返回
ZStack实践汇|使用Live U对云主机进行数据取证
2021-03-01 14:17

微信图片_20210301141502.png

一、背景


Kali Linux是一个知名度非常高的网络安全测试操作系统,它包含需要安全专业人员需要的专业程序,供安全研究人员使用。在“Kali Linux Live”模式下,它为用户提供了一个“取证模式”,而这个模式主要用于数字取证。只需要制作一个USB Live Kali就可以使用这种模式,该模式下,集成了许多数据取证软件,足够满足各种取证场景。
在云计算场景中,如果遭遇了网络安全事件,如何利用Kali Linux进行数字取证,维护合法权益呢?ZStack提供了非常方便的USB重定向功能,可以轻松搞定数据取证!
使用Kali Linux取证模式,首先需要制作一个USB Live Kali。
可以参考官方指南。(https://www.kali.org/docs/usb/kali-linux-live-usb-install/)

二、装备工作


1、制作USB Live
装备一个大于4G的U盘。
前往Kali Linux (https://www.kali.org/downloads/)官方网站下载最新的LIVE ISO文件。
以Window平台为例,下载官方推荐使用Etcher工具(https://www.balena.io/etcher/),并安装。
打开Etcher软件,选择Kali Linux ISO文件和U盘,进行Flash。

01.png

2、启动USB Live 
将制作好的U盘插入服务器的USB接口。
将需要取证的云主机关闭,然后在云主机操作页面中打开USB重定向。

02.png

3、在云主机配置页面选择USB设备,并点击加载USB设备,并以直连的方式加载Kali Linux Live U盘。

03.png
4、启动云主机,打开控制台,在云主机启动的过程中点击控制台右上角的“Send CtrlAltDel”键, 然后再云主机重启过程中按下键盘“Esc”键,进入启动菜单,并选中从USB启动。

04.png

5、在弹出的Kali Linux的启动界面中选择Live(forensic mode)取证模式,该模式包含取证所需的工具和软件包。在本文中,我们将了解如何使用Live(取证模式组织数字取证过程。

05.png


三、数字取证


1、硬盘克隆
通常不会直接对硬盘数据,或数据备份文件对进行取证调查,正确的方法是对硬盘上数据进行逐位拷贝,再对备份文件进行分析。在KaliLinux系统上,提供了一个强大的硬盘拷贝工具:GUYMAGER。

1.启动GUYMAGER,在终端中输入以下命令进行启动:

kali@kali:~$sudoguymager

2.右键需要克隆的分区,并选择克隆。


06.png

选择克隆的路径,并确认勾选MD5选项,因此才能保证镜像的完整性不被置疑,然后并进行克隆。

07.png

值得注意的是,在一般Live U模式下,数据是无法写入的。那么这里就有两种方案,第一种是将Live U分区持久化,然后就可以将数据写入。第二种是在云主机上在挂载一块云盘,然后进行分区,再将数据写入。

2、数据分析
在数据取证过程中,一个最为通用分析工具就是Autopsy。在国际上,Autopsy被军方和不同执法机构广泛使用。Autopsy作为一个开源工具,整合了非常多的数字取证功能,比如字符串提取,文件恢复,时间轴分析,Chrome,Firefox等浏览历史分析,并且整个操作过程是基于浏览器的。
启动在Autopsy,在命令行中执行以下命令:
kali@kali:~$ sudo autopsy

打开浏览器,并输入以下地址:

http://localhost:9999/autopsy


08.png

通过New Case,我们就能打开我们克隆的硬盘镜像文件,对文件进行恢复,搜索等一系列操作。

3、其它工具
在Kali Linux中,还集成了其它许多强大的数字取证工具,在这里对一些工具做一个简单的介绍,大家可以根据自己的需求对工具进行选择使用以及学习。

09.png


0021.jpg


四、参考文献


https://www.kali.org/docs/usb/kali-linux-live-usb-install/
http://sleuthkit.org/autopsy/docs/user-docs/4.16.0/
https://linuxhint.com/kali_linux_top_forensic_tools/
https://linuxhint.com/kali_linux_top_forensic_tools_2020_part_2/

微信图片_20210301141511.png
升级提醒

若您选择升级至4.0.0及之后版本,请注意以下功能调整:

1. 云路由器全面升级为VPC路由器,云路由网络全面升级为VPC网络,不再单独设云路由器页面。升级全程无感知,相关业务不受任何影响。

2. 企业管理账号体系取代用户组与用户,不再单独设用户/用户组页面,不可再使用用户/用户组账号登录云平台。升级前,请先将“用户组与用户”纳管的账号数据妥善迁移至“企业管理”纳管,再执行升级操作。注意:对于admin创建并具备admin权限的用户账号同步取消,如有需要,可使用企业管理账号体系中的平台管理员实现相同功能。

3. 调整AD/LDAP与账户的对接管理方式,统一由企业管理纳管,不再单独设AD/LDAP页面。升级前,请先将“账户”对接纳管的AD/LDAP账号数据妥善迁移至“企业管理”纳管,再执行升级操作。

如对上述升级提醒有任何疑问或需要升级帮助,请联系ZStack官方技术支持

下载ZStack企业版

您已填写过基本信息?点击这里

姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

下载链接将会通过邮件形式发送至您的邮箱,请谨慎填写。

下载ZStack企业版

还未填写过基本信息?点击这里

邮箱或手机号码格式错误
验证手机号
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
登录观看培训视频
仅对注册用户开放,请 登录 或 填写资料 观看培训视频
填写资料

商务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

商务联系:

sales@zstack.io
ZStack认证培训咨询
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

商务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io
申请ZStack多机版
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

商务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

商务联系:

sales@zstack.io
培训认证合作伙伴申请
姓名应该不少于2个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
邮箱格式错误
城市名称不应该少于2个字符
公司名称不应该少于4个字符
职位名称不应该少于2个字符

商务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io
ZStack&工信人才联合证书申请
已获得ZStack原厂证书
未获得ZStack原厂证书
请填写您的基本信息
姓名应该不少于2个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
邮箱格式错误
城市名称不应该少于2个字符
公司/学校名称不应该少于4个字符
证书类型
ZCCT
ZCCE
ZCCA
ZCPC-ISP
申请ZStack&工信人才联合证书须支付工本费,是否可以接受

商务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io

下载链接已发送至您的邮箱。

如未收到,请查看您的垃圾邮件、订阅邮件、广告邮件。 当您收到电子邮件后,请点击 URL 链接,以完成下载。

下载链接已发送至您的邮箱。

如未收到,请查看您的垃圾邮件、订阅邮件、广告邮件。
或点击下方URL链接 (IE内核浏览器请右键另存为), 完成下载:

感谢您使用 ZStack 产品和服务。

成功提交申请。

我们将安排工作人员尽快与您取得联系。

感谢您使用 ZStack 产品和服务。

立即体验

联系我们

商务咨询
400-962-2212 转 1
售后咨询
400-962-2212 转 2

回到顶部

产品试用申请
请选择您要试用的产品
ZStack Cloud 企业版
ZStack Ceph分布式存储
ZStack Cloud 混合云版
ZStack Cube 超融合一体机
ZStack Cloud 基础版
ZStack Mini 边缘计算一体机
ZStack Cloud 标准版
ZStack CMP 多云管理平台
ZStack 信创云平台
ZStack Zaku 容器云平台
请填写您的基本信息
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

商务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

商务联系:

sales@zstack.io

成功提交申请。

我们将安排工作人员尽快与您取得联系。

感谢您使用 ZStack 产品和服务。