CyberOpsDaniel/windows11-forensics-autopsy
GitHub: CyberOpsDaniel/windows11-forensics-autopsy
该项目是一个基于 Autopsy 的 Windows 11 数字取证实战案例,演示如何针对内部威胁和数据外泄事件进行证据提取与事件时间线分析。
Stars: 1 | Forks: 0
# Windows 11 数字取证调查
## 📌 项目概述
本项目是对一台遭到入侵的 Windows 11 工作站进行的实战数字取证调查。分析的目的是调查疑似内部数据泄露事件、恢复已删除的证据、追踪用户活动,并确定是否违反了企业数据政策。
分析使用 **Autopsy Forensic Browser** 进行,并在整个调查生命周期中通过 SHA-256 哈希校验确保了密码学完整性。
## 🛠️ 使用的工具
* **Autopsy Forensic Browser** - 用于数据库索引、文件雕刻和痕迹分析。
* **SHA-256 哈希校验** - 用于验证取证镜像(`wgu_scenario.001`)的完整性。
## 🚀 逐步提取证据
### 案件设置与导入
* **案件名称:** [您的学号 / 案件标识符]
* **基础目录:** `C:\Users\Administrator\Documents\`
* **已校验的镜像哈希值:** `A5A474BB89829FBE66971F0F085FB80331CEC61C24B3020DA9028E109826389C`
### 🔎 提取的证据项
#### 1.1 安全事件日志
检索了安全事件日志(`Security.evtx`),其中显示了用户登录活动、身份验证成功/失败以及访问尝试。
#### 1.2 用户意图 / 任务计划文档
在用户目录中发现了一份文档,表明了与可疑活动相关的明确任务计划或意图。
#### 1.3 未经授权的可执行文件
发现了一个隐藏在用户账户配置文件夹中的未经批准的可执行文件(`.exe`),表明可能使用了特定工具或存在恶意软件。
#### 1.4 已删除的文本文件
从未分配空间中识别并雕刻出了一个已删除的文本文件,其中包含潜在的敏感数据或被外传的数据。
#### 1.5 系统事件日志
检索了系统事件日志(`System.evtx`),详细记录了操作系统的启动、关机、错误以及后台服务活动。
#### 1.6 Edge 浏览器 Cookie
定位了 Microsoft Edge 浏览器的 Cookie,其中包含活动的会话 token 和与登录相关的数据。
#### 1.7 Edge Prefetch 痕迹
找到了最近修改过的 Edge Prefetch(`.pf`)文件,从技术上准确确认了该浏览器在系统上执行的具体时间。
#### 1.8 硬件与 USB 活动日志
检索了追踪硬件安装和外部 USB 大容量存储设备连接情况的系统日志。
#### 1.9 缓存的缩略图数据
识别并解析了缓存的缩略图数据(`thumbcache_*.db`),用于直观地重建用户最近访问的文件。
#### 1.10 Edge 浏览器历史记录
检索了 Edge 浏览器的历史记录数据库,显示了用户对外部 Web 服务、个人网页邮箱或文件共享平台的访问情况。
## 🧠 学到的技能
* **取证镜像导入:** 处理和校验原始的 `.001` 取证磁盘镜像。
* **痕迹雕刻:** 在 Windows 文件系统中导航,以提取事件日志、Prefetch 文件和 Web 痕迹。
* **反取证对抗:** 重建并恢复已删除的文本文件以发现隐藏数据。
* **时间线分析:** 将浏览器历史记录、USB 插入记录和系统日志相关联,以构建可靠的事件时间线。标签:Autopsy, Windows 11, 代码示例, 内部威胁, 库, 应急响应, 数字取证, 数据分析, 自动化脚本