负暄闲语 —— 取证一二事

那日,我拾起散落一地的泛黄笔记,未曾想到会从一个尘封已久的盒子里翻出锈迹斑斑的硬盘。我只记得,当时,夕阳满满的打在脸颊上,而眼前的硬盘还在闪闪发光,似乎在述说着一个不可告人的秘密。

连上旁边废置的老旧电脑,硬盘转动的声音吱吱作响,终端的绿色光点在不急不慢的闪烁。然而,里面空无一物,什么都没有。不对,我好像发现了什么......

Clue 1

那个硬盘并不是空无一物,至少我看到了一个名为.clue1的隐藏文件,好像是一个文本文件,打开一看,里面只有一行文字:

軟盤中,殘留著妳該尋找的下個條件

什么软盘?就在我疑惑的片刻,我看到桌子右下角掉落着一个盖满厚厚灰尘的方形软盘,应该就是它了。

缓缓的拾起它,吹落上面的积灰,插入破旧的电脑。听到电脑读取软盘的兹兹声,心里默默窃幸,看来还能用。

看这软盘的古老程度,也许不能再被我们这样折腾了,为了后面不直接对其操作,先创建一个镜像备份吧:

root@toor:~# mkdir evid && cd evid
root@toor:~/evid # dd if=/dev/fd0 of=floppy.dd bs=512
root@toor:~/evid # chmod 444 floppy.dd

弹出软盘后,记录下镜像的hash,便开始挂载咯(记得任何时候都要只读模式挂载):

root@toor:~/evid # sha1sum floppy.dd > sha.floppy
root@toor:~/evid # mkdir /mnt/analysis
root@toor:~/evid # mount -t vfat -o ro,noexec,loop floppy.dd /mnt/analysis
root@toor:~/evid # cd /mnt/analysis
root@toor:/mnt/analysis #

当我ls出目录下的文件的那一刻,心里咯噔一下,时间仿佛停滞在2000年,这么多年间,到底发生了什么?

root@toor:/mnt/analysis # ls -al
total 118
drwxr--r-- 4 root root 7168 Dec 31 1969 .
drwxr-xr-x 13 root root 4096 Dec 21 14:20 ..
drwxr--r-- 3 root root 512 Sep 23 2000 Docs
drwxr--r-- 2 root root 512 Sep 23 2000 Pics
-rwxr--r-- 1 root root 19536 Aug 24 1996 arp.exe
-rwxr--r-- 1 root root 37520 Aug 24 1996 ftp.exe
-r-xr--r-- 1 root root 16161 Sep 21 2000 loveletter.virus
-rwxr--r-- 1 root root 21271 Mar 19 2000 ouch.dat
-rwxr--r-- 1 root root 12384 Aug 2 2000 snoof.gz

树形结构列出所有文件看看:

root@toor:/mnt/analysis # tree
|-- Docs
|    |-- Benchmarks.xls
|    |-- Computer_Build.xml
|    |-- Law.doc
|    |-- Private
|    `-- why hack
|-- Pics
|    |-- C800x600.jpg
|    |-- Stoppie.gif
|    |-- bike2.jpg
|    |-- bike3.jpg
|    |-- matrixs3.jpg
|    `-- mulewheelie.gif
|-- arp.exe
|-- ftp.exe
|-- loveletter.virus
|-- ouch.dat
`-- snoof.gz
3 directories, 15 files

里面好像没有我感兴趣的线索。

例行公事,先对每个文件进行hash并保存到sha.filelist文件中。

root@toor:/mnt/analysis # find . -type f -exec sha1sum {} \; > ~/evid/sha.filelist

以便以后检查文件是否有改动:

root@toor:/mnt/analysis # sha1sum -c ~/evid/sha.filelist

当然,每个文件的文件类型信息也保存一份:

root@toor:/mnt/analysis # find . -type f -exec file {} \; > ~/evid/filetype.list

可恶,他把证据藏在了哪里?难道这里没有吗?不行,我要再仔细找找。

那就对整个镜像来个搜索吧,先把下面的关键字保存到一个文件里。

$50,000
ransom
unleash a virus

哟,有了!

root@toor:~/evid # grep -abif searchlist.txt floppy.dd
75441:you and your entire business ransom.
75500:I have had enough of your mindless corporate piracy and will nolonger stand for it. You will receive another letter next week. Itwill have a single bank account number and bank name. I want you todeposit $50,000 in the account the day you receive the letter.
75767:Don't try anything, and don't contact the cops. If you do, Iwill unleash a virus that will bring down your whole network anddestroy your consumer's confidence.

