Windows 管理员如何开始计算机取证

在近期的网络安全研讨会，目的是“证明” 2020年的美国大选是一个骗局了报纸头条，不是因为证据发现，而是缺乏证据。当我观看为期三天的活动时，它提醒我计算机背后的大部分技术是多么未知。一点披露：虽然我分析了计算机系统，甚至在法庭上就它们作证，但我不会认为自己是所有法医情况的专家。我可以权威地讨论 Windows 事件日志是什么样的，但是如果我正在查看一个我不熟悉的软件，我不知道它的“正常”是什么样的。 

计算机取证是准确理解计算机正在做什么、它留下的证据、您正在查看的工件以及您是否可以对所看到的内容得出结论的组合。数据包捕获专家 Robert Graham 在最近的一条推文中说得最好：

请记住，这就是我们试图筛选的：一个我们不了解的世界看起来很可疑，而我们了解的世界我们可以准确地确定发生了什么。

在进行法医调查之前要问的问题

当事件发生时，您应该问自己以下问题：

• 在事件发生之前你打算捕捉什么？
• 您是否启用并使用 Sysmon 增强了事件日志记录？
• 您是否知道您计划采样的计算机和系统是否及时同步，以便当您查看一台设备的日志文件时，它会与另一台设备的时间戳相关联？
• 您是否了解您正在查看的软件的正常流量或行为？
• 你知道那台机器有哪些网站或IP地址是正常的和基线的吗？

为什么取证图像不同

如果您从未拍摄过计算机系统的取证图像并以平面原始形式看到它，那么在像 FTK Imager 这样的工具中查看计算机系统可能会令人生畏。您不是在以可引导的形式查看系统。相反，它是十六进制的，或者我称之为扁平格式，如下面的视频所示。您通常在映像未启动时开始查看。虽然您可以使用取证工具来安装取证映像并启动它，但它需要密码，您可能不希望重置或删除密码。

取证分析师可能希望分析数据并保存启动的虚拟机，以便在审判中找到任何潜在证据。说到证据，一张照片在法庭上真的值一千字。

开始对磁盘映像进行取证分析

要了解FTK Imager是什么以及可以做什么，请下载并使用它来制作任何示例计算机的副本。您还需要提供外部 USB 硬盘驱动器或网络存储位置。在学习的同时，不要担心普通法医需要做什么。当您开始法医检查时，请考虑其最终目标：您需要得出结论，因此记录您所观察到的内容将有助于调查员撰写报告。老派的审查员只会获取驱动器的 dd 映像，像 FTK Imager 这样的工具已成为获取驱动器映像并记录驱动器及其内容的 SHA 哈希值的标准方法。

您可以使用 FTK Imager 查看驱动器的内容。请记住，因为您正在查看未启动的操作系统，所以在您确定正在执行的操作之前，可能需要对某些信息进行一些分析。您需要了解事件日志的位置以及每个应用程序的日志文件的位置。

通常，这并不能说明系统发生的全部情况。随着我们更多地转向云服务，您必须查看浏览器中留下的工件以确定云服务发生了什么。

然后，您需要对将备份您的分析的其他日志文件进行分层。理想情况下，您会在边缘找到一个防火墙日志文件，它将备份您在计算机上看到的内容。如果您怀疑网络钓鱼攻击让工作站接管，然后导致横向移动和随后的全面勒索软件攻击，那么防火墙中就会有被访问的 IP 地址和到命令和控制服务器的出口流量的证据。所有这些分析都需要深入了解计算机的工作原理，并可能重新创建一些序列以确认您认为系统中正在发生的事情。

收集数据包捕获是另一项需要规划的任务。用于分析数据包的典型工具是Wireshark。类似于对系统进行成像，了解 Wireshark 告诉您的内容需要了解您的系统哪些是正常的，哪些不是。

结合 Windows 高级威胁防护的 Windows 10 E5 许可证是另一种获得计算机系统实时取证视图的方法。Microsoft Defender for Endpoints 门户显示您的计算机正在进行的活动的控制台视图。再一次，完全了解计算机中发生的事情可能会令人困惑。在我自己的计算机系统分析中，我经常忘记我已经安装的任务或工具，我不得不回到我的文档来确定我实际上设置了我在机器上看到的有问题的项目。

最重要的是，计算机取证需要时间和证据记录。确保您已启用网络以提前捕获此信息。应在设备上启用日志记录并存储和归档日志。不要在现场观众面前做这个项目。这需要时间、技巧和调查。通常需要设置测试平台并重新创建操作来确认您的想法。