CFC电子数据分析师培训课程 第五章 数据获取 - 在线获取(F-Response)

第五章 数据获取 – 在线获取(F-Response)

察看图文版


所谓在线取证，就是在计算机处于开机状态下的取证方法。一般这种状态下，为了保证证据的完整性，应该尽量避免去运行额外的程序，以免使操作系统下注册表、内存、临时文件中的数据发生更改。但近年来，由于在线取证日趋重要，很多时候无法像早年国外文章所描述的那样：拔掉计算机电源，然后实施硬盘完整镜像。现在，一旦将运行状态的计算机关闭，往往会失去很多重要的内存数据、加密分区数据。更何况局域网服务器、互联网服务器都不能够随意关闭的。因此，现在很多公司都在重点研究在线取证方法。

F-Response是一个能够与众多取证软件配合使用的在线取证工具软件。它通过局域网络连接远程的计算机，帮助专业人员有效地实施在线取证、分析、数据恢复和电子证据披露。F-Response是一个专利产品，它提供了一种通过企业局域网络的证据采集、固定和分析方法，可有效提高并增强计算机取证的工作效率和能力。

F-Response易于使用，价格低廉，可有效节省宝贵的时间和旅途花费。它可以全面提高计算机法证人员已有“武器装备”的能力，使所有取证工具都能具备网络取证功能。借助于企业的 VPN虚拟网络 ，调查员甚至可以通过国际互联网来直接进行远程取证分析。F-Response 无须复杂的培训，任何人员不用30分钟即可完全掌握软件使用方法，并可立即与他们早已熟悉的取证工具如X-Ways Forensics、FTK Imager、Smart、MacForensicsLab等法证工具软件配合，实现对企业局域网内的任意一台或所有计算机进行调查，进行在线分析和取证。目前该软件分三个版本：


F-Response Field Kit 法证版允许一个调查员同时对一台计算机实施调查取证。


F-Response Consultant 调查版以图形界面目标代码方式在被调查的计算机上执行客户端程序，允许一个调查员同时对一定数量的计算机实施调查取证。


F-Response Enterprise 企业版采用命令行或图形界面目标代码方式，在每个被检查的计算机上执行，允许对整个企业局域网内的任意数量计算机同时实施调查取证。



说到在线取证，还要说说F-Response与目前常见的在线取证工具的区别。

目前常见的在线取证工具，都是在嫌疑人的计算机中直接运行取证软件，可以自动获取内存、注册表中的数据。同时也可以通过取证软件，实现对硬盘的完整镜像。此种方法缺点在于可能造成内存中、硬盘中过多的信息被覆盖，影响取证效果。通过，在运行的系统下获取镜像，还有可能造成系统死机，破坏证据的完整性。

F-Response 在线取证方式，是通过网络连接两台计算机或局域网内的更多计算机，将任意一台计算机的硬盘或其他存储介质，以物理磁盘的方式显示到调查员计算机中，在调查员计算机中直接运行任意分析工具或镜像工具，实现对嫌疑硬盘数据的完整获取。这种方法是最为理想的，而且仅在嫌疑计算机中占用极少的内存，不会造成死机等问题。F-Response将是未来几年计算机法证领域中的一个亮点。

现在，X-Ways Forensics已经与F-response结合了，Smart也与F-response结合了，连苹果机下，都可以与MacForensicsLab配合使用。这样一来，面对Windows, MacOS, Linux三种操作系统，只要具有F-Response单机版，都可以成功实现在线取证。







第一节 获取运行的Windows计算机硬盘及内存数据



在嫌疑计算机上插入“加密狗”，插入保存有f-response-fk.exe程序的光盘或USB闪存。此时软件显示出目标机的主IP地址(此机IP地址为101.101.101.177)。输入TCP端口号（通常为3260），并设置一个8位用户名和14位密码。用户名中最好不包括大写字母，本例中输入的用户名为aaaaaaaa，口令为11111111111111。




2、在取证计算机安装并运行iSCSI Initiator软件。

在General选项卡中点击Change，重新设置登录目标计算机所需的用户名（这里输入刚才指定的用户名aaaaaaaa）。


3、点击OK后，iSCSI Initiator属性对话框中出现修改后的计算机登录名aaaaaaaa。






4、打开iSCSI Initiator的Discovery选项卡，点击Add按钮，输入此前出现的目标计算机的IP地址101.101.101.177和端口号3260。






5、点击Add Target Portal窗口中的Advanced按钮后出现Advanced Settings选项卡，勾选CHAP logon information选项，并输入14位密码。




6、按确定键返回，此时iSCSI Initiator属性的Discovery选项卡中会显示目标计算机的IP地址和端口号。



7、此时Targets选项卡中出现了目标计算机的名称及状态，此时目标机为非活动状态。点击Log On按钮出现Log On To Target窗口。



8、点击Log On To Target窗口中的Advanced按钮后出现Advanced Settings选项卡，勾选CHAP logon information选项，并输入14位密码。



9、按确定键返回，之后目标计算机的状态变为连接状态，目标机与取证机连接成功。




10、在取证计算机中已经可以访问目标机硬盘。图中分区G、H、I、J为目标硬盘，分区K为证据硬盘。




11、此时可以使用取证分析软件对目标机进行取证。现在我们使用X-ways取证软件抓取目标机硬盘的镜像，测试其获取速度。打开X-ways后添加储存设备，选择目标计算机的物理驱动器，此处显示硬盘大小为149G。



12、加载硬盘后创建磁盘镜像，选择输出镜像的路径和文件名，开始获取镜像，速度约为每分钟1.2G。




13、获取完成后在Targets选项卡中选择Details按钮，在Identifier下勾选标识符，点击Log off。此时若没有完全断开对目标机的操作将不能断开连接，并显示警告信息。



14、操作全部结束后，点击Target属性对话框中的Log Off按钮，标识符将会自动消失，与目标计算机的连接完全断开，操作结束。这时可以点击目标机程序的Stop按钮。





15、取出光盘或卸载USB闪存。在线获取全部结束。

某些时候需要在获取数据前首先进行关键词搜索，以判定嫌疑计算机是否包含与案件相关的证据。具体操作方法清参考后面章节