再用xxd直接查看偏移75441处看16进制数据:

root@toor:~/evid # xxd -s 75441 floppy.dd | less
00126b1: 796f 7520 616e 6420 796f 7572 2065 6e74 you and your end
00126c1: 6972 6520 6275 7369 6e65 7373 2072 616e ire business ran
00126d1: 736f 6d2e 0a0a 5468 6973 2069 7320 6e6f som...This is no
00126e1: 7420 6120 6a6f 6b65 2e0a 0a49 2068 6176 t a joke...I hav
00126f1: 6520 6861 6420 656e 6f75 6768 206f 6620 e had enough of
0012701: 796f 7572 206d 696e 646c 6573 7320 636f your mindless co
0012711: 7270 6f72 6174 6520 7069 7261 6379 2061 rporate piracy a
0012721: 6e64 2077 696c 6c20 6e6f 206c 6f6e 6765 nd will no longe
0012731: 7220 7374 616e 6420 666f 7220 6974 2e20 r stand for it.
<continues>

虽然找到了证据,可是背后还是阵阵发冷。我抬头,窗外的风吹不进来,四周一片寂静,总感觉,事情没有那么简单......

Clue 2

顺着刚才证据一路看下去,一直到偏移0x0012e1a处,第二条线索映入眼帘,果然,这里面还有问题!

圖片,將會邁向下一個開端

图片?我翻遍挂载镜像里面的所有的图片,可是没有一个是可疑的,难道,是我打开的方式不对?这时,一个名叫image_carve.raw的文件引起了我的注意。我的直觉告诉我,因该是这个错不了。

root@toor:~# file image_carve.raw
image_carve.raw: data
root@toor:~# xxd image_carve.raw | less
0000000: 776a 176b 5fd3 9eae 247f 33b3 efbe 8d6a wj.k_...$.3....j
0000010: d3a9 daa0 8eef c199 102f 7eaa 0c68 a908 ........./~..h..
0000020: fca4 7e13 dc6b 17a9 e973 35a0 cfc3 9360 ..~..k...s5....`
0000030: f9c0 a6b9 1476 b268 de0f 94fa a2f4 4705 .....v.h......G.
0000040: 452d 7691 eb4f 2fa7 b31f 328b c07a ce3d E-v..O/...2..z.=
<continues>

奇怪,我只看到一堆杂乱随机的字符数据,这看上去不像是图片数据。

让我再想想,我记得每种文件都有相应的magic number来标记其格式,而JPEG图片文件则是以偏移JFIF六个字节的十六进制ffd8开始,ffd9结束。

这次,结合xxdgrep来搜搜试试看:

root@toor:~# xxd image_carve.raw | grep ffd8
00052a0: b4f1 559c ffd8 ffe0 0010 4a46 4946 0001 ..U.......JFIF..

咦,还真有,我感觉有戏!记下ffd8的位置0x00052a4,转换成十进制为21156

root@toor:~# echo "ibase=16;00052A4" | bc
21156

然后在从偏移21156后面找ffd9

root@toor:~# xxd -s 21156 image_carve.raw | grep ffd9
0006c74: ffd9 d175 650b ce68 4543 0bf5 6705 a73c ...ue..hEC..g..<

因为图片文件包含ffd9,所以结尾的地址0x0006c76。两者相减,得到图片大小:

root@toor:~# echo "ibase=16;0006C76 - 00052A4" | bc
6610

最后就是把图片提取出来惹,这里用的是dd命令,skip为偏移,bs(block size)设置为1字节,然后count就是图片的大小:

root@toor:~# dd if=image_carve.raw of=carv.jpg skip=21156 bs=1 count=6610
6610+0 records in
6610+0 records out
carv.jpg

