# 20200820 暑期資安鑑識營隊 [TOC] ###### tags: `演講心得` ## 答題信箱:chts.julian@gmail.com ### [講義部分內容](https://photos.app.goo.gl/R5Ten4vW3zeMka2y7) 1. 主旨:組別-題號 >佑薪、偉銘、安方、勻怡-14組 2. 數位鑑識 VS IR 1. 鑑識:有制式的表格、法規嚴謹、要壓image、有制式流程 >刪除檔案復原、關鍵字搜尋 >有法規，"政府機關(構)資安事件數位證據保全標準"，於104/8/4公布 >經過實驗室認可蓋章，且一切工具與流程都符合規定，這份報告才具有法律效用 2. IR:快速且追求時效 >網路封包分析、記憶體分析、日誌分析等等 3. 數位鑑識作業階段 1. 現場蒐證(identify、collect) 1. 辨識數位證據 2. 防止數位證據被汙染 3. 需完整取得數位證據並執行驗證 2. 數位證據封存及運送(preserve) 1. 防止數位證據遭到破壞 2. 確保數位證據監管鏈不中斷 3. 鑑識分析(analysis) 1. 分析攻擊或資安事件來源 2. 還原攻擊或案件原貌 3. 列出案件相關時間軸 4. 報告及法院呈現(present) 1. 僅呈現與本案相關證據 2. 舉證之所在，敗訴之所在 4. 製作映像檔時，主要使用副檔名"e01"，網路中主要為"dd"，後續使用為"ex01"檔案，使用"e01"較好轉換 5. 檔案特徵值 1. file extension:副檔名，供作業系統以應用程式開啟該檔案，可以修改，容易隱藏真實副檔名 2. file signature:檔案特徵值(header)，檔案開頭處之檔案特徵，紀錄原始檔案格式，可以比對後確認副檔名 ## 工具 ### VirusTotal 1. 可以做檔案HASH比對的軟體 ### FTK imager 1. 分為安裝版與免安裝版 2. AccessData公司開發 3. 使用此軟體可以產生以下數位證據的格式 1. E01、S01、L01 2. AFF 3. AD1 4. RAW/DD 4. 無內建防寫機制，使用上需要先連接硬體的防讀寫裝置 5. 也可以做記憶體鑑識，萃取出記憶體資料(memory dump) ### Caine 1. 集結很多數位鑑識分析的工具集 2. 數位鑑識版的Kali 3. [官方網頁](https://www.caine-live.net/page5/page5.html) ### Autopsy 1. 免費的數位鑑識工具 2. 功能包含 1. 時間線分析 2. 關鍵字搜索 3. 網頁蒐證 4. 註冊表分析 5. 電子郵件分析 6. Exif分析 3. 檔案格式 1. E01 2. dd ## 比賽題目+解答網址 ### https://www.cfreds.nist.gov/ ## 問題 1. 證物是usb可以做複製嗎？hash值會相同嗎？ >不能，他需要中間接防寫器 2. 今天主機不能帶走且條件允許可以做image的話，採證方式是採用? >僅製作複本作為原始件 3. 呈上題，主機可帶走做image，採證方法為? >製作備份件或是工作件 4. 為何記憶體鑑識重要 >因為內部可能存放惡意程式的軌跡 5. 數位證據使用工具的選擇最主要為? >有無法院使用過，法院同意其工具做出來的報告有效