RohitMalik7/digital-forensics-narcos-case-study

# 数字取证调查 - Narcos 案例研究 ## 概述 本项目展示了一项针对涉及跨境毒品交易的模拟网络犯罪案件进行的全面数字取证与事件响应 (DFIR) 调查。 分析重点包括检查来自多个 Windows 系统的磁盘镜像和内存转储，以重建用户行为、识别通信渠道，并揭示隐藏和加密的证据。 ## 目标 - 对受损系统执行取证调查 - 重建跨多个设备的用户活动 - 识别通信、隐藏和恶意软件的使用情况 - 使用取证工具提取和分析数字证据 ## 证据概述 本次调查涉及分析多个 Windows 10 系统，包括磁盘镜像和内存捕获，以识别关键痕迹和行为模式。 该案件需要识别嫌疑人角色、通信方式以及支持犯罪活动的数字证据。 ## 工具与技术 | 工具 | 用途 | |---|---| | Autopsy | 磁盘取证与痕迹恢复 | | Magnet AXIOM | 高级痕迹解析与内存分析 | | ChromeCacheView | 浏览器缓存提取 | | DB Browser | SQLite 数据库分析 | | TrueCrypt | 加密卷分析 | | 图像隐写工具 | 隐藏数据提取 | | Notepad++ / JSON 查看器 | 日志与痕迹验证 | ## 应用技术 | 技术 | 描述 | |---|---| | 磁盘取证 | NTFS、注册表、预取及用户活动分析 | | 内存分析 | 运行时痕迹与日志检查 | | 加密分析 | TrueCrypt 容器调查 | | 隐写术检测 | 从图像文件中提取隐藏数据 | | 恶意软件分析 | Quasar RAT 行为与日志分析 | | Web 与通信分析 | Discord 和 ProtonMail 痕迹恢复 | ## 主要发现 - 识别出参与协同犯罪活动的多名嫌疑人的角色 - 从隐写图像文件中提取出隐藏数据 - 解密了包含操作数据的加密卷 - 检测并分析了用于远程监视的 Quasar RAT 恶意软件 - 关联了浏览器活动、通信日志和文件痕迹 - 重建了跨多个系统的事件完整时间线 ## 项目文件 ``` Digital-Forensics-Narcos/ +-- Digital_Forensic_Report_Narcos.pdf - Full investigation report +-- Assignment_Specification.pdf - Original case scenario and requirements +-- README.md ``` ## 展示的技能 - 数字取证 - 事件响应 - 恶意软件分析 - 内存与磁盘分析 - 隐写术与加密 - 证据处理与报告 - 技术文档撰写 ## 免责声明 本项目基于模拟的取证场景，仅用于教育和作品集展示目的。未涉及任何真实世界的系统或个人。 ## 使用与署名 本项目出于作品集和教育目的分享。如果您使用或引用了本作品，请注明对作者的适当署名。 ## 作者 Rohit Malik 电子邮件: rohitmalik180904@gmail.com GitHub: https://github.com/RohitMalik7 位置: 迪拜, 阿联酋

标签：Autopsy, ChromeCacheView, Chrome缓存提取, DAST, DB Browser for SQLite, Discord取证, DNS 反向解析, HTTPS请求, HTTP工具, IP 地址批量处理, Magnet AXIOM, NTFS分析, ProtonMail追踪, Quasar RAT, SecList, SQLite分析, TrueCrypt, Windows取证, 内存取证, 内存转储分析, 加密分析, 司法鉴定, 图像隐写术, 域渗透, 子域名变形, 安全合规, 库, 应急响应, 恶意软件分析, 数字取证, 数据库分析, 数据隐藏, 暗网调查, 注册表分析, 浏览器缓存提取, 用户行为重构, 电子数据取证, 磁盘取证, 网络代理, 网络安全审计, 网络安全案件侦破, 网络犯罪调查, 网络通信分析, 自动化脚本, 跨平台取证, 远程访问木马, 预读取文件分析