Clue 3

不出意外的话,第三条线索就是这张图片了,上面刻画着一些奇怪的符号,不过我还是能辨认出一些金文,这是一种大篆体。

监听,注视周围发生的一切

我竖起耳朵,眼睛向四周扫视,没有人,这里只有我一个。我开始感到疑惑,直到我看到了图片右下角一行极小的字,这是什么!

root@able2: ~ # dd if=/dev/sda | nc 192.168.55.20 2525

192.168.55.20,这不是这台电脑的ip吗,难道说,还有另外一台电脑正在向我传送什么数据吗?/dev/sda这不是硬盘数据吗,到底是什么呢?不管怎么说,这里面肯定有我想要找的的答案,先保存下来看看。

root@toor: ~ # nc -l -p 2525 | dd of=~/able2/able2.dd

由于able2.dd是整个sda硬盘的镜像,不能直接挂载,所以先看看其分区结构:

root@toor:~/able2 # sfdisk -l -uS able2.dd
Disk able2.dd: cannot get geometry
...<error messages>
Units = sectors of 512 bytes, counting from 0

Device Boot   Start   End    #sectors Id  System
able2.dd1     57      10259  10203    83  Linux
able2.dd2     10260   112859 102600   83  Linux
able2.dd3     112860  178694 65835    82  Linux swap / Solaris
able2.dd4     178695  675449 496755   83  Linux
able2.dd5     675450  676690 10240    83  Linux

五个分区,好吧,那就依次提取出来:

root@toor:~/able2 # dd if=able2.dd of=able2.part1.dd bs=512 skip=57 count=10203
10203+0 records in
10203+0 records out
root@toor:~/able2 # dd if=able2.dd of=able2.part2.dd bs=512 skip=10260 count=102600
102600+0 records in
102600+0 records out
root@toor:~/able2 # dd if=able2.dd of=able2.part3.dd bs=512 skip=112860 count=65835
65835+0 records in
65835+0 records out
root@toor:~/able2 # dd if=able2.dd of=able2.part4.dd bs=512 skip=178695 count=496755
496755+0 records in
496755+0 records out
root@toor:~/able2 # dd if=able2.dd of=able2.part5.dd bs=512 skip=675450 count=10240
10240+0 records in
10240+0 records out

接下来就是要根据这五个分区来还原文件系统了。我不厌其烦的开始依次挂载每个分区观察其文件目录结构:

root@toor:~/able2 # mount -t ext2 -o ro,loop able2.part1.dd /mnt/analysis/

我偷了个懒,当挂载able2.part2.dd的时候,直接查看fstab文件就知道了。

root@toor:~/able2 # cat /mnt/analysis/etc/fstab
/dev/hda2 /      ext2 defaults 1 1
/dev/hda1 /boot  ext2 defaults 1 2
/dev/hda4 /usr   ext2 defaults 1 2
/dev/hda5 /clue  ext2 defaults 1 2
/dev/hda3 swap   swap defaults 0 0

根据fstab挂载相应的分区到对应的路径下:

root@toor:~/able2 # mount -t ext2 -o ro,loop able2.part2.dd /mnt/analysis/
root@toor:~/able2 # mount -t ext2 -o ro,loop able2.part1.dd /mnt/analysis/boot
root@toor:~/able2 # mount -t ext2 -o ro,loop able2.part4.dd /mnt/analysis/usr
root@toor:~/able2 # mount -t ext2 -o ro,loop able2.part5.dd /mnt/analysis/clue

clue分区已解锁,我cd进去,我知道里面会有什么等着我,这就像是一场噩梦,可我还是必须直面,哪怕头破血流。

Clue 4

没有,什么都没有,一片空白!

clue目录下什么都没有,连隐藏文件的气味都没有,就像虚无一样完全看不到希望,怎么办!

