为验证口令保存方式,我们需要重新制作加密样本文件,进一步查看试验结果。
我们首先建立一个0字节的TXT文本文件,不添加任何内容。即在任意目录下,通过鼠标右键建立一个文本文件,命名为“空白文档.TXT”。此时,我们还没有输入任何内容,利用Winhex/X-ways Forensics打开该文件,可看到下图显示状态。
3、利用“王者加密大师”对该文件加密。本次,我们设定口令为1234567890。
由于文件中没有任何数据,因此,加密后显示出的数据均为“王者加密大师”经过一定算法自动生成的,有助于我们对该文件格式进行分析。
用Winhex打开加密后的TXT文本文件,可发现,口令果然以明文形式保存在文件中。
三、文件签名的概念
通过两个实验,我们可以证明,“王者加密大师”通过一定算法对数据进行保护,但为了解密方便,该软件没有对口令进行保护,而是直接将口令以明文形式保存在加密文件头部。只要利用Winhex/X-ways 打开该文件,即可直接得到了用户添加的原始口令。
但在实际的数据分析过程中,关键问题是如何在上千、上万份文件中发现这些文件。怎么才知道某个文件是由“王者加密大师”添加了保护口令呢?如果文件无法发现,则更谈不上破解保护口令,察看文件内容了。
在Winhex/X-ways Forensics中,我们可以通过自定义“文件签名”库,快速检测到“王者加密大师”的加密文件。
1、文件签名库
文件签名,简单说就是某类文件的独特标识信息。这些标识,有时可以显示出ASCII码字符,如RAR压缩文件,在文件头部,可以看到Rar!这四个字符。通过这四个字符,Winhex就可以判断该文件属于RAR压缩文件。但在多数文件头信息中,文件签名无法显示出ASCII码字符,那么就需要使用十六进制数值来表示该文件签名。如MS OFFICE 文件中,文件签名就是D0CF11E0A1B11AE1,Winhex/X-ways Forensics通过这些十六进制数值,也可以认定该文件属于MS OFFICE 类型文件。
通常来说,Windows注册表关联了许多种文件扩展名类型,通过定义扩展名和应用程序的关联,来确定Windows使用什么程序打开某种类型的文件。比如,Windows定义了DOC扩展名文件使用MS Word来打开,TXT文件使用记事本来打开。但是,如果人为改变了某种类型文件的扩展名,例如,某人将SCAN.JPEG图片改名为CONTACTS.XLS,或将1.DOC改名为1,没有设定扩展名,那么Windows就无法准确地关联这些文件类型了。而利用文件签名,我们可以忽略文件扩展名是否正确,通过搜索文件签名特征值,识别出某个文件的真实类型。本例中,我们如果能够准确判断出“王者加密大师”加密文件的文件签名值,即可借助Winhex/X-ways Forensics将一个磁盘中所有包含此文件签名的文件查找出来。这就是数据分析过程中,文件签名所起到的重要作用。
2、Winhex/X-ways Forensics文件签名定义方法
在Winhex/X-ways Forensics中,判定文件签名状态是否匹配主要依据文件签名值和文件扩展名,这些信息包含在Winhex/X-ways Forensics 文件签名数据库中,文件名为File Type Signatures.txt。
通过对比File Type Signatures.txt文件签名库中所定义的文件类型、扩展名、文件签名特征值,可以判断某个文件真实的类型,用于发现文件扩展名与文件真实类型不匹配的文件。例如,某人将SCAN.JPEG图片改名为CONTACTS.XLS,Winhex/X-ways Forensics能够自动依据JPEG图片文件的签名特征,把该文件的真实类型识别出来,并在Winhex的文件类型列表中显示文件类型为“jpg”,签名状态列中显示该文件“签名不匹配”。同样,对于一些没有扩展名的文件,如互联网暂存目录下的网页文件等,Winhex都可以帮助你将无扩展名文件的真实类型识别出来。
3、File Type Signatures.txt文件格式定义
File Type Signatures.txt 中的数据共分为六列,每一列数据定义如下:
第一列:文件类型。
对某种类型文件的定义,如JPEG、MS OFFICE等,长度为19 个字符。
第二列:文件扩展名
对所定义文件类型的典型扩展名。如jpg、jpeg、jpe,或doc、xls、dot等,长度可超过255个字符。
第三列:文件头签名
用于识别某些文件或某文件类型的唯一签名特征,可以是ASCII码或十六进制数值。例如0xFFD8FF,即为十六进制的FF、D8、FF。文件头签名最多支持16个字节。为了发现某种文件格式的唯一签名特征字节,可以打开多个相同类型的文件,利用Winhex /X-ways Forensics察看这些文件头部信息中相同偏移地址中包含的相同十六进制数值。
