btalantbekova3/Digital-Forensics-Incident-Response

# 数字取证与事件响应 作为佐治亚理工学院 CS 3235 信息安全课程的一部分，我担任数字取证调查员，分析了一台名为 George Burdell 的虚构嫌疑人的计算机。 George 被怀疑窃取公司机密信息并试图隐藏其活动的证据。我们利用取证磁盘镜像进行了全面调查，以恢复证据，分析其计算机和社交页面上的可疑活动，并确定是否存在足够的证据来支持刑事案件。 ## 死分析 这项调查的很大一部分涉及**死分析**，这是一种在不启动或与原始操作系统交互的情况下检查数字证据的取证技术。这种方法保留了取证完整性，并防止证据在调查过程中被篡改。 嫌疑人将系统配置为在多次密码尝试失败后自动擦除。为了安全地恢复证据，我们分析了磁盘的取证镜像，而不是与实时系统进行交互。 我们使用 Autopsy 取证平台检查了文件、已删除的工件、浏览器历史记录、系统日志、用户活动和应用数据。通过这个过程，我们重建了时间线，并识别出了与调查相关的工件。 ## 仓库内容 ### 最终报告 案件调查结果和收集证据的总结。根据恢复的证据，报告得出结论，George Burdell 对窃取公司机密信息负有责任，并采取措施隐瞒其行为。 ### Bermet 的调查工作簿 我的调查过程的详细记录，包括截图、笔记、证据收集、取证分析、密码破解、SQL注入测试、隐写分析、逆向工程以及整个案件中使用的其他技术。 ## 使用的工具 - Autopsy - Wireshark - Linux - Docker - John the Ripper - Steghide - Ghidra - Audacity ## 调查活动 ### 数字取证 - 检查了磁盘镜像和文件系统 - 恢复了已删除和隐藏的文件 - 调查了浏览器历史记录和系统日志 - 收集并记录了数字证据 ### 密码破解 - 破解了保护文件和归档的密码 - 使用恢复的凭据访问了额外的证据 ### SQL注入测试 - 识别并利用了与调查相关的 Web 应用程序中的 SQL注入漏洞 - 检索了协助调查的信息 ### 隐写分析 - 使用 Steghide 从图像文件中提取了隐藏信息 ### 网络分析 - 使用 Wireshark 调查了数据包捕获和网络工件 ### 逆向工程 - 使用 Ghidra 分析了可疑的可执行文件，以恢复隐藏的信息和凭据 ## 关键发现 在调查过程中，我们发现了表明嫌疑人以下行为的证据： - 窃取了公司机密信息 - 创建了虚假身份 - 使用了进攻性安全和黑客工具 - 试图永久删除证据 - 访问了外部系统和服务 - 试图隐瞒其活动 基于收集到的证据，我们得出结论，George 对公司信息失窃负有责任，并采取了蓄意行动来掩盖其参与行为。 ## 展示的技能 - 数字取证 - 事件响应 - 证据收集 - 文件恢复 - 日志分析 - 网络流量分析 - 密码破解 - SQL注入测试 - 逆向工程 - 隐写术 - Linux 调查 - 技术报告

标签：DOS头擦除, 安全实验报告, 密码破解, 库, 应急响应, 数字取证, 死因分析, 自动化脚本, 请求拦截, 隐写术分析