我的第六感告诉我,这里一定哪里不对劲。看来,是时候使用Sleuthkit了,最重要的是,这台古老的电脑居然也安了Sleuthkit

先试了下mmls,这个命令跟之前的sfdisk的作用类似,也能给出镜像的分区信息,只不过更加好用。

root@toor:~/able2 # mmls -t dos able2.dd
DOS Partition Table
Sector: 0
Units are in 512-byte sectors

    Slot  Start      End        Length     Description
00: ----- 0000000000 0000000000 0000000001 Primary Table (#0)
01: ----- 0000000001 0000000056 0000000056 Unallocated
02: 00:00 0000000057 0000010259 0000010203 Linux (0x83)
03: 00:01 0000010260 0000112859 0000102600 Linux (0x83)
04: 00:02 0000112860 0000178694 0000065835 Linux Swap / Solaris
05: 00:03 0000178695 0000675449 0000496755 Linux (0x83)

从之前就已经知道根目录/文件系统在第二分区,从上面可知偏移为000010260,用fsstat查看详细信息:

root@toor:~/able2 # fsstat -o 10260 able2.dd
FILE SYSTEM INFORMATION
--------------------------------------------
File System Type: Ext2
Volume Name:
Volume ID: 906e777080e09488d0116064da18c0c4

Last Written at: Sun Aug 10 14:50:03 2003
Last Checked at: Tue Feb 11 00:20:09 1997

Last Mounted at: Thu Feb 13 02:33:02 1997
Unmounted Improperly
Last mounted on:

Source OS: Linux
Dynamic Structure
InCompat Features: Filetype,
Read Only Compat Features: Sparse Super,

METADATA INFORMATION
--------------------------------------------
Inode Range: 1 - 12881
Root Directory: 2
Free Inodes: 5807

CONTENT INFORMATION
--------------------------------------------
Block Range: 0 - 51299
Block Size: 1024
Reserved Blocks Before Block Groups: 1
<continues>

别浪费时间了,快看看clue文件夹到底怎么了,我心里告诉自己。

事不宜迟,拿出利器flsfls可以列出文件系统上所有的文件和目录:

root@toor:~/able2 # fls -o 10260 able2.dd
d/d 11: lost+found
d/d 3681: boot
d/d 7361: usr
d/d 3682: proc
d/d 7362: var
d/d 5521: tmp
d/d 7363: dev
d/d 9201: etc
d/d 1843: bin
d/d 1844: home
d/d 7368: lib
d/d 7369: met
d/d 7370: opt
d/d 1848: root
d/d 1849: sbin
d/d 8243: clue
r/r 1042: .bash_history
d/d 11105: .001
d/d 12881: $OrphanFiles

-d选项列出文件系统上所有被删掉的文件(已删除的文件会用*标记):

root@toor:~/able2 # fls -o 10260 -Frd able2.dd
r/r * 11120(realloc): var/lib/slocate/slocate.db.tmp
r/r * 10063: var/log/xferlog.5
r/r * 10063: var/lock/makewhatis.lock
r/r * 6613:  var/run/shutdown.pid
r/r * 1046:  var/tmp/rpm-tmp.64655
r/r * 6609(realloc):  var/catman/cat1/rdate.1.gz
r/r * 6613: var/catman/cat1/rdate.1.gz
r/r * 6616: tmp/logrot2V6Q1J
r/r * 2139: dev/ttYZ0/lrkn.tgz
d/r * 10071(realloc): dev/ttYZ0/lrk3
r/r * 6572(realloc):  etc/X11/fs/config-
l/r * 1041(realloc):  etc/rc.d/rc0.d/K83ypbind
l/r * 1042(realloc):  etc/rc.d/rc1.d/K83ypbind
l/r * 6583(realloc):  etc/rc.d/rc2.d/K83ypbind
l/r * 6584(realloc):  etc/rc.d/rc4.d/K83ypbind
l/r * 1044: etc/rc.d/rc5.d/K83ypbind
l/r * 6585(realloc):  etc/rc.d/rc6.d/K83ypbind
r/r * 1044: etc/rc.d/rc.firewall~
r/r * 6544(realloc):  etc/pam.d/passwd-
r/r * 10055(realloc): etc/mtab.tmp
r/r * 10047(realloc): etc/mtab~
r/- * 0:    etc/.inetd.conf.swx
r/r * 2138(realloc):  root/lolit_pics.tar.gz
r/r * 2139: clue/lrkn.tgz
r/r * 1055: $OrphanFiles/OrphanFile-1055
r/r * 1056: $OrphanFiles/OrphanFile-1056
r/r * 1057: $OrphanFiles/OrphanFile-1057
r/r * 2141: $OrphanFiles/OrphanFile-2141
r/r * 2142: $OrphanFiles/OrphanFile-2142
r/r * 2143: $OrphanFiles/OrphanFile-2143
<continues>

