一
背景
Kali Linux是一个知名度非常高的网络安全测试操作系统,它包含需要安全专业人员需要的专业程序,供安全研究人员使用。在“Kali Linux Live”模式下,它为用户提供了一个“取证模式”,而这个模式主要用于数字取证。只需要制作一个USB Live Kali就可以使用这种模式,该模式下,集成了许多数据取证软件,足够满足各种取证场景。
在云计算场景中,如果遭遇了网络安全事件,如何利用Kali Linux进行数字取证,维护合法权益呢?ZStack提供了非常方便的USB重定向功能,可以轻松搞定数据取证!
使用Kali Linux取证模式,首先需要制作一个USB Live Kali。
可以参考官方指南。(https://www.kali.org/docs/usb/kali-linux-live-usb-install/)
二
装备工作
1、制作USB Live
装备一个大于4G的U盘。
前往Kali Linux (https://www.kali.org/downloads/)官方网站下载最新的LIVE ISO文件。
以Window平台为例,下载官方推荐使用Etcher工具(https://www.balena.io/etcher/),并安装。
打开Etcher软件,选择Kali Linux ISO文件和U盘,进行Flash。
2、启动USB Live
将制作好的U盘插入服务器的USB接口。
将需要取证的云主机关闭,然后在云主机操作页面中打开USB重定向。
3、在云主机配置页面选择USB设备,并点击加载USB设备,并以直连的方式加载Kali Linux Live U盘。
4、启动云主机,打开控制台,在云主机启动的过程中点击控制台右上角的“Send CtrlAltDel”键, 然后再云主机重启过程中按下键盘“Esc”键,进入启动菜单,并选中从USB启动。
5、在弹出的Kali Linux的启动界面中选择Live(forensic mode)取证模式,该模式包含取证所需的工具和软件包。在本文中,我们将了解如何使用Live(取证模式)组织数字取证过程。
三
数字取证
1、硬盘克隆
通常不会直接对硬盘数据,或数据备份文件对进行取证调查,正确的方法是对硬盘上数据进行逐位拷贝,再对备份文件进行分析。在KaliLinux系统上,提供了一个强大的硬盘拷贝工具:GUYMAGER。
1.启动GUYMAGER,在终端中输入以下命令进行启动:
kali@kali:~$sudoguymager
2.右键需要克隆的分区,并选择克隆。
选择克隆的路径,并确认勾选MD5选项,因此才能保证镜像的完整性不被置疑,然后并进行克隆。
值得注意的是,在一般Live U模式下,数据是无法写入的。那么这里就有两种方案,第一种是将Live U分区持久化,然后就可以将数据写入。第二种是在云主机上在挂载一块云盘,然后进行分区,再将数据写入。
2、数据分析
在数据取证过程中,一个最为通用分析工具就是Autopsy。在国际上,Autopsy被军方和不同执法机构广泛使用。Autopsy作为一个开源工具,整合了非常多的数字取证功能,比如字符串提取,文件恢复,时间轴分析,Chrome,Firefox等浏览历史分析,并且整个操作过程是基于浏览器的。
启动在Autopsy,在命令行中执行以下命令:
kali@kali:~$ sudo autopsy
打开浏览器,并输入以下地址:
http://localhost:9999/autopsy
通过New Case,我们就能打开我们克隆的硬盘镜像文件,对文件进行恢复,搜索等一系列操作。
3、其它工具
在Kali Linux中,还集成了其它许多强大的数字取证工具,在这里对一些工具做一个简单的介绍,大家可以根据自己的需求对工具进行选择使用以及学习。
四
参考文献
https://www.kali.org/docs/usb/kali-linux-live-usb-install/
http://sleuthkit.org/autopsy/docs/user-docs/4.16.0/
https://linuxhint.com/kali_linux_top_forensic_tools/
https://linuxhint.com/kali_linux_top_forensic_tools_2020_part_2/
- END -
领取专属 10元无门槛券
私享最新 技术干货