第四列:偏移量。
包含文件签名的相对偏移量。通常,文件签名从文件的第一个字节开始,偏移量为0。
第五列:文件尾签名
可选项,用于标记文件的结尾位置,可以是ASCII码或十六进制数值。文件尾签名的作用是为了确定准确的文件结尾位置,从而得到准确的文件容量。文件头签名最多支持8个字节。
第六列:文件缺省字节数
定义某类性文件的默认大小,以KB为单位。在进行特定类型文件恢复时非常有效,如一个视频文件可以是1 GB 大小,而一个图标文件往往只有1 KB。
四、修改文件签名库,添加“王者加密大师”文件签名信息
掌握了Winhex/X-ways Forensics的文件签名库格式后,我们既可根据文件库定义,对“王者加密大师”的加密格式进行分析,查找此类文件的文件签名。
一般来说,分析一种类型的文件签名至少要使用3-4个样例文件,对比每一个文件在同一位置的相同字节,来发现文件签名特征字节。下面,我们使用3个例子,分析“王者加密大师”加密文件的文件签名。
1、文件签名标志位
经对比上述3个文件,我们可发现“王者加密大师”制作的加密文件有明显的特征,即第1-8个字节固定不变,即01 00 00 00 01 00 00 00。一般来说,通过这种特征,我们可以认定这8个字节就是该类型文件的文件签名特征值。
由于文件签名从文件头开始,因此,偏移量为0。
此类文件没有文件尾签名特征值。
字节数没有固定大小。
文件类型,我们可以直接用中文名称描述,本例中,我们将其定义为“王者加密大师”。
扩展名,由于王者加密大师可以对任意类型文件加密,文件扩展名没有固定名称。但是我们需要利用Winhex/X-ways Forensics通过文件签名与扩展名类型不匹配的方法查找“王者加密大师”的加密文件,因此,我们需要给其定义一个特殊扩展名。将来可以通过过滤这种特殊类型扩展名的方法找到加密文件。因此,我们将扩展名!!1定义给“王者加密大师”。
文件类型 扩展名 文件头签名 偏移量 文件尾签名 字节数
2、修改Winhex/X-ways Forensics 文件签名数据库
File Type Signatures.txt 文件中预设了许多文件类型签名,用户可以自定义并添加自己判定的新的文件签名类型,最多可设置255 个数据项。
当自定义并修改File Type Signatures.txt文件签名库文件时, WinHex 会调用MS Excel来进行数据编辑,因为MS Excel支持文本文件中的TAB制表符。
执行Winhex/X-ways Forensics磁盘快照命令,选择“文件签名”按钮。
Winhex/X-ways Forensics自动调用EXCEL打开File Type Signatures.txt文件。
输入我们前面定义好的文件类型、文件扩展名、文件签名、偏移量几个信息。编辑结束,保存修改。
选择“是”,保存File Type Signatures.txt原文件格式。此时,文件签名库修改保存成功。重新运行Winhex/X-ways Forensics,即可以使Winhex/X-ways Forensics识别新的文件签名库。
如果用文本编辑器修改File Type Signatures.txt文件,需要注意不要删除TAB制表分隔符,否则Winhex将无法识别该文件中的保存的文件类型定义。
五、利用文件签名库过滤“王者加密大师”加密文件
执行Winhex/X-ways Forensics磁盘快照命令,选择“依据文件签名校验文件真实类型”。此时,Winhex/X-ways Forensics 将按照我们刚刚修改的File Type Signatures.txt 文件签名库中的信息,对当前案件中所有磁盘中的数据文件进行文件签名比对,校验文件的真实类型。
依据我们的设定,Winhex/X-ways Forensics 将发现当前案例中的“王者加密大师”加密文件,将其真实文件类型显示为“!!1”,并将其归入“签名不匹配”类别。
我们实际测试一下过滤结果。
1、调用磁盘快照,选择相应选项。
2、设置过滤选项,注意选择显示扩展名、文件类型、签名状态。同时以签名状态为过滤条件,选择过滤“签名不匹配”文件。
3、应用过滤条件后,Winhex/X-ways Forensics可以直接发现“王者加密大师”的加密文件。
#p#分页标题#e#
六、利用文件类型库过滤加密文件
参考上图,我们可以看到,在“分类描述”列中,Winhex/X-ways Forensics将王者加密大师文件描述为 “加密类”。这个描述是如何添加进Winhex/X-ways Forensics 中的呢?如何将更多的文件类型添加进Winhex/X-ways Forensics中呢?下面,我们进一步阐述“文件类型库”的修改方法。