果然,clue文件下有一个被删除的文件。不管是什么,看来,我得想办法把它复原出来。

r/r * 2139: clue/lrkn.tgz

clue/lrkn.tgz的inode是2139,于是用istat查看的该inode的详细信息:

root@toor:~/able2 # istat -o 10260 able2.dd 2139
inode: 2139
Not Allocated
Group: 1
Generation Id: 3534950564
uid / gid: 0 / 0
mode: rrw-r--r--
size: 3639016
num of links: 0

Inode Times:
Accessed:       Sun Aug 10 00:18:38 2003
File Modified:  Sun Aug 10 00:08:32 2003
Inode Modified: Sun Aug 10 00:29:58 2003
Deleted:        Sun Aug 10 00:29:58 2003

Direct Blocks:
22811 22812 22813 22814 22815 22816 22817 22818
22819 22820 22821 22822 22824 22825 22826 22827
<snip>...
32233 32234

接下来就是保存该inode指向的block数据,即被删除的文件:

root@toor:~/able2 # icat -o 10260 able2.dd 2139 > lrkn.tgz.2139
root@toor:~/able2 # file lrkn.tgz.2139
lrkn.tgz.2139: gzip compressed data, was "lrkn.tar", from Unix

嗯,没错,是一个gzip的压缩文件。

现在我已非常谨慎,这是种不好的预感。先不解压,看看里面有什么:

root@toor:~/able2 # tar tzvf lrkn.tgz.2139 | less
drwxr-xr-x lp/lp    0 1998-10-01 18:48:18 lrk3/
-rwxr-xr-x lp/lp  742 1998-06-27 11:30:45 lrk3/1
-rw-r--r-- lp/lp  716 1996-11-02 16:38:43 lrk3/MCONFIG
-rw-r--r-- lp/lp 6833 1998-10-03 05:02:15 lrk3/Makefile
-rw-r--r-- lp/lp 6364 1996-12-27 22:01:43 lrk3/README
-rw-r--r-- lp/lp 1732 1995-11-10 23:59:59 lrk3/CLUE5
-rwxr-xr-x lp/lp   90 1998-06-27 12:53:45 lrk3/RUN
drwxr-xr-x lp/lp    0 1998-10-01 18:08:50 lrk3/bin/
<continues>

这是什么鬼,lrk3是一个非常古老的rootkit,我表示对rootkit完全不了解。可是,里面的CLUE5却血腥的刺眼,又是一条可怕的提示,想想就让人不禁寒颤。

root@toor:~/able2 # tar xzvfO lrkn.tgz.2139 lrk3/CLUE5 > CLUE5
lrk3/CLUE5

Clue 5

线索5的陈述依然是那么简单有力让人摸不着头脑。

CYBERNETIK,找尋它身處何處

我默默的想,也许这是在提示我,找到含有关键字CYBERNETIK的文件所在。一想到这里,身体就不由自主的不受控制,开始在终端前机械的操作起来。

第一步对整个镜像文件来个搜索:

root@toor:~/able2 # grep -abi CYBERNETIK able2.dd
10561603: * updated by Cybernetik for linux rootlet
55306929:Cybernetik proudly presents...
55312943:Email: cybernetik@nym.alias.net
55312975:Finger: cybernetik@nym.alias.net
root@toor:~/able2 # xxd -s 10561603 able2.dd | head -n 5
0a12843: 202a 0975 7064 6174 6564 2062 7920 4379 *.updated by Cy
0a12853: 6265 726e 6574 696b 2066 6f72 206c 696e bernetik for lin
0a12863: 7578 2072 6f6f 746b 6974 0a20 2a2f 0a0a ux rootkit. */..
0a12873: 2369 6e63 6c75 6465 203c 7379 732f 7479 #include <sys/ty
0a12883: 7065 732e 683e 0a23 696e 636c 7564 6520 pes.h>.#include

有这个关键字,一种不好的预感涌上心头,我知道,接下来就是找到这个文件并把它提取出来。

根据上面的结果,关键字CYBERNETIK第一次出现在镜像偏移10561603处,之前用fsstat知道了每个扇区的大小是512字节,所以可以计算出位于哪个扇区:

root@toor:~/able2 # echo "10561603/512" | bc
20628

之前用mmls得到该文件所在的分区起始于扇区10260

root@toor:~/able2 # mmls -t dos able2.dd
DOS Partition Table
Sector: 0
Units are in 512-byte sectors

    Slot  Start      End        Length     Description
00: ----- 0000000000 0000000000 0000000001 Primary Table (#0)
01: ----- 0000000001 0000000056 0000000056 Unallocated
02: 00:00 0000000057 0000010259 0000010203 Linux (0x83)
03: 00:01 0000010260 0000112859 0000102600 Linux (0x83)
04: 00:02 0000112860 0000178694 0000065835 Linux Swap / Solaris
05: 00:03 0000178695 0000675449 0000496755 Linux (0x83)

知道关键字在物理硬盘镜像偏移并不能帮我们定位文件,所以两者相减,就得到卷偏移:


通过fsstat知道了Block大小是1024字节,因此,可以计算出关键字位于哪个block:

总体来说,通过以上步骤我们得到了block偏移。


知道了位于哪个块,我不由得舒了一口气,我知道,接下来的就容易的很多了。先用ifind找到哪个inode指向的是数据块5148:

root@toor:~/able2 # ifind -o 10260 -f ext -d 5184 able2.dd
10090

欧耶,乘胜追击,直接将该inode指向的文件数据输出出来:

root@toor:~/able2 # icat -r -o 10260 -f ext able2.dd 10090 | less
/*
 *  fixer.c
 *  by Idefix
 *  inspired on sum.c and SaintStat 2.0
 *  updated by Cybernetik for linux rootlet
 */
#include <sys/types.h>
#include <sys/stat.h>
#include <sys/time.h>
#include <stdio.h>
#include <clue6.h>
/* 
  C.L.U.E.6:
  答案,遺失在交換數據流裡
 */

main (argc,argue)
int argh;
char **argv;
<continues>

回过头来再看看,我怎么没想到,不需要这么麻烦,还有更简单的方法,只需用到blklsblkcalc就可以轻松得到block位置了。

Clue 6

相必已看到,第六条线索不出意料的就在刚才文件的注释里:

答案,遺失在交換數據流裡

交换数据流,我想,应该指的是NTFS文件系统里的ADS特性。可当前的明明是EXT2文件系统,咦,不对,我好像看见了一个ntfs.dd的文件!难道是这个?也没有其它办法了,姑且一试吧。

二话不说先挂载,列出所有文件:

root@toor:~/ntfs_pract # mount -t ntfs -o ro,loop,offset=30208 ntfs.dd /mnt/analysis/
root@toor:~/ntfs_pract # cd /mnt/analysis/
root@toor:~/analysis # find . -type f
./Cookies/buckyball@as-eu.falkag[2].txt./Cookies/buckyball@2o7[1].txt
./Cookies/buckyball@ad.yieldmanager[1].txt
./Cookies/buckyball@specificclick[1].txt
./Cookies/buckyball@store.makezine[1].txt
./Cookies/buckyball@store.yahoo[2].txt
... [content removed]
./Favorites/2600 The Hacker Quarterly.url
... [content removed]
./My Documents/My Pictures/Tails/GemoTailG4.jpg
./My Documents/signatures.pdf
./My Documents/ULTIMATEJOURNEYDK.wmv
./My Documents/Webstuff/bandit2.jpg
./My Documents/Webstuff/m2_flat_CF.jpg
./My Documents/Webstuff/service1.jpg
./My Documents/Webstuff/Thumbs.db
./NTUSER.DAT
./SVstunts.avi

