0xshaheer/TOR

# TOR 暗网取证 —— 工件分析与反取证调查 探索基于 Tor 的暗网活动、RAM 获取以及取证工件分析。利用 FTK Imager、Bulk Extractor、Volatility 和 Netstat 等工具，检测内存擦除和隐藏进程等反取证技术。 # 暗网取证 —— 工件分析与反取证调查 **姓名:** Shaheer Ahmad **提交日期:** 2025年6月30日 ## 📖 简介 本项目利用 Tor Browser 探索暗网活动，并应用取证技术分析捕获的内存工件。目标是检测反取证行为，并揭示由混淆方法留下的数字痕迹。 ## 🛠️ 所用工具及理由 | 工具 | 用途 | |-------------------|---------| | Tor Browser | 匿名浏览暗网网站 | | FTK Imager / Belkasoft | 从运行系统获取 RAM | | WinPrefetchView | 分析 `.pf` 文件以检测 Tor 活动 | | Netstat (CMD) | 识别与 Tor 会话相关的活动连接 | | Bulk Extractor | 从 RAM 中提取隐藏/缓存的 PII 和证据 | | Volatility (可选) | 更深层的内存结构分析 | ## 🔍 Tor Browser 设置与观察 - 安装在 Windows 虚拟机（1 GB RAM）上。 - 访问了目录/搜索引擎：**Ahmia**、**Hidden Wiki**、**Torch**、**Excavator**。 - 搜索了 *“Hacker for Hire”* 并浏览了非法主题的 onion 站点。 ⚠️ 未分享任何个人数据；所有交互仅为观察性质。 ## 💾 RAM 获取过程 - 关闭 Tor 后，**FTK Imager** 获取了完整的内存转储。 - 输出文件：`tor_session.mem`。 ## 🧪 内存分析 - **Bulk Extractor** 揭示了： - `.onion` 域名 - 电子邮件地址 - 类似信用卡号的字符串 - **Volatility**（可选）显示了与混淆相关的隐藏进程。 ## 🚨 反取证行为检测 - 无浏览器历史记录。 - 内存模式被清零。 - 检测到隐藏/已终止的 Tor 进程。 - 表明存在混淆企图。 ## ⏱️ 事件时间线 | 时间 | 事件 | |----------|-------| | 4:00 PM | 虚拟机启动，Tor 已安装 | | 4:30 PM | 浏览暗网 | | 5:00 PM | Tor 关闭，RAM 已获取 | | 5:15 PM | Prefetch 与 netstat 分析 | | 6:00 PM | 通过 Bulk Extractor 进行 RAM 分析 | ## ⚡ 挑战与缓解措施 | 挑战 | 解决方案 | |-----------|----------| | 虚拟机性能缓慢 | 将 RAM 增加至 1.5 GB | | Onion 站点无法加载 | 切换目录 | | FTK Imager 卡死 | 使用 Belkasoft RAM Capturer | | 误导性工件 | 按时间/进程过滤 | ## ✅ 结论 本项目提供了关于暗网浏览行为、取证获取和证据提取的实践经验。它强调了攻击者如何使用内存擦除和浏览器历史混淆等反取证技术。 ## 📚 参考资料 - [Tor Project](https://www.torproject.org/) - [FTK Imager](https://accessdata.com) - [Bulk Extractor](https://digitalcorpora.org) - [Volatility Framework](https://www.volatilityfoundation.org) - [WinPrefetchView](https://www.nirsoft.net)

标签：Ahmia, Artifact Analysis, Bulk Extractor, DNS 反向解析, FTK Imager, Hidden Wiki, HTTPS请求, HTTP工具, PII检测, RAM Acquisition, SecList, Tor Browser, Tor取证分析, URLScan, Windows取证, 内存取证, 反取证技术, 域名收集, 子域名变形, 搜索语句（dork）, 数字取证, 数据恢复, 暗网取证, 洋葱路由, 网络安全, 网络安全审计, 网络流量分析, 自动化脚本, 虚拟机取证, 蜜罐/沙箱, 防御规避检测, 隐私保护