跳转至

Welcome to XDforensics-wiki

This is a wiki-blog created by Xidian University, for studying and shareing forensics tricks.

这里是西安电子科技大学电子数据取证 Wiki,学习、分享电子数据取证的技巧与方法。

相关的取证工具与往届比赛题目镜像存储在西电电子数据取证实验室的百度网盘中。

什么是电子数据取证

电子数据取证(英文:Digital Forensics,英文语境下常与应急响应合并简称为 DFIR;港澳台地区称为:數位鑒識;或称:电子取证)。

电子数据取证从实战出发,学习与实践规律相结合,技术和法律并重。

电子数据取证涉及到包括 Windows、MacOS、UNIX/Linux、移动终端、网络数据取证的基本知识和取证技术、电子数据取证的相关法律规则和标准等.

电子数据取证指"通过对电子数据的调查来获取证据"。

电子数据

直白地讲,电子数据就是在电子设备中产生、处理、存储的数据。关于电子数据的定义,可以参考《于办理刑事案件收集提取和审查判断电子数据若干问题的规定》2

第一条 电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。

电子数据包括但不限于下列信息、电子文件:

(一)网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息;
(二)手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息;
(三)用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息;
(四)文档、图片、音视频、数字证书、计算机程序等电子文件。

以数字化形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等证据,不属于电子数据。确有必要的,对相关证据的收集、提取、移送、审查,可以参照适用本规定。

在《公安机关办理刑事案件电子数据取证规则》1中,对取证的定义如下:

第三条  电子数据取证包括但不限于:

(一)收集、提取电子数据;

(二)电子数据检查和侦查实验;

(三)电子数据检验与鉴定。

在取证比赛中,主要考察的选手的“电子数据的检查和侦查实验”的能力;少数比赛(例如,“中科实数杯”)还会考察选手攥写鉴定报告的能力,这属于“电子数据检验与鉴定”的一部分。

也就是说,仅在参与比赛的角度来看,我们大致可以认为“电子数据取证” ≈ “电子数据检查和侦查实验”。在《公安机关办理刑事案件电子数据取证规则》1中,对于“电子数据检查和侦查实验”的定义如下:

第四十三条  对扣押的原始存储介质或者提取的电子数据,需要通过数据恢复、破解、搜索、仿真、关联、统计、比对等方式,以进一步发现和提取与案件相关的线索和证据时,可以进行电子数据检查。

也就是说我们做的事情就是对电子数据进行一系列的操作,目的是"发现和提取与案件相关的线索和证据"。

自从 2020 年起,电子数据取证比赛的难度和内容均发生了较大的变化,包括二进制逆向分析(对 Win PE、Linux ELF、Android APK、iOS IPA、MacOS Bundle、HarmonyOS HAP 等的逆向工程)、Web 安全及渗透测试(服务端代码审计、入侵检测、流量分析等)、服务端组件重建(Nginx、Apache、数据库服务、NodeJS Web 应用、Python Web 应用、Java Web 应用、Docker 容器等)在内的比重发生了显著地提升,单纯依靠自动化取证工具就能完成的取证比赛自此一去不复返。

之后的几年间,随着 IoT、机器学习、区块链等技术的发展,电子数据取证比赛也在赛题中添加了例如物联网设备、AIGC 生成内容、加密货币等与时俱进的新类型检材。

学习电子数据取证要做什么准备

准备是两方面的,一方面是设备与工具,另一方面是关于计算机的基础知识。

设备与工具:

一台电脑

需要满足以下要求:

  • 操作系统:Windows 操作系统(x64 架构),大多数商业化取证(分析)软件运行在 Windows 平台上。
  • 内存:16 GB 以上可以比较顺利地进行取证。
  • CPU:没有太多的要求,性能充足就行。
  • GPU:在一些可使用 GPU 加速运算的情况下需要,例如通过 Nvdia 的 CUDA API 加速 HashCat 的哈希爆破。
  • 存储设备:需要大容量的 SSD 硬盘,电脑内置或移动硬盘均可。近几年来比赛的检材容量大多在 200 GB 以上。在 2023 年的“美亚杯”中,甚至出现了约 1 TB 大小的检材。

电脑上需要安装若干软件工具

自动化介质取证软件: 各大软件厂商开发的具有自动分析功能的商业化介质取证软件,在比赛期间可以向部分国内厂商申请试用授权。例如:

  • 弘连网络的“火眼证据分析软件”
  • 美亚柏科的“取证大师”
  • 盘古石的“计算机取证分析系统”
  • Exterro 的“FTK Forensic Toolkit”

目前我校主要使用的是由弘连网络提供的取证系列软件.