貌似没有什么异常,可以我心里总觉得这个avi文件十分可疑,可能是男人的直觉吧。线索提示既然是ADS,那这回换个方式查看,直接看镜像文件。

首先查看分区:

root@toor:~/ntfs_pract # mmls ntfs.dd
DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors

    Slot  Start      End        Length     Description
00: ----- 0000000000 0000000000 0000000001 Primary Table (#0)
01: ----- 0000000001 0000000058 0000000058 Unallocated
02: 00:00 0000000059 0001023059 0001023001 NTFS (0x07)
03: ----- 0001023060 0001023999 0000000940 Unallocated

得知NTFS分区的偏移是59,然后用fls列出所有文件:

root@toor:~/ntfs_pract # fls -Fr -o 59 -f ntfs ntfs.dd

r/r 4-128-4: $AttrDef
r/r 8-128-2: $BadClus
r/r 8-128-1: $BadClus:$Bad
r/r 6-128-1: $Bitmap
...
r/r 0-128-1: $MFT
r/r 1-128-1: $MFTMirr
r/r 9-128-8: $Secure:$SDS
...
r/r * 42-128-1: Cookies/buckyball@revsci[2].txt
r/r * 43-128-1: Cookies/buckyball@search.msn[1].txt
r/r * 44-128-1: Cookies/buckyball@slashdot[1].txt
...
r/r 128-128-3:   My Documents/My Pictures/Thumbs.db
r/r 128-128-4:   My Documents/My Pictures/Thumbs.db:encrypt able
r/r * 112-128-4: My Documents/My Pictures/bandit-streetortrack2005056.jpg
r/r * 116-128-4: My Documents/My Pictures/fighterama2005-ban4.jpg
r/r 129-128-4:   My Documents/Osuny Articles courtesy of BIOC Agent.doc
r/r 130-128-4:   My Documents/signatures.pdf
r/r 131-128-4:   My Documents/ULTIMATEJOURNEYDK.wmv
r/r 133-128-3:   My Documents/Webstuff/bandit2.jpg
r/r 134-128-4:   My Documents/Webstuff/m2_flat_CF.jpg
r/r 135-128-3:   My Documents/Webstuff/service1.jpg
r/r 136-128-3:   My Documents/Webstuff/Thumbs.db
r/r * 81-128-4:  My Documents/direct_attacks.doc
r/r 138-128-3: NTUSER.DAT
r/r 137-128-3: SVstunts.avi
r/r 137-128-4: SVstunts.avi:walkingdead.txt

可以看到,这个avi文件有两个入口,第二个就是隐藏在ADS里的文本文件。

明明知道等待着我的会是什么,可我还是忍不住打开这个文件:

root@toor:~/ntfs_pract # icat -o 59 -f ntfs ntfs.dd 137-128-4

              ___           _,.---,---.,_
              |         ,;~'             '~;,
              |       ,;                     ;,
     Frontal  |      ;                         ; ,--- Supraorbital Foramen
      Bone    |     ,'                         /'
              |    ,;                        /' ;,
              |    ; ;      .           . <-'  ; |
              |__  | ;   ______       ______   ;<----- Coronal Suture
             ___   |  '/~"     ~" . "~     "~\'  |
             |     |  ~  ,-~~~^~, | ,~^~~~-,  ~  |
   Maxilla,  |      |   |        }:{        | <------ Orbit
  Nasal and  |      |   l       / | \       !   |
  Zygomatic  |      .~  (__,.--" .^. "--.,__)  ~.
    Bones    |      |    ----;' / | \ `;-<--------- Infraorbital Foramen
             |__     \__.       \/^\/       .__/
                ___   V| \                 / |V <--- Mastoid Process
                |      | |T~\___!___!___/~T| |
                |      | |`IIII_I_I_I_IIII'| |
       Mandible |      |  \,III I I I III,/  |
                |       \   `~~~~~~~~~~'    /
                |         \   .       . <-x---- Mental Foramen
                |__         \.    ^    ./
                              ^~~~^~~~^       -dcau (4/15/95)
> 
De profundis clamo ad te domine.
...
I see dead people.

