六、利用文件类型库过滤加密文件
参考上图,我们可以看到,在“分类描述”列中,Winhex/X-ways Forensics将王者加密大师文件描述为 “加密类”。这个描述是如何添加进Winhex/X-ways Forensics 中的呢?如何将更多的文件类型添加进Winhex/X-ways Forensics中呢?下面,我们进一步阐述“文件类型库”的修改方法。
1、文件类型库的主要功能
文件类型库可以定义某种文件扩展名属于哪个类型。如扩展名DOC、TXT,被归类于文字编辑类,扩展名ZIP、RAR,被归类于压缩类。通过文件类型过滤方式,Winhex/X-ways Forensics可以快速将磁盘中的某类数据过滤出来。
当在磁盘快照中选择了“通过文件签名判别文件真实类型”后,选择“文件类型”过滤方式时,Winhex/X-ways Forensics将依据文件签名库和文件类型库中的定义,把对应类型的文件搜索并显示出来。
Winhex/X-ways Forensics 14.0版文件类别库中包含有近380个文件描述,分为办公类、电子邮件类、互联网记录类、图像类、视频类、音频类、注册表类、压缩类、镜像类等共计14个分类。随着版本不断升级,File Type Categories.txt 文件类别库中的数据还在不断增加。
2、文件类型库 File Type Categories.txt的文件格式
File Type Categories.txt文件中,文件类型名称以 :xxx: 开头,其中xxx表示自定义的文件类型,如办公类、加密类、压缩类等等。文件类型库最多支持32 个类别。如果个人修改了File Type Categories.txt文件中的数据,一定要注意保存好新增加的信息,并随时添加至最新版的文件类型库中。
File Type Categories.txt中,文件扩展名描述行必须以“+” 或“-”开始。
“+”号,表示该行定义的属于扩展名,每行对应一个,文件扩展名必须使用小写字母。扩展名描述与扩展名之间要保留一个空格。File Type Categories.txt中定义了重复的扩展名,那么过滤结果可能会出现错误。
“-”号,表示该行定义的属于文件名,也可以是文件名+扩展名。这种对于过滤准确 “文件名”的文件非常有效。例如:-;index.dat; Internet Explorer 历史记录。通过此过滤,可以将当前磁盘中所有文件名为index.dat的文件过滤出来。
对于File Type Categories.txt文件中未包含的扩展名,都被归属于“其它”类别中。
、添加“王者加密大师”至File Type Categories.txt中
根据我们前面的定义,我们将王者加密大师的文件类型!!1添加至File Type Categories.txt文件中。
由于目前的14个分类中,没有划分出加密类,因此我们新建立一个文件类别“加密类”。将其定义为:
:15:加密类
在此类别之下,定义王者加密大师扩展名描述。
+!!1 王者加密大师
保存文件,重新运行Winhex/X-ways Forensics,即可以使Winhex/X-ways Forensics识别新的文件类型库。
小结:
本节,我们通过分析“王者加密大师”加密文件格式,重点阐述了Winhex/X-ways Forensics中,文件签名库和文件类型库的作用,以及如果通过修改这两个库文件实现对更多类型文件的检索和过滤。相信读者根据此实例,能够很好地掌握两个库文件的使用技巧。不明之处,欢迎交流。
注:此功能仅在Winhex Forensics和X-ways Forensics版本中能够使用。
第十一章 高级应用-2 过滤方法与技巧
本说明中所有图片均出自X-ways Forensics 及Winhex 13.8及14.0版。
本节,我们通过Winhex/X-Ways Forensics软件,对“个人密盘”加密工具进行分析,掌握利用Winhex/X-Ways Forensics软件进行数据过滤方法,以及如何有效利用文件哈希集发现固定哈希值的文件。“个人密盘”是一个数据加密隐藏工具软件。据介绍,该软件利用硬盘的剩余空间,建立一个加密区,将其虚拟为一个逻辑磁盘供用户使用。用户可以根据需要打开或关闭加密区,将需要保护的数据文件存入加密分区,该软件就会自动将数据加密保护,其他人无法发现并调取其中的数据,适用于单位或多人共用的计算机中使用。
以下是作者对其6.9版的描述:“本程序在硬盘内建立特殊的加密区域,并虚拟成一个磁盘,使用时像U盘一样可以随插拔,十分方便,只需将欲加密的文件存入密盘,任何放入该虚拟盘的文件均被加密保护,加密速度极快,加密后通过操作系统或第三方软件均无法访问或删除加密区(密盘),既可以有效保护文件安全,又不影响对文件的操作,不怕掉电,并且可以多用户使用,互不影响,未授权用户无法查看、修改、删除(除非格式化)别人的加密区,支持移动硬盘,让你的重要资料四处漫游而无需担心被窃取,就算丢了硬盘也不怕重要资料外泄,彻底解决您的后顾之忧。实乃IT人士或商务人士必备之工具!”