1、文件类型库的主要功能
文件类型库可以定义某种文件扩展名属于哪个类型。如扩展名DOC、TXT,被归类于文字编辑类,扩展名ZIP、RAR,被归类于压缩类。通过文件类型过滤方式,Winhex/X-ways Forensics可以快速将磁盘中的某类数据过滤出来。
当在磁盘快照中选择了“通过文件签名判别文件真实类型”后,选择“文件类型”过滤方式时,Winhex/X-ways Forensics将依据文件签名库和文件类型库中的定义,把对应类型的文件搜索并显示出来。
Winhex/X-ways Forensics 14.0版文件类别库中包含有近380个文件描述,分为办公类、电子邮件类、互联网记录类、图像类、视频类、音频类、注册表类、压缩类、镜像类等共计14个分类。随着版本不断升级,File Type Categories.txt 文件类别库中的数据还在不断增加。
2、文件类型库 File Type Categories.txt的文件格式
File Type Categories.txt文件中,文件类型名称以 :xxx: 开头,其中xxx表示自定义的文件类型,如办公类、加密类、压缩类等等。文件类型库最多支持32 个类别。如果个人修改了File Type Categories.txt文件中的数据,一定要注意保存好新增加的信息,并随时添加至最新版的文件类型库中。
File Type Categories.txt中,文件扩展名描述行必须以“+” 或“-”开始。
“+”号,表示该行定义的属于扩展名,每行对应一个,文件扩展名必须使用小写字母。扩展名描述与扩展名之间要保留一个空格。File Type Categories.txt中定义了重复的扩展名,那么过滤结果可能会出现错误。
“-”号,表示该行定义的属于文件名,也可以是文件名+扩展名。这种对于过滤准确 “文件名”的文件非常有效。例如:-;index.dat; Internet Explorer 历史记录。通过此过滤,可以将当前磁盘中所有文件名为index.dat的文件过滤出来。
对于File Type Categories.txt文件中未包含的扩展名,都被归属于“其它”类别中。
、添加“王者加密大师”至File Type Categories.txt中
根据我们前面的定义,我们将王者加密大师的文件类型!!1添加至File Type Categories.txt文件中。
由于目前的14个分类中,没有划分出加密类,因此我们新建立一个文件类别“加密类”。将其定义为:
:15:加密类
在此类别之下,定义王者加密大师扩展名描述。
+!!1 王者加密大师
保存文件,重新运行Winhex/X-ways Forensics,即可以使Winhex/X-ways Forensics识别新的文件类型库。
小结:
本节,我们通过分析“王者加密大师”加密文件格式,重点阐述了Winhex/X-ways Forensics中,文件签名库和文件类型库的作用,以及如果通过修改这两个库文件实现对更多类型文件的检索和过滤。相信读者根据此实例,能够很好地掌握两个库文件的使用技巧。不明之处,欢迎交流。
注:此功能仅在Winhex Forensics和X-ways Forensics版本中能够使用。
第十一章 高级应用-2 过滤方法与技巧
本说明中所有图片均出自X-ways Forensics 及Winhex 13.8及14.0版。
本节,我们通过Winhex/X-Ways Forensics软件,对“个人密盘”加密工具进行分析,掌握利用Winhex/X-Ways Forensics软件进行数据过滤方法,以及如何有效利用文件哈希集发现固定哈希值的文件。“个人密盘”是一个数据加密隐藏工具软件。据介绍,该软件利用硬盘的剩余空间,建立一个加密区,将其虚拟为一个逻辑磁盘供用户使用。用户可以根据需要打开或关闭加密区,将需要保护的数据文件存入加密分区,该软件就会自动将数据加密保护,其他人无法发现并调取其中的数据,适用于单位或多人共用的计算机中使用。
以下是作者对其6.9版的描述:“本程序在硬盘内建立特殊的加密区域,并虚拟成一个磁盘,使用时像U盘一样可以随插拔,十分方便,只需将欲加密的文件存入密盘,任何放入该虚拟盘的文件均被加密保护,加密速度极快,加密后通过操作系统或第三方软件均无法访问或删除加密区(密盘),既可以有效保护文件安全,又不影响对文件的操作,不怕掉电,并且可以多用户使用,互不影响,未授权用户无法查看、修改、删除(除非格式化)别人的加密区,支持移动硬盘,让你的重要资料四处漫游而无需担心被窃取,就算丢了硬盘也不怕重要资料外泄,彻底解决您的后顾之忧。实乃IT人士或商务人士必备之工具!”
