anupamsankarr/NIST-Hacking-Case-2004-Forensics

# 🔍 NIST CFReDS 破坏案例 – 数字取证调查 ## 📌 概述 本项目是对 **NIST CFReDS 破坏案例（2004年）** 的全面数字取证调查——一个涉及一个化名为 **"Mr. Evil"** 的疑似无线网络入侵者的现实风格数据集。 在一处公共Wi-Fi热点附近发现了一台戴尔CPi笔记本电脑被遗弃。据称，嫌疑人使用专业的无线设备拦截互联网流量并从毫无戒心的用户那里窃取凭证。 这次调查使用取证工具重建了设备上的活动，恢复了被删除的文件，分析了证据，并构建了事件时间线。 ## 🧰 使用工具 | 工具 | 目的 | |------|---------| | Autopsy 4.23.0 | 主要取证分析平台 | | FTK Imager | 磁盘镜像验证和完整性检查 | | Surfshark AV | 扫描刻录的可执行文件中的恶意软件 | | PhotoRec Carver（通过Autopsy） | 从未分配空间恢复文件 | ## 🗂️ 磁盘镜像规范 | 属性 | 值 | |----------|-------| | 镜像格式 | EnCase (.E01) | | 文件系统 | NTFS | | 操作系统 | Windows XP | | 主要用户 | Greg Schardt（"Mr. Evil"） | | MD5 哈希 | `aee4fcd9301c03b3b054623ca261959a` | ## 🔬 调查步骤 ### 1. 证据采集 - 将 `.E01` 磁盘镜像加载到Autopsy中 - 禁用Plaso模块以加快初始分类（在生产环境中单独运行） - 通过MD5哈希验证镜像完整性 ### 2. 文件系统分析 - 从根目录探索完整的目录树 - 在用户配置文件中找到一个 **隐藏文件夹**，没有链接到任何标准Windows应用程序 - 在 `Temp/` 中识别出多个文件，在90分钟内创建/修改 - Autopsy标记了 **7,145个可从未分配空间恢复的已删除文件** ### 3. 证据检查 - 查看了 **最近文档** 和 **运行程序** 证据 - 找到指向 `D:\Drivers\Anonymizer` 的快捷方式——匿名软件 - 找到与 **GhostWare** 相关的证据（访问时间约为2004年8月20日） - 十六进制窗格确认了快捷方式文件中的路径和元数据 ### 4. 关键字搜索 - 搜索：`john`、`password`、`metasploit` - `john` 返回 **357个匹配项**——包括 `My Documents` 中的源文件 `cracker.c`、`best.c`（John the Ripper） - `password` 返回约 **1,900个匹配项**，集中在用户配置文件中 ### 5. 文件导出与恶意软件扫描 - 将可疑的可执行文件导出以进行外部分析 - PhotoRec Carver从未分配空间恢复了删除的 `.exe` 文件 - **4个文件被防病毒软件标记**——其中一个被确认是 **TR/W32.Trojan** ### 6. 时间线分析 - 操作系统安装时间：**2004年8月19日** - 最后一次关机时间：**2004年8月27日** - 约8天的活跃窗口，集中在工具安装和使用 - 时间线显示 `My Documents` 文件夹中有大量活动 - 找到的工具：**Pandora、Cain & Abel、fping、NetStumbler、Ethereal** ## 🚨 关键发现 | 发现 | 详细信息 | |---------|--------| | 破坏工具 | NetStumbler、Ethereal、Cain & Abel、123 Write All Stored Passwords | | 密码破解 | `My Documents` 中的John the Ripper源文件 | | 恶意软件 | 从未分配空间恢复的4个特洛伊木马（TR/W32.Trojan） | | 匿名软件 | 在最近文档中找到的Anonymizer | | 网络捕获 | 包含捕获的HTTP流量的拦截文件 | | 网页历史记录 | 浏览器历史记录中确认了WinPcap下载 | | 已删除文件 | 卷上有7,145个已删除文件 | | 活动窗口 | 所有可疑活动：2004年8月19日至27日，归因于"Mr. Evil"账户 | ## 📊 Autopsy – 优点与局限性 **优点** - 初学者友好的GUI——不需要深入的CLI知识 - 将文件刻录、关键字搜索、时间线和网页历史记录结合在一个工具中 - 自动标记已删除文件和未分配空间 - 时间线视图清楚地显示了可疑活动发生的时间 **局限性** - 在大型磁盘镜像上运行缓慢 - 刻录的文件会丢失原始文件名——需要手动识别 - 防病毒软件集成需要第三方工具 - 一些证据需要手动交叉引用 ## ✅ 结论 取证检查确认了戴尔笔记本电脑是一个 **专门构建的无线拦截平台**。网络扫描工具、数据包捕获软件、密码破解代码、特洛伊木马可执行文件以及指向黑客资源的浏览器历史记录的组合，在操作系统安装后的8天内，清楚地确立了该机器的预期用途。 ## 📁 仓库结构 ``` hacking-case-forensics/ ├── README.md ← This file ├── report/ │ └── MACS804_Assessment2_ForensicReport.pdf ├── notes/ │ ├── methodology.md ← Step-by-step investigation notes │ ├── tools-reference.md ← Quick reference for tools used │ └── findings-summary.md ← All key findings in one place └── screenshots/ ← Add your Autopsy screenshots here ``` ## ⚠️ 声明 本项目仅用于 **教育目的**，作为学术网络安全计划的一部分。数据集通过NIST CFReDS公开可用。没有实际系统被破坏。

标签：GhostArchive