一、利用“个人密盘”创建加密盘
下载个人密盘6.9试用版后,可发现主程序为SDISK.EXE运行“个人密盘”。
初次运行SDISK,系统提示输入管理员密码。此时可按“确认”键直接进入。后期可设置新用户和密码。
菜单中显示当前系统下所有逻辑盘符,包括硬盘逻辑分区和USB移动闪存。本例中,C、D、E 为硬盘逻辑分区,G 为一个128MB USB 闪存。
选择其中我们希望建立密盘的分区,点击鼠标右键,即可调用鼠标右键菜单。选择“建立密盘”,即可在该分区中建立密盘。但是一个分区中,只可以建立一个密盘。
创建密盘成功后,磁盘图标上会显示一朵小花,或一把锁,表示该逻辑盘中包含有密盘信息。选择右键菜单中的“打开密盘”,即可在“我的电脑”中显示密盘的逻辑盘符。
下图中,显示出我们试验创建的两个密盘,分别为“3(J:)”和“可移动磁盘(I:)”
打开“可移动磁盘(I:)”,我们可以象操作逻辑磁盘分区一样,拷贝或移动数据。为使用Winhex/X-ways Forensics 进行分析,我们向密盘中拷贝一些数据。并在该位置创建了一个文本文件“Sdisk保存文件的位置.txt”。
此时,密盘以创建成功,我们可以利用Winhex/X-ways Forensics 进行数据分析,看看“个人密盘6.9试用版”是如何隐藏、保护数据的。
二、利用 Winhex/X-ways Forensics 14.0版分析“个人密盘6.9试用版”隐藏数据
调用Winhex/X-ways Forensics 14.0,创建案件,加载磁盘分区。此时,我们应加载密盘所在的逻辑分区,即原始磁盘分区E和G。
加载G盘后,可以看到磁盘的目录结构。此时显示的,使我们创建了密盘后的分区状态。为了使读者更清楚地明白个人密盘的原理,我们在图中同时显示出创建密盘前的分区状态。比较前后状态,我们即可清楚地发现其中的差别。
创建密盘后,分区中新增加了一个Recycler目录。可见,个人密盘将文件存储到了此目录下。
创建密盘前目录结构思路:
由于我们目前还不掌握“个人密盘”的文件保护方式,因此可以通过两种方法查找加密文件。
1、以文件、目录创建日期为过滤条件
如果密盘生成的文件是以一个单独加密文件形式存在,可根据该文件的生成日期查找到该文件位置。此时,可利用Winhex/X-ways Forensics的“创建日期”过滤条件,查找所有当时时间段创建的文件。
2、以文件名称为过滤条件
由于我们创建了一个名为“Sdisk保存文件的位置.txt”的文本文件,因此可以利用该文件名作为过滤条件,搜索该文件的位置。
如果“个人密盘”仅仅是通过隐藏方式保护数据,那么通过文件名过滤方式,可以很快地发现数据隐藏位置。
注:Winhex v14.0版中增加了目录名过滤功能。早期版本无法实现目录名过滤。
我们选用文件名过滤方式,果然快速找到了此文件。说明,“个人密盘”只是一种文件隐藏方式保护软件。
通过路径,我们可以看到,加密文件被保存在以下位置:G: \RECYCLER\S-1-5-21-1060284298-813497611-13438020086-500\S-1-5-21-1064224258-813597681-13430823629-500\DDudzA7dSx52125\13609152663
至此,虽然我们只利用Winhex/X-ways Forensics进行了非常简单地操作,就清楚地了解到该工具软件的数据保护方式:即在磁盘中创建上述路径,同时创建若干无用目录及信息用于伪装,将保护数据保存于其中某特定目录下,达到数据保护的目的。
由于其表现形式为回收站,且为隐含,因此普通工具无法发现并管理该目录,Windows 自带的文件搜索也无法找到这些被隐藏保护的信息。
快速过滤出指定文件
察看目录结构和指定文件位置
三、利用 Winhex/X-ways Forensics 14.0版分析“个人密盘6.9试用版”特征
由于个人密盘只是采用了文件夹隐藏的方式进行数据保护,因此对于Winhex/X-ways Forensics数据分析工具来说,不具备任何保护能力。通过Winhex/X-ways Forensics的文件过滤方法,可以直接将各类数据发现并显示出来。
但是,我们目前还有一个问题没有解决,就是如何证明一个磁盘中包含有“个人密盘”的隐藏数据。毕竟,采用此类隐藏保护方式的软件不只一个。发现“Recylcer”目录,也不能就说明是由“个人密盘”这个软件制作的保护。
我们继续利用Winhex/X-ways Forensics对“个人密盘”进行分析,查找该软件的唯一特征。通过Winhex/X-ways Forensics 浏览G盘目录结构,可发现密盘保存目录名称为13609152663。
利用“个人密盘”在其他分区创建一个新的密盘,发现其路径名称仍为13609152663。试验多次后,发现路径名相同。因此判断,该工具创建密盘后,特征值为13609152663。
为进一步判断我们的推断,将目录名13609152663的第一位1更改为0。如果“个人密盘”无法发现磁盘中包含有原来建立的密盘,则可证明13609152663为该工具软件认定密盘的特征值。