另外, 也有一些开源的工具可以使用, 例如:

  • Autopsy3
  • iLEAPP4、ALEAPP5、RLEAPP6 及 VLEAPP7
  • KAPE8

介质取证软件: 不具有自动分析功能的介质取证软件,例如:

  • X-Ways Forensics
  • FTK Imager
  • SysTools E01 Viwer Free/Pro

介质取证

“介质”即存储介质。

通俗地讲,就是对非易失存储设备(硬盘、可移动存储设备、手机等设备的 ROM、光盘等)的取证。

系统仿真工具: 使用镜像创建虚拟机,以达到模拟原始设备运行的目的。例如:

  • 弘连网络的“火眼仿真取证”
  • 盘古石的“计算机仿真系统”

内存取证工具: 用于分析内存镜像、内存转储及 hiberfile 的开源工具:

  • Volatility 2
  • Volatility 3
  • MemProcFS
  • mimikatz

其余工具比较繁杂,包括但不限于:

  • 二进制分析工具
  • 流量分析工具
  • 哈希/口令破解工具
  • 虚拟机软件
  • 各种文件的查看器
  • 用于辅助取证的其它工具

部分工具清单可以在西电 Forensics WiKi 的一些题解中找到,仅供参考。

知识储备

电子数据取证是一个非常狭窄又非常广泛的领域。

说取证狭窄,是因为取证事实上作为一种司法手段存在,尽管电子数据取证与网络空间安全相结合,含义也从原本单纯的司法层面扩展到了技术层面,但其运用场景依然非常局限。根据我认识的一位警校老师所说:“电子数据取证仅是公安院校的网络安全专业中的一个细分方向。”

说取证广泛,是因为取证技术涉及到的知识面相当广泛,包括但不限于操作系统、计算机组成、计算机网络、逆向工程、代码编写在内的诸多知识,虽不需要对这些领域全部熟悉,至少需要了解一些基本知识。

对于西电网信院的同学而言,这些知识大多集中在大一至大二期间的专业课中,并且也开设了“电子数据取证”选修课。

一些相关信息

公开取证比赛信息表

公开的电子数据取证比赛(按照比赛时间顺序排序, 分初赛与决赛的比赛以初赛时间为准)

比赛全称 简称 主办方 初赛时间 决赛时间 线上/线下 线下地点 备注
獬豸杯全国电子数据取证比赛 獬豸杯 警校联合举办 - 2 月 线上 -
平航杯电子数据取证比赛 平航杯 浙江警察学院 - 4 月 线上 -
全国网络空间安全取证大赛 FIC 中国刑事科学技术协会 4 月 6 月 初赛线上,决赛线下 几所警察学校轮换 2026 年线下地点在陕西警察学院
“盘古石杯”全国电子数据取证大赛 盘古石杯 信息网络安全公安部重点实验室等 5 月 6 月 初赛线上,决赛线下 北京,国家会议中心 此处信息为取证技能赛,另设有取证作品赛赛道
“中科实数杯”全国电子数据取证与司法鉴定挑战赛 中科实数杯 中国电子学会、中国网络空间安全协会 - 7 月 线下 几所警察学校轮换
2025年高校网络安全管理运维赛 高校运维赛 中国教育技术协会网络安全专委会 10 月 10 月 初赛线上,决赛线下 上海 此处信息为 2025 年的信息
“龙信杯”电子数据取证大赛 龙信杯 警校联合举办 - 11 月 线上 -
“美亚杯”全国电子数据取证竞赛 美亚杯 全国电子数据取证竞赛组委会等 11 月 11 月 线上 + 线下 福建,厦门,美亚188大楼 线上与线下为不同赛道,证书、奖励等均有区分
“数证杯”电子数据取证分析大赛 数证杯 公安部第三研究所等 11 月 11 月 初赛线上,决赛线下 江苏,连云港 此处信息为 2025 年的信息

已上传题解的往届赛事

  • 2025年 “龙信杯” 第三届电子数据取证大赛
  • 2025年 高校网络安全管理运维赛 电子数据取证赛道
  • 2025年 平航杯电子数据取证比赛
  • 2025年 獬豸杯全国电子数据取证比赛
  • 2025年 “盘古石杯” 第三届全国电子数据取证大赛
  • 2025年 FIC 第五届全国网络空间取证大赛
  • 2024年 “美亚杯” 第十届中国电子数据取证大赛
  • 2024年 “盘古石杯” 第二届全国电子数据取证大赛
  • 2024年 “中科实数杯” 第三届全国电子数据取证与司法鉴定挑战赛
  • 2024年 “龙信杯” 第二届电子数据取证大赛
  • 2023年 “美亚杯” 第九届中国电子数据取证大赛
  • 2023年 “盘古石杯” 第一届全国电子数据取证大赛
  • 2023年 “中科实数杯” 第四届全国电子数据取证与司法鉴定挑战赛
  • 2022年 “长安杯” 第四届电子数据取证竞赛
  • 2022年 “美亚杯” 第八届中国电子数据取证大赛
  • 2021年 “长安杯” 第三届电子数据取证竞赛
  • 2021年 “美亚杯” 第七届中国电子数据取证大赛
  • 2021年 “中科实数杯” 第三届全国电子数据取证与司法鉴定挑战赛
  • 2020年 “长安杯” 第二届电子数据取证竞赛
  • 2020年 “美亚杯” 第六届中国电子数据取证大赛
  • 2019年 “长安杯” 第一届电子数据取证竞赛

国内取证相关公司官网

Join us

校内交流 QQ 群: 857172003 (仅校内同学)

西电电子数据取证实验室地址:西安电子科技大学南校区网安大楼 B 区 221

References

  1. 公安机关办理刑事案件电子数据取证规则 

  2. “两高一部”出台《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》 

  3. Autopsy - Digital Forensics 

  4. abrignoni/iLEAPP: iOS Logs, Events, And Plist Parser 

  5. abrignoni/ALEAPP: Android Logs Events And Protobuf Parser 

  6. abrignoni/RLEAPP: Returns Logs Events And Properties Parser 

  7. abrignoni/VLEAPP: Vehicle Logs Events And Properties Parser 

  8. Kroll Artifact Parser and Extractor - KAPE