2022长安杯电子取证:3类服务器镜像(Linux/Windows/WSL)关联分析与实战复现

发布时间:2026/7/11 11:19:30
2022长安杯电子取证:3类服务器镜像(Linux/Windows/WSL)关联分析与实战复现 2022长安杯电子取证三检材关联分析与攻击链重构实战指南案件背景与检材特性分析某虚拟货币交易平台涉嫌诈骗案件调查中取证人员获取了三类关键检材Linux服务器镜像检材1、Windows技术员主机镜像检材2以及WSL子系统环境检材2内嵌。这三个异构环境构成了完整的犯罪证据链检材1CentOS 7.5系统运行交易所前端端口3000与后台管理系统端口9090IP 172.16.80.133检材2Windows 10主机IP 172.16.80.100用于远程管理检材1和检材3检材3MySQL数据库服务器IP 172.16.80.128通过33050端口提供服务关键发现技术员通过Web King账户密码135790操作Windows主机在WSL Ubuntu-20.04子系统中运行MySQL 8.0.30服务初始密码ZdQfi7vaXjHZs75M1. 多检材关联分析方法论1.1 网络拓扑重构技术通过交叉分析三台主机的网络配置与连接记录可绘制攻击路径图节点IP地址角色关联证据技术员主机172.16.80.100攻击跳板Xshell保存的会话记录交易网站172.16.80.133诈骗平台前端nohup.out日志文件数据库服务器172.16.80.128数据存储MySQL连接日志关联操作示范# 在检材1中分析SSH登录记录 grep Accepted /var/log/secure* | grep 172.16.80.100 # 在检材2中验证Xshell连接历史 strings NTUSER.DAT | grep -A 5 SessionInfo1.2 账号体系关联分析犯罪团伙在不同系统中使用相同认证信息网站后台root/rootChrome保存的密码数据库root/shhl7001检材1的application.properties配置服务器SSHroot/h123456WSL中的历史命令记录取证技巧使用Elcomsoft Forensic Disk Decryptor破解浏览器保存的密码缓存2. 关键证据提取实战2.1 Linux服务器取证要点网站架构分析前端框架Vue.js/www/app目录后端服务Spring Bootcloud.jar监听7000端口加密方式MD5加盐盐值XehGyeyrVgOV4P8Uf70REVpIw3iVNwNs操作记录提取# 查看历史命令 cat /root/.bash_history # 分析进程开放端口 netstat -tulnp | grep java2.2 Windows主机取证重点数字痕迹PowerShell历史%USERPROFILE%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt浏览器记录下载记录ZTuoExchange_framework-master.zip访问URLhttps://pan.forensix.cn/f/c45ca511c7f2469090ad/?dl1APK下载WSL取证流程定位子系统镜像%USERPROFILE%\AppData\Local\Packages\Canonical...提取MySQL配置grep -r debian-sys-maint /etc/mysql/2.3 数据库证据固定MySQL关键表-- 查询用户交易记录 SELECT * FROM b1.transaction_log WHERE create_time 2022-10-01; -- 恢复删除数据 mysqlbinlog /var/log/mysql/mysql-bin.000001 | grep -B 5 -A 5 DELETE数据篡改痕迹28条用户记录被删除3个用户手机号被修改交易总额异常408228 USDT3. 攻击链重构技术3.1 攻击时序重建初始入侵通过SSH密钥连接数据库服务器检材3横向移动从检材3跳转到检材1172.16.80.133持久化部署cloud.jar后门程序数据窃取修改用户表(admin)密码为MD5(root盐值)证据链闭环WSL中的mysql-client连接记录与检材1的数据库操作日志时间戳匹配3.2 网站重构步骤环境准备# 启动MySQL容器 docker run -p 33050:3306 -e MYSQL_ROOT_PASSWORDshhl7001 -d mysql:5.7 # 导入数据库备份 mysql -h 172.16.80.128 -u root -p b1 /tmp/b1_backup.sql服务启动清单- 前端服务npm run dev (端口3000) - 后端服务 * nohup java -jar cloud.jar cloud.log 21 * nohup java -jar admin-api.jar admin.log 21 - 数据库mysqld_safe --skip-grant-tables 4. 进阶取证技巧4.1 内存取证扩展使用Volatility分析Windows内存转储volatility -f MEMORY.DMP pslist | grep -i xshell volatility -f MEMORY.DMP netscanLiME工具提取Linux内存insmod lime-4.15.0-112-generic.ko path/tmp/memdump.lime formatlime4.2 时间轴分析技术多系统时间同步验证提取Windows事件日志Event ID 4616分析Linux的/var/log/secure日志对比MySQL的slow_query_log时间戳时间轴工具链from datetime import datetime import pandas as pd # 合并多源时间数据 windows_logs pd.read_csv(win_events.csv) linux_logs pd.read_csv(auth.log, sep\t) merged_timeline pd.concat([windows_logs, linux_logs]).sort_values(timestamp)4.3 自动化关联脚本IP关联分析脚本import re from collections import defaultdict ip_map defaultdict(list) def parse_log(file): with open(file) as f: for line in f: ips re.findall(r\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}, line) for ip in ips: ip_map[ip].append((file, line.strip())) parse_log(/var/log/secure) parse_log(ConsoleHost_history.txt) print(ip_map[172.16.80.128])5. 电子取证报告规范5.1 证据清单标准格式证据编号来源类型哈希值关联案件点E-001检材1JAR文件9E48BB2CAE5C1D93BAF572E3646D2ECD后门程序E-002检材2数据库备份8dcf2f71482bb492b546eec746c714be用户数据篡改5.2 攻击流程图解graph TD A[技术员主机] --|SSH密钥| B[数据库服务器] B --|MySQL客户端| C[交易平台服务器] C --|API调用| B D[受害者] --|访问| C6. 疑难问题解决方案WSL取证常见问题权限不足通过wsl -u root进入特权模式服务未启动service mysql start journalctl -u mysql -f文件系统损坏使用fsck.ext4修复ext4镜像Windows取证陷阱浏览器缓存伪造验证LastWriteTime与$STANDARD_INFORMATION时间戳篡改对比$FILENAME与$LOGGED_UTILITY_STREAM7. 工具链推荐多平台分析套件基础工具Autopsy The Sleuth KitFTK Imager高级分析Wireshark网络流量JD-GUIJAR反编译定制脚本Python Libyal专有格式解析性能优化技巧# 并行处理大日志文件 grep -r 172.16.80 /var/log/ | parallel -j 4 gzip {}