实践过程
实验一 Testd数据恢复
实验原理
-
Testdisk是分区表恢复、Raid恢复、分区恢复的开源免费工具。
-
TestDisk 主要用来恢复损坏的分区以及拯救无法引导的磁盘,TestDisk支持在Windows、Linux、Unix、Mac OS 等系统上执行。TestDisk 还支持包括 FAT、NTFS、Ext2、Ext3、ReiserFS、RAID 等在内的广泛的文件系统。
-
TestDisk支持的功能:
- 修复分区表, 恢复已删除分区
- 用FAT32备份表恢复启动扇区
- 重建FAT12/FAT16/FAT32启动扇区
- 修复FAT表
- 重建NTFS启动扇区
- 用备份表恢复NTFS启动扇区
- 用MFT镜像表(MFT Mirror)修复MFT表
- 查找ext2/ext3备份的SuperBlock
- 从FAT,NTFS及ext2文件系统恢复删除文件
- 从已删除的FAT,NTFS及ext2/ext3分区复制文件
实验步骤
- 在本地磁盘(D)新建一个20145240数据恢复.txt文本文档并保存
- 删除磁盘分区(D盘),右键桌面我的电脑,点击管理,点击磁盘管理,右键点击D盘,删除逻辑分区
- D盘已删,我们新建的文档也就不在了,接下里打开C:数据恢复工具目录下的testdisk_win.exe
- 双击打开testdisk_win.exe
- 选择“Create”创建文件存储运行TestDisk时的信息,回车
- 选择你要恢复数据的分区,图中第一项,回车
- 一般默认选择的分区类型是TestDisk软件自动检测的,一般我们使用的Personal Computer都是”Intel”或者”Mac”,选择好后按回车
- 选择”Analyse”选项,TestDisk对当前分区的结构进行分析,按回车键确认。
- 选择”Quick Search”进行下一步,出现如下图所示磁盘分析
- 如果还存在丢失的分区。继续选择”Deeper Search”等待分析结束
- 深度分析比较慢,需要多等一会
- 选择刚刚删掉的D盘,图中第二个,按p进入,可发现删掉的文本文档
- q退出,选定write,恢复分区,回车继续,输入大写Y,ok,回车
- 重启电脑方可生效
实验二 foremost的使用
foremost简介
- formost 是一个基于文件头和尾部信息以及文件的内建数据结构恢复文件的命令行工具。这个过程通常叫做数据挖掘(data carvubg)。formost 可以分析由 dd、Safeback、Encase 等生成的镜像文件,也可以直接分析驱动器。文件头和尾可以通过配置文件设置,也可以通过命令行开关使用 formost 内建的文件类型。formost 最初是由美国空军特别调查室(Air Force Office of Special Investigations)和信息系统安全研究中心(The Center for Information Systems Security Studies and Research)开发的,现在使用 GPL 许可。Foremost 支持恢复如下格式:avi, bmp, dll, doc, exe, gif, htm, jar, jpg, mbd, mov, mpg, pdf, png, ppt, rar, rif, sdw, sx, sxc, sxi, sxw, vis, wav, wmv, xls, zip。
实验步骤
恢复单个类型文件
- 因为实验环境无法连接移动设备,所以此实验以还原系统的硬盘文件做演示。
- 登录操作机:账号root,密码123456。
- 打开终端后使用foremost命令:
foremost –t 文件类型的后缀 –i 要还原的存储设备路径
- 恢复完成后会在当前目录建立一个 output 目录,在 output 目录下会建立 pdf 子目录下会包括所有可以恢复的 pdf 格式的文件。
- pdf 子目录下会包括的 pdf 格式的文件名称已经改变,另外 output 目录下的 audit.txt 文件是恢复文件列表。
- 查看pdf目录下面是还原的所有的pdf文件。
恢复多个类型文件
输入指令: foremost -v -T -t doc,pdf,jpg,gif(文件类型) -i /dev/hda(要还原的存储设备)
- 恢复完成后会在当前目录建立一个 output 目录,在 output 目录下会建立四个子目录(/doc,/pdf,/jpg,/gif),分别包括四种类型文件。由于此次恢复的所有文件中并没有.doc文件,所以output目录下只有三个子目录,没有/doc子目录。
实验三 photorec 数据恢复
实验原理
- PhotoRec 是一款用于恢复硬盘、光盘中丢失的视频、文档、压缩包等文件,或从数码相机存储卡中恢复丢失图片的数据恢复软件(因此,该软件命名为Photo Recovery这个名字)。 PhotoRec忽略文件系统,能直接从介质底层恢复数据,因此,在介质的文件系统严重破坏或被重新格式化后,它也能进行数据恢复。
实验步骤
- 在本地磁盘(C),打开数据恢复工具的文件夹并双击打开photorec_win.exe
- 选定Proceed,回车
- 接下来要选择要全盘搜索,还是针对某个分区进行搜索恢复,选择分区,回车
- 设定File Opt (文件选项),设置需要恢复的文件类型
- 执行搜索,即可根据选定的文件签名来搜索指定的分区,然后自动恢复
- 选择分区所使用的文件系统类型
- 设定要分析的磁盘空间区域,可整个分区搜索,也可只搜索自由空间
- 进入如图界面,C进行恢复
- 恢复过程
- 恢复出来的文件一般存储在photorec_win.exe的当前目录下
实验四 cmospwd使用
实验原理
- cmosPwd 可以帮你找回遗忘的CMOS/BIOS密码,而且它是免费软件。
- CmosPwd支持的CMOS常见的版本有 AMI BIOS、AMI WinBIOS 2.5、Award 4.5x、Phoenix 1.00.09.AC0 (1994)、Phoenix 1.04、Phoenix 1.10、Phoenix 4 release 6 (User)
