正文

X-Ways Forensics 功能介绍——事件列表功能

admin
admin V管理员 /0 评论 /32 阅读
0102
此篇文章发布距今已超过9天,您需要注意文章的内容或图片是否可用!

武汉云迹科技有限公司是X-Ways Forensics在中国的总代理商,如有需要购买、采购 X-Ways Forensics,敬请登录云迹科技官网(https://www.cflab.net/index.html)或联系 [email protected] 了解购买信息。如有XWF相关问题,欢迎后台留言讨论!
本文主要是针对比赛题目进行分析和解题思路分享,只进行知识分享,不具一定的实战能力,后台不解答涉及可能侵害他人权利的问题,切勿用于违法犯罪活动。如果有工作方面的解答需求,请后台联系添加微信私聊。

很多人对X-Ways Forensics的误会,就是XWF只能进行一些底层的分析,然而在如今版本的XWF中,存在着一项非常实用的功能,即事件列表(Events List),该功能可以自动整理磁盘快照中解析出的注册表信息、事件日志、文件系统日志、部分上网记录等,并且提供非常丰富的排序、过滤、搜索功能,能极大程度辅助取证工作,提高进行取证的效率。

本功能的入口在这里(搜索结果按钮旁边),单击即可切换:

此功能于16.9版本(约2013年)添加,经过十余年打磨,能够展示的数据已经相当全面,并且具有非常丰富的过滤器选项,能满足多数时候的快速预览、精准过滤需要。

您也可以将此功能理解为其他软件中的时间线分析功能,实际上,这确实是XWF真正的时间线分析功能,而不是能一眼看到的时间轴模式(如下图所示):

如果您不了解这两个功能,您只需要知道:时间轴仅针对于当前文件浏览器中列出的文件,主要作用是对当前磁盘快照文件浏览器中的文件进行过滤、定位、分析;而事件列表是针对于检材整体的,并且依赖于磁盘快照解析出的具体信息。如果不在进行磁盘快照中选中相关选项,比如解析文件元数据、浏览器历史记录和事件日志,那么事件列表是得不到所需要的信息的,也就是说,您看不到任何结果,如下图,这是还没有解析此类记录时事件列表的样子:

所以,如果想正常使用该功能,我们需要先做一个较为彻底的磁盘快照,尤其是需要勾选解析文件元数据、浏览器历史记录和事件日志选项:

选中这些选项后,XWF可以自动提取、解析文件内部时间戳、浏览器历史记录、电子邮件、文件系统日志、快捷方式数据等内容,并将这些内容用于填充事件列表。做完磁盘快照后,我们看看现在的事件列表长什么样子:

首先可以看到,原来是文件浏览器的窗口,变为了一个个事件的列表,包含时间信息、文件类型、分类描述、(具体)描述、来源的文件名称等等。

(说个题外话)如果您的XWF中没有显示一些列表,可以用鼠标左键单击红框区域,然后在弹出来的窗口中设置需要显示的列

单击后,会弹出目录浏览及过滤设置,列宽以像素为单位 窗口:

单击红框标记的列表名称就能决定是否显示;框中的数字代表该列表的宽度,以像素为单位,您可以在目录浏览器或者事件列表中拖动控制大小,也可以输入分辨率;选中某个名称右边的圆圈,即蓝色框标记的部分,然后再点击右上角用绿色框标记的上下按钮,可以调整列顺序。

让我们回到事件列表。当前事件列表显示的数据,是来源于当前您在案件窗口中选中的目录的(准确说是当前目录下的文件,不包含子目录下的),如果想一次性显示更多解析出来的信息,可以递归浏览整个目录或案件。以下是仅选中当前目录时,能看到的事件:

如果递归浏览这个目录,我们就能看到 resource 目录下的更多信息:

对于这个功能有了基本认识后,我们继续看这个功能具体有多强大。以下的演示基于递归浏览整个案件中的文件(也就是说一次性展示所有提取出的信息,并基于此进行过滤、分析)。

如果您对时间信息进行排序,可以据此分析系统在被镜像前都发生过什么事情、用户最近都有过什么操作,如下图。如果选中过滤器,可以对时间范围进行过滤。

如果点击文件类型左边的漏斗,可以调用该列表的过滤器,可以大致看一下都提供了哪些过滤选项:

我只列举了其中的一部分,具体有哪些过滤选项,请以实际使用中显示的为准。

按住 Ctrl键,可以选中多个过滤选项;按住 Shift键,可以选中一定范围内的过滤选项。比如,我们这里选中 注册表: Device Attached 选项,能过滤出曾经接入的设备:

选中通信信息相关选项后,能看到通信情况:

请注意,此处解析出的信息不代表所有存在的信息,仅适用于磁盘快照能解析的信息,而这些往往是比较通用、兼容的,对于国内的一些应用,其实是存在一定局限性的。

如果我们想对文件进行分析,比如我们想处理带有EXIF的图片,我们就选中这个选项:

也可以查看从注册表解析出的用户相关信息:

或者回收站信息:

不过,最重要的其实是对文件时间戳、内部时间戳的解析,如果用好,可以很好地重建用户行为。更多的功能,需要用户自己摸索,并形成自己的方法。此外,XWF是可以保存窗口设置和过滤选项的,也就是说您可以将您的一些过滤选项或者对过滤器的选择保存为文件,您只需要点击以下几个按钮即可:

最后,再次说明一下。事件列表中的事件来源于磁盘快照,需要用户先进行磁盘快照,并解析相关元数据,然后才能在事件列表中正常显示,并使用相关过滤器进行分析。对于一些专有应用数据的解析,可以说XWF是难以直接胜任的,但是如果工作重心转为对大量同类型文件进行分析、重建用户行为、雕复文件数据并进行分析时,那么其他的取证软件可能就难以胜任了。所以,也许在您看来,这个功能有点鸡肋,解析程度不如其他取证工具全面,但是得益于磁盘快照的彻底程度,其分析深度可以说是远远高于其他综合性取证工具的(个人想法,嘻嘻),是值得您尝试的!


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-宙飒天下网