ibukunog04-hub/cyberforensic

# 🕵️‍♂️ 网络安全、威胁情报与网络取证评估 ## 📌 概述 本次评估展示了跨越**三个真实场景**的结构化数字取证调查，遵循 **NIST SP 800-86** 的标准取证原则和指南。目的是以符合取证要求的方式收集、保存、分析和报告数字证据，确保调查结果的完整性和可采性。 ### 📂 涵盖场景： 1. **银行欺诈案** – 分析受损 USB 驱动器、加密文件、隐写术与密码破解。 2. **网络取证案** – PCAP 分析、恶意软件检测、横向移动与数据窃取调查。 3. **恶意 PDF 案** – 内存取证、恶意文档分析与凭据窃取检测。 ## 🛠️ 使用的工具与环境 所有调查均在 **Kali Linux** 上使用行业标准取证工具进行： - ✅ **FTK Imager** – 磁盘镜像、文件浏览、工件预览与完整性检查 - ✅ **Scalpel / Foremost** – 从磁盘镜像/内存转储中进行文件雕刻与恢复 - ✅ **John the Ripper** – 密码破解与哈希处理 - ✅ **Stegdetect, Stegbreak, JPHS, xsteg** – 隐写术检测与提取 - ✅ **Wireshark** – 数据包捕获与协议分析 - ✅ **NetworkMiner** – 被动网络分析、主机识别与对象检索 - ✅ **Volatility 2** – 内存取证（Windows XP 内存转储分析） - ✅ **sha256sum / Hashing Tools** – 文件完整性验证 - ✅ **PDF / ZIP Extraction Tools** – 受保护文件的解密与分析 ## 📑 案件详情与调查结果 ### 🔹 场景 1：银行欺诈案 **目标：** 调查疑似内部欺诈；分析 USB 驱动器镜像：`bank_fraud.001` & `bank_fraud.002`。 #### 🔍 过程： 1. **数据雕刻** – 使用 *Scalpel* 恢复删除和隐藏的文件（PNG, PDF, XLSX, ZIP, DOCX, TXT）。 2. **取证镜像** – 使用 *FTK Imager* 验证结构与内容。 3. **恢复的关键工件：** - `confidential_Archive1.zip` – 受密码保护的压缩包 - `Transfers.xlsx` – 加密的电子表格 - `bitcoin address.png` – 加密货币地址 - `texture/` 文件夹 – 被标记存在隐写术的图像 - `game_clues.pdf` – 受保护的 PDF 文件 4. **密码破解：** - 使用 `office2john.py` → 提取哈希 → 使用 *John the Ripper* 破解 → 密码：**`Langley`** - 揭示了交易日志：客户姓名、金额、日期与可疑的公司 references。 5. **隐写分析：** - *Stegdetect* 标记了 3 张图像（`carpet.jpg`、`wall.jpg`、`wood2.jpg`） - 尝试通过 *JPHS / Stegbreak* 提取 — 未恢复出有效数据；被标记为异常。 #### ✅ 总结： 证据证实了**故意的数据隐藏**、加密的财务记录以及与加密货币交易的联系 —— 强烈表明存在内部数据窃取。 ### 🔹 场景 2：网络取证案 **目标：** 分析 PCAP 文件以识别受感染的主机、恶意软件活动与数据窃取。 #### 🔍 过程： 1. **流量分析：** - 识别出受感染的主机：**`10.12.19.104`** - 检测到 *Emotet / TrickBot* 恶意软件签名 - HTTP 流量显示了 payload 下载与出站数据传输。 2.. **深入调查：** - SMB2 流量分析 → 针对域控制器的横向移动尝试 - 哈希验证 → 与 *VirusTotal* 上的恶意文件哈希匹配 - *NetworkMiner* → 提取主机详情、操作系统信息与完整活动日志 #### ✅ 总结： 确认了**恶意软件感染**、未经授权的数据窃取以及在网络内进行横向移动的尝试 —— 存在域沦陷的高风险。 ### 🔹 场景 3：恶意 PDF 案 **目标：** 分析打开过恶意 PDF 的系统的内存转储。 #### 🔍 过程： 1. **内存分析** – 使用 *Volatility 2* 检查运行中的进程、PID 列表与内存字符串。 2. **关键发现：** - 恶意活动与 **Adobe Reader** 和 **Firefox** 相关 - 提取出可疑 URL 与网络套接字 - 恢复了密码哈希 → 表明发生了**凭据窃取** - 从内存中雕刻出恶意 PDF 工件 #### ✅ 总结： 确认了通过恶意 PDF 发起的**基于文件的恶意软件攻击**；攻击者成功窃取了凭据并建立了持久性。 ## 📁 项目结构

标签：DAST, DNS 反向解析, DOS头擦除, FTK Imager, HTTP工具, John the Ripper, NetworkMiner, NIST SP 800-86, PCAP分析, Scalpel, SecList, Wireshark, 内存取证, 反取证, 句柄查看, 哈希校验, 安全评估, 实战案例分析, 密码破解, 恶意软件分析, 数字取证, 数据包嗅探, 数据恢复, 数据泄露, 数据渗出, 文件雕刻, 无线安全, 横向移动, 磁盘取证, 编程规范, 网络取证分析, 网络威胁情报, 网络安全, 网络安全审计, 自动化脚本, 自定义DNS解析器, 银行欺诈调查, 隐写术, 隐私保护