- 解压软件后,CmosPwd下有dos和windows两个目录,这两个目录下分别为在两种环境下运行的程序,其中dos目录下的程序是运行在纯dos下,而windows目录下的程序是运行在MS-DOS下,也就是说前者须用windows的启动盘启动到纯dos下才能运行,而后者可以在windows系统的假dos环境下执行运行。
- 在纯dos下: 前提是你的bios中设置启动系统的顺序第一启动为软驱启动或光驱启动,这样才能使用启动盘。 纯dos找回bios密码比较简单,用win启动盘启动到dos环境。 我们看到comspwd.exe这个可执行文件,直接运行它即可。
实验步骤
-
进入cmd,开始->运行->输入cmd
-
使用
c:cmospwddoscmospwd.exe
命令
-
用widows命令方式进行bios密码的查看。
实验五 cupp的使用
cupp简介
- cupp是强大的字典生成脚本。它是一款用Python语言写成的可交互性的字典生成脚本。尤其适合社会工程学,当你收集到目标的具体信息后,你就可以通过这个脚本来智能化生成关于目标的字典,认证的最常用格式就是用户名和密码的组合。如果这两项都与存储的用户和密码相匹配的话就允许连接。密码强度是用来衡量通过密码技术和字典自动检测来猜测或者破解密码的难易程度。弱密码可能会比较短或者仅仅包含一些字母,这使破解变得更加容易。弱密码常会有另外一个特点,可以根据一个人的资料,例如生日,昵称,地址,姓名宠物名等,或者一些大众化的词例如god,love,money,password等等。
实验步骤
- 登录操作机,打开终端,在终端里输入
sudo cupp
,密码123456,查看cupp选项:
- 用-i选项测试一下:
sudo cupp -i
此命令功能是添加目标的一些基本信息,用于生成密码字典。 - 下面将例举一个目标并且已经获取器家人的相关信息。可以提供名字、姓氏、昵称、生日、还有亲戚朋友的信息,甚至还有你的宠物的信息。
- 用more命令查看生成好的字典
more /opt/cupp/ymj.txt
实验六 wireshark使用
实验原理
- Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
- 可以截取各种网络封包,显示网络封包的详细信息。为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。
- wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark.
- 对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。 Wireshark本身也不会送出封包至网络上。
- wireshark在windows上使用方法简介具体请见wireshark使用简介
实验步骤
-
登录操作机,打开终端,输入:sudo wireshark,密码123456,打开wireshark工具
-
进入开始界面
-
wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。点击Caputre->Interfaces.. 选择正确的网卡。然后点击”Start”按钮, 开始抓包
-
点击开始后,在Filter中输入icmp。
-
打开新的终端,ping 目标机ip,使用浏览器访问http://目标机ip
-
截获icmp包如下图所示
-
WireShark 主要分为这几个界面
- Display Filter(显示过滤器), 用于过滤
- Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表
- Packet Details Pane(封包详细信息), 显示封包中的字段
- Dissector Pane(16进制数据)
- Miscellanous(地址栏,杂项)
过滤表达式的规则
表达式规则
-
协议过滤:比如TCP,只显示TCP协议。
-
IP 过滤:比如 ip.src 10.10.13.202 显示源地址为10.10.13.202,ip.dst10.10.13.202, 目标地址为10.10.13.202
-
端口过滤:tcp.port ==80, 端口为80的;tcp.srcport == 80, 只显示TCP协议的原端口为80的。
-
Http模式过滤:http.request.method==”GET”, 只显示HTTP GET方法的。
-
逻辑运算符为 AND/ OR
过滤表达式 用途
http 只查看HTTP协议的记录
ip.src ==192.168.1.102 or ip.dst==192.168.1.102 源地址或者目标地址是192.168.1.102
- 封包列表(Packet List Pane)
- 封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。 你可以看到不同的协议用了不同的颜色显示。
- 也可以修改这些显示颜色的规则, View ->Coloring Rules.
实验感想
这六个实验在实验室中做的时候比较简单,因为有实验指导书,理解原理,参考步骤,很容易就成功了。但是这只是课程设计的一小部分,我们在实验室的虚拟机中用熟了这些软件1,还要在自己的电脑上也成功运行,我们进行这一步的时候就出现了各种各样的问题,比如虚拟机分盘遇到困难,软件找不到适合自己电脑的版本等等,这接下来的时间里,我们组将致力于解决这些问题并熟练运用开源取证相关软件,学有所成,识由所长。
实践遇到的问题
- 首先wireshark的使用非常顺利,并且小组成员都能较好的掌握并运用。
- cmospwd.exe在win的电脑上加载失败,试过网上的办法都没能解决,接下来我们小组想寻找一个Linux版本的软件在虚拟机里尝试一下,同时继续搜索win的解决办法。