一、利用“个人密盘”创建加密盘
下载个人密盘6.9试用版后,可发现主程序为SDISK.EXE运行“个人密盘”。
初次运行SDISK,系统提示输入管理员密码。此时可按“确认”键直接进入。后期可设置新用户和密码。
菜单中显示当前系统下所有逻辑盘符,包括硬盘逻辑分区和USB移动闪存。本例中,C、D、E 为硬盘逻辑分区,G 为一个128MB USB 闪存。
选择其中我们希望建立密盘的分区,点击鼠标右键,即可调用鼠标右键菜单。选择“建立密盘”,即可在该分区中建立密盘。但是一个分区中,只可以建立一个密盘。
创建密盘成功后,磁盘图标上会显示一朵小花,或一把锁,表示该逻辑盘中包含有密盘信息。选择右键菜单中的“打开密盘”,即可在“我的电脑”中显示密盘的逻辑盘符。
下图中,显示出我们试验创建的两个密盘,分别为“3(J:)”和“可移动磁盘(I:)”
打开“可移动磁盘(I:)”,我们可以象操作逻辑磁盘分区一样,拷贝或移动数据。为使用Winhex/X-ways Forensics 进行分析,我们向密盘中拷贝一些数据。并在该位置创建了一个文本文件“Sdisk保存文件的位置.txt”。
此时,密盘以创建成功,我们可以利用Winhex/X-ways Forensics 进行数据分析,看看“个人密盘6.9试用版”是如何隐藏、保护数据的。
二、利用 Winhex/X-ways Forensics 14.0版分析“个人密盘6.9试用版”隐藏数据
调用Winhex/X-ways Forensics 14.0,创建案件,加载磁盘分区。此时,我们应加载密盘所在的逻辑分区,即原始磁盘分区E和G。
加载G盘后,可以看到磁盘的目录结构。此时显示的,使我们创建了密盘后的分区状态。为了使读者更清楚地明白个人密盘的原理,我们在图中同时显示出创建密盘前的分区状态。比较前后状态,我们即可清楚地发现其中的差别。
创建密盘后,分区中新增加了一个Recycler目录。可见,个人密盘将文件存储到了此目录下。
创建密盘前目录结构思路:
由于我们目前还不掌握“个人密盘”的文件保护方式,因此可以通过两种方法查找加密文件。
1、以文件、目录创建日期为过滤条件
如果密盘生成的文件是以一个单独加密文件形式存在,可根据该文件的生成日期查找到该文件位置。此时,可利用Winhex/X-ways Forensics的“创建日期”过滤条件,查找所有当时时间段创建的文件。
2、以文件名称为过滤条件
由于我们创建了一个名为“Sdisk保存文件的位置.txt”的文本文件,因此可以利用该文件名作为过滤条件,搜索该文件的位置。
如果“个人密盘”仅仅是通过隐藏方式保护数据,那么通过文件名过滤方式,可以很快地发现数据隐藏位置。
注:Winhex v14.0版中增加了目录名过滤功能。早期版本无法实现目录名过滤。
我们选用文件名过滤方式,果然快速找到了此文件。说明,“个人密盘”只是一种文件隐藏方式保护软件。
通过路径,我们可以看到,加密文件被保存在以下位置:G: \RECYCLER\S-1-5-21-1060284298-813497611-13438020086-500\S-1-5-21-1064224258-813597681-13430823629-500\DDudzA7dSx52125\13609152663
至此,虽然我们只利用Winhex/X-ways Forensics进行了非常简单地操作,就清楚地了解到该工具软件的数据保护方式:即在磁盘中创建上述路径,同时创建若干无用目录及信息用于伪装,将保护数据保存于其中某特定目录下,达到数据保护的目的。
由于其表现形式为回收站,且为隐含,因此普通工具无法发现并管理该目录,Windows 自带的文件搜索也无法找到这些被隐藏保护的信息。
快速过滤出指定文件
察看目录结构和指定文件位置
三、利用 Winhex/X-ways Forensics 14.0版分析“个人密盘6.9试用版”特征
由于个人密盘只是采用了文件夹隐藏的方式进行数据保护,因此对于Winhex/X-ways Forensics数据分析工具来说,不具备任何保护能力。通过Winhex/X-ways Forensics的文件过滤方法,可以直接将各类数据发现并显示出来。
但是,我们目前还有一个问题没有解决,就是如何证明一个磁盘中包含有“个人密盘”的隐藏数据。毕竟,采用此类隐藏保护方式的软件不只一个。发现“Recylcer”目录,也不能就说明是由“个人密盘”这个软件制作的保护。
