1 / 42

ATT-3000 使用介绍

ATT-3000 使用介绍. 基于计算机 仿真重现 的 动态取证 技术. 计算机仿真重现技术 : 在只有 一个硬盘 比较苛刻的前提下,能够得到一个 完整的、可运行的 计算机系统 ; 动态取证技术 : 只有在对方计算机处于存活状态时才可以提取的各种信息;例如 :IE 自动提交的表单 ; 此类信息往往是通过类似 ENCASE 等介质取证软件所无法提取的各种关键信息;. 计算机仿真重现技术. 提供了一个与被调查对象计算机 完全相同的 、 完整的、可运行的 计算机系统 ; 案件调查工作更为直观、高效; 所见既所得,可以像对象操作自己的计算机一样开展调查工作 ;

mahola
Download Presentation

ATT-3000 使用介绍

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ATT-3000使用介绍

  2. 基于计算机仿真重现的动态取证技术 • 计算机仿真重现技术: • 在只有一个硬盘比较苛刻的前提下,能够得到一个完整的、可运行的计算机系统; • 动态取证技术: • 只有在对方计算机处于存活状态时才可以提取的各种信息;例如:IE自动提交的表单; • 此类信息往往是通过类似ENCASE等介质取证软件所无法提取的各种关键信息;

  3. 计算机仿真重现技术 • 提供了一个与被调查对象计算机完全相同的、完整的、可运行的计算机系统; • 案件调查工作更为直观、高效; • 所见既所得,可以像对象操作自己的计算机一样开展调查工作; • 可以为法庭提供更为详细、直观的素材; • 使以往无法调查的案件提供了可行的方法;

  4. 静态取证 动态 10% 静态90% 数据 • 基于存储介质中明文的调查取证技术,大约占取证工作的90% 动态取证 取证工作的10% 目标系统中还存在着另外一类更有价值的信息,此类信息受Windows 系统安全体系结构的保护,只有当系统在一定权限下和上下文环境运行时才可能被获取 • 受Windows安全体系保护的以下信息 • IE表单 • EFS加密的文件 • 网络账户口令 • 历史痕迹 • 系统状态 • ……

  5. 动态取证与静态取证的关系 系统硬件环境 各种系统服务 个人敏感信息 个人私钥证书 EFS加密数据 各种文件 文件碎片 加密文件 分析工作的目的 对方硬盘 个人桌面信息的 完全掌握 个人密钥明文 证书私钥明文 系统工作环境 Windows 口令破解 与EFS明文获取 仿真取证 硬件环境的模拟运行 各种系统服务的启动 依赖系统服务与硬件驱动的应用程序取证 各种曾经在该计算机中出现过的文件,网页历史, 各种加密文件 加密文件的明文 静态取证

  6. ATT-3000动态虚拟仿真取证系统 • ATT-3000外观 • ATT-3000通过内置只读锁保证司法有效性 目标硬盘

  7. ATT3000的使用环境

  8. ATT-3000 功能 • Windows密码破解 • 高级仿真-即硬件仿真 • 初级仿真-即系统仿真 • 在线数据获取 • 支持平台: • Windows 2000、Windows XP、Windows 2003

  9. ATT-3000界面

  10. ATT-3000中的密码破解 • 点击仿真处理,开始仿真和密码破解

  11. 破解效率 • 用户Windows口令由52英文字母(包括大小写)、10位数字和33位特殊字符组成 破解时间: 2’15” 破解时间: 21’58”

  12. 常见问题之密码破解 解决办法 • 修改C:\ATT-3000下的configure.data文件 • 系统无密码

  13. 仿真 • 高级仿真 • 仿真处理完成后,通过虚拟机启动目标系统; 高级仿真

  14. 嫌疑人计算机的完全仿真重现 由于是完全仿真 所以可实现冒用对方网络身份 IE 访问记录的信息提取 最近打开文件的记录提取

  15. 在线取证 • IE痕迹 • 网络帐号 • Windows加密系统 • 系统历史记录 • 应用程序调查 • 数据库调查

  16. IE痕迹 • 访问内容 • IE下拉地址栏 • IE历史记录 • “收藏夹” • 最近访问的网页

  17. 在线数据获取 • IE痕迹 • 网络帐号 • Windows文件加密 • 系统历史记录 • 应用程序调查 • 数据库调查

  18. 网络账户口令 • 显示并保存目标计算机系统中当前用户如下所列的敏感信息: • Internet Explorer 自动表单、密码保护内容 • MSN Explorer 自动表单、密码保护内容 • Foxmail 邮件帐号和口令,邮箱访问口令 • Outlook Express 标识、邮件帐号和口令 • MS Outlook 邮件帐号和口令 • Windows Messenger帐号和口令 • MSN帐号和口令

  19. 网络账口令

  20. 在线数据获取 • IE痕迹 • 网络帐号 • Windows加密系统 • 系统历史记录 • 应用程序调查 • 数据库调查

  21. Windows加密系统 • EFS加密文件

  22. Windows加密系统 • 证书

  23. 在线数据获取 • IE痕迹 • 网络帐号 • Windows加密系统 • 系统历史记录 • 应用程序调查 • 数据库调查

  24. 系统历史记录 最近打开文件的记录提取

  25. 在线数据获取 • IE痕迹 • 网络帐号 • Windows加密系统 • 系统历史记录 • 应用程序调查 • 数据库调查

  26. 应用程序调查 • 常用应用程序 • 应用程序历史记录

  27. 应用程序调查 • 系统启动信息 • 系统开机自动运行的程序和服务列表

  28. 应用程序调查 • 系统服务及其状态(高级仿真才有)

  29. 在线数据获取 • IE痕迹 • 网络帐号 • Windows加密系统 • 系统历史记录 • 应用程序调查 • 数据库调查

  30. 数据库调查 • 依赖SQL server 个人版本的程序可以直接运行;

  31. 常见问题之高级仿真 • 当碰到以下情况时,有可能导致高级仿真失败: • 正版操作系统(包括OEM) • 有特殊驱动的系统(例如一些服务器硬盘)

  32. 常见问题之高级仿真 当碰到OEM操作系统后,有可能出现两种情况: • 在虚拟机内,在系统启动时,出现蓝屏 • 虚拟机内的系统启动后,要求激活

  33. 常见问题之高级仿真 当碰到OEM操作系统后,要求激活,有两种解决办法: • 以安全模式登录系统 • 根据笔记本背面附带的注册码激活对方操作系统

  34. 初级仿真 使用环境: • 当高级仿真失败的时候,就是我们初级仿真登场的时候了。

  35. 初级仿真

  36. 初级仿真

  37. 初级仿真

  38. 高级仿真工作原理 破解了WINDOWS多层C2级安全体系,从操作系统低层入手重新构建硬件环境,为仿真运行构建环境;

  39. 高级仿真系统架构 取证环境 仿真工作

  40. 初级仿真工作原理

  41. 初级仿真系统架构

  42. 该取证技术的意义 • “仿真重现” ,实现对目标对象加密数据的破解和真实工作环境的多次仿真重现; • 开创了全新的计算机取证新方法,产生了一种全新的电子证据呈现形式-计算机仿真重现 • “动态取证”,还原用户历史痕迹、操作环境、工作状态、加密数据明文和各种登录口令,为密码破解工作提供了对方密码使用习惯,使取证数据更加完整,完备了电子证据链 • EFS文件明文取证,解决了脱机物理硬盘中EFS加密文件无法有效打开这一世界性难题 • 采用操作系统低层技术,自主研发.突破技术,政治封锁,真正意义上的完全本土化产品

More Related