MacForensicsLab 公司發佈MacLockPick 2.1



HTML clipboardHTML clipboard

加入新的插件,全面支持 Linux

NEWARK, CA 2009年3月25日 -- MacForensicsLab 公司宣佈推出多平台在線取證工具新版本。除了目前可以獲取嫌疑計算機Windows 和 Mac OS X 系統數據之外,MacLockPick 2.1 實現了獲取 Linux 系統下數據的能力。從現在開始,用戶們不必再擔心嫌疑計算機中的操作系統的限制了。此外, 2.1 版中還增添了一些新功能插件,可以使獲取重要信息的能力比過去更強、更簡單。

現在,對於嫌疑人的電子數據的獲取、"解釋"以及時效性比以往更加緊迫。在處理網絡犯罪和計算機犯罪的工作中,很多時候需要在犯罪嫌疑人的計算機中實施在線獲取,而這些工作的成功率往往是以分鐘來計算,而不再是以天數來衡量。調查員不斷面對的課題,是如何保證數據保持可見及有效,並同時保護犯罪現場的完整性。

新版本的MacLockPick可以獲取 Windows 註冊表中的對調查有用的特定信息。 儘管您可以通過瀏覽Windows 操作系統的整體數據結構以便發現重要的信息,但是 MacLockPick 能夠縮短您的數據獲取時間,保證數據獲取效果。可以獲取的信息包括:最近執行的程序、Internet Explorer URLs 訪問記錄,無線網絡的 SSID、 USB 歷史記錄、完整的 iPhone 手機同步記錄、 VNC 服務器歷史,以及更多的信息。

利用MacLockPick II 的 Linux 獲取功能,現在調查員可以發揮 MacLockPick II的最新功獲取Linux 系統中的嫌疑人信息。 隊員犯罪嫌疑人來說,再也沒有什麼所謂的安全的操作系統了。目前,MacLockPick II是目前唯一一個能夠跨平台使用的在線取證工具。

MacLockPick II 採用了插件式架構,可以為調查員提供最大的方便的擴展能力。MacLockPick II 允許調查員增添第三方工具以增強 MacLockPick的取證能力。



I. 可以從嫌疑計算機中獲取哪些數據

MacLockPick II 為計算機法證、電子證據揭示和IT信息管理人員而設計,可以有效獲取如操作系統、用戶行為和歷史記錄等詳細信息。通過使用插件的架構方式, MacLockPick 可以根據用戶對不同信息的需要而自行配置。這些信息可以包括:特定文件類型、聊天記錄、電話同步紀錄、瀏覽器歷史記錄、口令、賬戶、何系統數據。

1. 插件和插件類型

MacLockPick 通過插件方式,使調查員能夠方便地控制在線取證的所需步驟和信息。這些插件分為5類。

2. 內置插件

下列只是MacLockPick II的部分插件,現有產品能力遠遠強於下列插件所述功能

a) 執法部門專用

下列兩個插件只針對執法部門銷售

NTLM 和 Lan Man 口令獲取 - 本插件可以獲取 SAM中的本地用戶帳戶中的LM和NTLM口令哈希,利用MacLockPick II獲取到哈希值後,可以帶回至法證實驗室,利用穹舉、字典或彩虹表方式攻擊。配合高性能GPU運算系統,可以快速計算出口令。

Apple Key chain 獲取 - 類似於Windows的註冊表,蘋果機的賬戶、口令保存在key chain中,通過獲取key chain中的口令信息,可進一步通過字典方式對登陸口令進行攻擊