我们继续利用Winhex/X-ways Forensics对“个人密盘”进行分析,查找该软件的唯一特征。通过Winhex/X-ways Forensics 浏览G盘目录结构,可发现密盘保存目录名称为13609152663。
利用“个人密盘”在其他分区创建一个新的密盘,发现其路径名称仍为13609152663。试验多次后,发现路径名相同。因此判断,该工具创建密盘后,特征值为13609152663。
为进一步判断我们的推断,将目录名13609152663的第一位1更改为0。如果“个人密盘”无法发现磁盘中包含有原来建立的密盘,则可证明13609152663为该工具软件认定密盘的特征值。#p#分页标题#e#
利用Winhex,在扇区中查找13609152663目录名。最简单的查找方法,即返回到上级目录,察看扇区的16进制值即可发现目录区。
在Winhex中(此时需要使用Winhex,因为X-ways Forensics无法修改其中的数据),将13609152663目录名中的1改为0,保存。
此时,重新调用“个人密盘”,发现原来 G 盘中的“密盘”丢失,状态显示为“未建”。
利用Winhex将修改的目录重新改为1,可发现G盘中密盘状态显示为“已建”。证明我们的推断完全准确。
四、 “个人密盘6.9试用版”特征值
经过上述试验,我们可以准确地判定,如果一个磁盘中的RECYCLER目录下包含有13609152663目录,则可判定该磁盘使用过“个人密盘”创建了数据保护区。
在Winhex/X-ways Forensics 13.9版以后版本中,文件名称过滤方式中,新增添了对目录名的支持。因此可以通过文件名称过滤选项,过滤13609152663目录名,从而发现硬盘中个人密盘的存在。
使用本过滤方式时,注意选中文件名称、展开时显示目录、在目录名称中应用过滤条件三个选项,否则无法过滤并显示出目录名。
针对刚才建立的案件,我们选择在所有磁盘中应用过滤条件,即可发现本案例中共包含有两个密盘目录,证明有两个分区建立了密盘。
五、 “个人密盘6.9试用版”所有文件的MD5哈希值
为了从一个磁盘中查找个人密盘加密工具,最有效的途径就是通过哈希值校验方法进行比对。通过本例,我们一步一步地介绍对利用Winhex/X-ways Forensics进行哈希值校验的基本方法。
文件摘要,与校验值很相似,是用于校验文件真实性的一串数值。但文件摘要更加强大,它是很强大的单向哈希编码。 Winhex/X-ways Forensics 支持MD5、SHA-1、SHA-256和PSCHF摘要算法。
1、创建已知文件的哈希集。选择希望创建哈希集的文件。本例中,这四个文件是“个人密盘”的原始文件。选择四个人间,点击鼠标右键,选择菜单中的“创建哈希集”命令。
2、选择哈希分类,设定哈希集名称。本例中,我们计算个人密盘的程序文件的MD5哈希值,主要希望确定计算机中包含个人密盘程序,因此,我们将其类型设定为“关注的,恶意的”。
3、Winhex/X-ways Forensics 提示操作完成,表示哈希集创建成功。哈希库中成功创立“个人密盘”4个文件的哈希值。
4、对整个磁盘进行磁盘快照,选择“计算哈希值”,并选中“依据哈希库比对哈希值”。
5、Winhex/X-ways Forensics 通过计算机所有文件的MD5哈希值,很快从磁盘中发现了我们所关注的四个文件。哈希库名称显示为“个人密盘0609”,哈希分类显示为“关注的”。借此,我们可以证明,磁盘中的确包含有制作密盘保护区的应用程序。
小结:
本节,我们通过研究个人密盘SDISK 的文件保护方法,介绍了如何利用Winhex/X-ways Forensics,通过文件名过滤、文件目录结构,分析判断个人密盘的隐藏数据的隐藏方法及存放位置。
同时,通过利用Winhex的磁盘数据的十六进制编辑、修改功能,判定了个人密盘的准确特征,确定了以目录名过滤条件的识别方法。
最后,通过利用Winhex/X-ways Forensics创建哈希集的方法,利用计算MD5哈希值,准确地发现加密主程序及相关文件,为我们判定加密程序的存在提供了准确依据。
通过本例,读者可以掌握如何利用Winhex/X-ways Forensics 对各种隐藏方式加密工具进行分析,从而掌握加密保护原理,破解加密保护方法。同时,对于熟练掌握Winhex的使用及数据分析技巧具有一定的帮助作用。