De profundis clamo ad te domine,我疑惑地呢喃着。突然,眼前一黑,好像有什么硬物砸在了我的头上,我重重的倒在地上。意识在渐渐失去,可我貌似看到了什么......

月光诡异的从窗外倾洒进来,我缓缓地睁开眼,头疼的几乎将要炸裂。电脑屏幕上的绿色字符冷冷的闪烁跳动,我吃力的站起来。不行,我要赶快删掉这个文件,不能再被人发现它的存在,我知道它的可怕。

直接删掉这个镜像文件,我要抹去它的存在。幸好,我手上现在掌握着几种这台老式电脑上能用的删除文件的法术。

rm -rf /
find / -type f -delete
rsync -a –delete empty/ /

我知道,不能用rmrm太危险,一旦被复原,后果不堪设想。find也一样,至于rsync,这个不熟悉,我不能冒着这样的风险。

直接格盘吧,不行,不能搞这么大的动静,我只想静静的删除文件。

dd if=/dev/zero of=/dev/hd*

shred,没错,我怎么没想到这个,还有这个可以用。shred会用随机内容覆盖文件所在的节点和数据块,并删除文件,就是它了。

root@toor:~/ntfs_pract # shred -u ntfs.dd

fls检查下,并没有出现,至少,现在可以舒一口气了。此时,乌云遮住了月亮,我知道,故事到这里就结束了。

本文为阅书有感而作,一本是来自LinuxLeo网站提供的Linux取证入门的书;一本是来自Brain Carrier的经典的File System Forensic Analysis;一本是CFTT项目测试各种取证工具并总结的取证工具handbook大全(2015版)。你可以在这里获取这三本书。

其中示例及所用镜像文件均来自书中,愿各位亲自尝试体验其中的乐趣。
本人已整理打包,下载地址:http://pan.baidu.com/s/1ogLXW

成文仓促,文辞粗浅,仅资一娱,诸君见谅。
微信公共号:urinx,望关注。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 151,511评论 1 330
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 64,495评论 1 273
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 101,595评论 0 225
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 42,558评论 0 190
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 50,715评论 3 270
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 39,672评论 1 192
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,112评论 2 291
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 29,837评论 0 181
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 33,417评论 0 228
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 29,928评论 2 232
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 31,316评论 1 242
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 27,773评论 2 234
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 32,253评论 3 220
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 25,827评论 0 8
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,440评论 0 180
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 34,523评论 2 249
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 34,583评论 2 249

推荐阅读更多精彩内容

  • Ubuntu的发音 Ubuntu,源于非洲祖鲁人和科萨人的语言,发作 oo-boon-too 的音。了解发音是有意...
    萤火虫de梦阅读 98,290评论 9 468
  • 转载自:http://blog.csdn.net/hguisu/article/details/6122513原作...
    miaoiao阅读 1,462评论 0 7
  • Linux系统一般有4个主要部分:内核、shell、文件系统和应用程序。 内核、shell和文件系统一起形成了基本...
    请爱护小动物阅读 2,502评论 0 22
  • 我是一只黑白相间的猫,生活在时时刻刻都熙熙攘攘的城镇里。你大可以叫我花猫,我会用明亮的眼神注视你,并温柔的叫一声“...
    童歆阅读 380评论 0 0
  • “我晚上下面给你吃,”这是我朋友说的,我们刚游完泳,大家都很饿,坐在车上家了 到了家,我说:“我们该怎...
    常曜倬阅读 241评论 0 0