reemaalhamed02/Digital-forensics-investigation

# 数字取证调查 使用 Autopsy 与 Volatility 进行数字取证调查 | 磁盘映像与内存分析 | 诺森比亚大学 # 🔍 数字取证事件响应 – 调查报告 ## 案例概述 对一名疑似独狼威胁行为者 (**Jim Cloudy**) 进行的数字取证调查。该行为者在表现出激进化迹象并意图在公共活动实施暴力袭击后，被报告给执法部门。 调查涉及对以下物证的取证检查： - **磁盘映像** – Dell Latitude E6430 的完整映像 (`LoneWolf.E01`, 512.11 GB) - **内存转储** – RAM 捕获文件 (`memdump.mem`, 17.96 GB, Windows 10 x64) ## 使用的工具 | 工具 | 版本 | 用途 | |------|------|------| | **Autopsy** | 4.21.0 | 磁盘映像分析、工件提取、浏览器历史记录 | | **Volatility** | 3 | 内存取证 – 进程列表、命令行分析 | ## 检查的证据 | 证据 | 类型 | 关键发现 | |------|------|----------| | `The Cloudy Manifesto.docx` | 文档 | 意识形态动机 – 反政府言论 | | `Operation 2nd Hand Smoke.pptx` | 演示文稿 | 攻击计划 – 目标、逃跑路线、航班行程 | | `Planning.docx` | 文档 | 四阶段战术计划：目标、补给、逃脱、发布 | | `Cloudy thoughts (4apr).docx` | 文档 | 个人反思 – 攻击前的情绪状态 | | `Brother Chat.gdoc` | 通讯记录 | 聊天记录，将嫌疑人与其兄弟的疑虑关联 | | `000044.ldb` | IndexedDB | 从 Chrome 浏览器缓存恢复的聊天片段 | | `~ar2499.xar` | Excel（隐藏） | AWS 凭证 – 潜在的云数据外泄 | ## 方法论 ### 磁盘分析 - 使用 **Autopsy** 进行文件系统检查 - 浏览器历史记录重建（Google Chrome） - 元数据提取与哈希验证（MD5 / SHA-256） - 云存储工件识别（Dropbox, Google Drive, Box） ### 内存分析 - **`windows.pslist`** – 识别活动的云同步进程 (`googledrivesync.exe`, `DropboxUpdate.exe`, `BoxSync.exe`) - **`windows.cmdline`** – 确认在计划事件前进行了有意的云初始化 ## 关键事件时间线 | 日期 | 事件 | |------|------| | **2018年3月28–31日** | 🔍 初步研究 – 武器、逃往国家、云存储 | | **2018年4月02日** | 📝 *The Cloudy Manifesto* 创建 – 意识形态基础 | | **2018年4月04日** | 🎯 *Operation 2nd Hand Smoke.pptx* 与 *Planning.docx* 定稿 | | **2018年4月05日** | 💭 *Cloudy thoughts (4apr).docx* – 撰写个人反思 | | **2018年4月06日** | 💬 *Brother Chat* 记录 – Paul 的疑虑日益增长 | | **2018年4月06日** | ☁️ AWS 凭证文件 (`~ar2499.xar`) 创建 | | **2018年4月07日** | 🚨 **计划袭击日期** – Town Hall For Our Lives 活动，弗吉尼亚州斯特林 | ## 主要发现 - 从宣言到行动规划，清晰记录了**意识形态激进化**过程 - **选定目标** – 弗吉尼亚州波托马克瀑布 Cascades 图书馆的枪支管制活动 - **逃跑计划** – 编码颜色路线前往杜勒斯机场 + 经首尔飞往巴厘岛的航班 - **武器研究** 得到浏览器历史记录（Kel-Tec Sub-2000, gunbroker.com）的证实 - 通过活动同步进程（Google Drive, Dropbox, Box）发现**云数据外泄**证据 - 通过 Google Docs 和 Chrome IndexedDB 工件保留的**通讯痕迹** ## 展示的技能 - `Autopsy` · `Volatility 3` · `数字证据分析` - `内存取证` · `浏览器工件恢复` · `元数据分析` - `哈希验证 (MD5/SHA-256)` · `时间线重建` - `云存储取证` · `IndexedDB 分析` - `取证报告撰写` 📄 **[阅读完整调查报告](./report/Investigative_Report.pdf)** ## 免责声明 *诺森比亚大学 | 网络安全与网络理学学士 | 2025–2026学年*

标签：Autopsy工具, JARM, SecList, Volatility工具, 事件报告, 云存储识别, 元数据提取, 内存分析, 内存取证, 内存转储分析, 哈希验证, 威胁行为者分析, 工具分析, 数字取证, 数字法医调查, 暴力攻击预防, 法医工具, 法医调查, 浏览器历史重建, 激进化迹象检测, 磁盘取证, 磁盘映像分析, 磁盘镜像取证, 网络安全, 自动化脚本, 证据提取, 进程保护, 隐私保护