第十二章 特定类型文件恢复
本说明中所有图片均出自X-ways Forensics 及Winhex 14.3版。某日,一友人来访,万分苦恼曰:昨日让公司技工帮“Ghost”了一下爱机,重开机后,猛然惊觉珍藏多年之相片集未曾Copy,晕,傻,欲哭无泪,拟投江自尽。盼君能助一背之力,挽其损失。 经Winhex相助,寻回2037照片,友开颜。
IBM笔记本计算机详细信息如下,C盘共20GB。
Drive C:
内部名称: Drive C:创建日期: 2007-08-20 17:49:26Hash: n/a描述 File system: NTFSName: ML_CTotal capacity: 21,482,463,232 bytes = 20.0 GBSector count: 41,957,936Bytes per sector: 512Bytes per cluster: 4,096Free clusters: 3,972,650 = 76% freeTotal clusters: 5,244,742
利用Winhex,笔者从17时49分至18时30分,成功将C盘中的2000余幅照片挽救回来。本例,是恢复特定类型文件的一个典型例子。如恢复DOC,XLS等文件同理。
具体操做过程如下(日志由Winhex自动生成):
日志
时间 描述
2007-08-20 17:49:25 View Disk< td>
2007-08-20 17:49:51 对话框: 请注意:此卷的磁盘快照是 0 分钟以前 进行的。→ 确定(O)
2007-08-20 17:49:54 活动窗口: Drive C:菜单: 进行磁盘快照
2007-08-20 17:50:02 进行磁盘快照< td>
Sprite注:由于主要使用数据恢复功能,因此进行磁盘快照时,只选择前面两项的数据恢复功能即可。而此分区被Ghost覆盖,实际第一选项已毫无用处,仅选择第二项即可。
2007-08-20 17:50:16 依据文件头标志搜索 驱动器 C:< td>
Sprite注:需要恢复的照片为jpeg格式,因此只选通过jpeg格式签名恢复即可,其他无需选择。这是Winhex恢复特定类型文件的主要方法。
2007-08-20 18:16:01 操作*: 读取扇区… +3155 文件→ 完成
2007-08-20 18:16:12 对话框: 进行磁盘快照后现有 62,945 个数据项目 (之前 28,224 个, 之后 +34,721 个)。
2007-08-20 18:16:26 过滤: 文件名称< td>
Sprite注:过滤显示出磁盘中所有jpg文件
2007-08-20 18:16:27 目录浏览及过滤设置< td>
2007-08-20 18:17:47 过滤: 文件名称< td>
Sprite注:由于显示的jpeg文件过多,因此重新设定a*.jpg显示出磁盘中所有恢复出来的jpg文件。
2007-08-20 18:18:14 过滤: 文件大小< td>
Sprite注:同时恢复出一些ie暂存目录下的无用图片,将小于100KB的过滤掉
2007-08-20 18:18:15 目录浏览及过滤设置< td>
2007-08-20 18:18:57 活动窗口: Drive C:菜单: 全选
2007-08-20 18:23:18 活动窗口: Drive C:菜单: 恢复/复制(C)…
2007-08-20 18:29:33 操作*: 正在复制… 2,299 文件, 1.7 GB→ 完成
2007-08-20 18:29:52 对话框: 2,307 个文件和 0 个目录被成功恢复。 (1.8 GB)
2007-08-20 18:30:13 报告 (选项)< td>
Sprite注:制作报告
共计恢复2037张图片,友人大部分照片恢复成功,但部分文件有损坏,笔者也没有办法了。
培训科目
- 学校整体环境展示2022-10-18
- 选择迅维专业手机维修培训的十大理由2022-10-17
- 手机培训教室展示2022-10-16
- 学员实操维修台2022-10-15
- 笔记本维修培训教室展示2022-10-14
- 迅维培训软实力2022-10-13
- 迅维培训大量实操材料2018-07-06
- 迅维培训工具设施2018-07-06