b) IT安全管理員/eDiscovery 和執法部門使用

下列插件包含在標準的MacLockPick II 套裝中



Apple iPhone手機獲取 - 獲取在Windows、Mac OS X系統中,通過Apple Mobile Sync保存的iPhone 或其他設備的數據。可獲得的信息包括(此外還有更多信息):
  • 打入、打出的電話記錄、日期時間
  • In接收、發送的短信息,包含電話號碼、姓名、短信內容、日期、時間
  • IMEI - (The International Mobile Equipment Identity )
  • TMSI - (Temporary Mobile Subscriber Identity")
  • IMSI - An International Mobile Subscriber Identity
  • 快速撥號 - 快速撥號中設定的姓名和電話
  • Safari State Documents - Safari瀏覽器打開的頁面
  • Safari History - Safari瀏覽器訪問過的頁面
  • Safari Bookmarks - 所有收藏的地址
  • 記事本記錄的便簽
  • 通訊錄,聯繫人,包含每個聯繫人的撥叫紀錄
  • 郵箱設置信息
  • 其他....

剪貼板 - 很多時候嫌疑人會不小心在剪貼板中保留有重要的信息。可獲取保存在剪貼板中的文本或圖像。所有發現的文本都將保存於日誌報告中。所有圖像都將自動轉為JPEG格式並保存於日誌目錄中。
Firefox - 創建嫌疑人使用Firefox 2 或 3版的分析記錄。包含如下信息(還有更多信息為盡述)
  • 收藏夾中的收藏網站
  • 歷史記錄 - 網站訪問記錄
  • Cookies
  • 下載記錄 - 下載的URL地址和文件名
  • 自動表單 - 自動記錄的名稱、地址、及其他信息

Internet Explorer - 創建IE分析記錄
  • 收藏夾中的收藏網站
  • 歷史記錄 - 網站訪問記錄
  • Cookies
  • 下載記錄 - 下載的URL地址和文件名

Network - 分析嫌疑計算機的局域網信息,包含 ARP tables、 interfaces 和netstat activity.

進程 - 列出當前計算機中的所有進程。可以判斷、發現某些惡意程序或特殊工具的使用。


Apple Safari - 創建Safari瀏覽器的記錄
  • 收藏夾中的收藏網站
  • 歷史記錄 - 網站訪問記錄
  • Cookies
  • 下載記錄 - 下載的URL地址和文件名

截屏 - 獲取並保存嫌疑計算機的當前屏幕狀態


Skype - 創建Skype使用記錄
  • VoIP 電話記錄,包含姓名和電話號碼
  • 聊天記錄,包含聊天人的名稱、聊天內容和日期時間
  • SMS 短信息,包含名稱、電話,短信內容
  • 文件傳送記錄
  • 好友列表,包括從其他系統導入的地址信息
  • 其他....

系統信息 - 嫌疑計算機的硬件信息
  • 用戶名
  • 計算機名稱
  • 操作系統m
  • 系統序列號
  • 處理器
  • RAM
  • 型號
  • UUID
  • 時區
  • 國家代碼
  • 其他

USB 閃存歷史記錄

Windows 註冊表 - This module will extract all settings from the registry on Microsoft Windows systems.




II. MacLockPick II套件包含內容:

1. 硬件

The MacLockPick II 帶有一個2GB閃存,即屬於加密鎖,又可以保存程序、保存日誌和報告,並可以保存從嫌疑計算機中獲取的數據。
  • 2 GB
  • 31.3mm x 12.4mm x 3.4mm
  • 防震防水
  • USB2.0 30MB/秒
  • Mac OS X, Windows, Linux 兼容

格式化為 FAT32,是唯一支持所有操作系統的分區格式。

2. 軟件

MacLockPick II 包含有 5 各程序,2個文件和 3 個特定目錄。每一個程序有兩個版本,一個是 Microsoft Windows版本,另一個是 Mac OS X 版本(同時支持 PowerPC 和Intel架構蘋果機)。



小結:

看了MacLockpic II的功能,真的覺得功能是太強大了。和最早的一代相比,強出了太多。特別是實現了一個工具在三個平台下使用,且側重了系統口令、註冊表、上網紀錄,還有iPhone。等拿到測試版給大家演示一下。作者Marko很厲害,算是一套很替鑑識人員省工的工具阿~

文章轉自計算機取證技術



0 意見: