ZStack实践汇｜使用Live U对云主机进行数据取证

一

背景

Kali Linux是一个知名度非常高的网络安全测试操作系统，它包含需要安全专业人员需要的专业程序，供安全研究人员使用。在“Kali Linux Live”模式下，它为用户提供了一个“取证模式”，而这个模式主要用于数字取证。只需要制作一个USB Live Kali就可以使用这种模式，该模式下，集成了许多数据取证软件，足够满足各种取证场景。

在云计算场景中，如果遭遇了网络安全事件，如何利用Kali Linux进行数字取证，维护合法权益呢？ZStack提供了非常方便的USB重定向功能，可以轻松搞定数据取证！

使用Kali Linux取证模式，首先需要制作一个USB Live Kali。

可以参考官方指南。（https://www.kali.org/docs/usb/kali-linux-live-usb-install/）

二

装备工作

1、制作USB Live

装备一个大于4G的U盘。

前往Kali Linux (https://www.kali.org/downloads/)官方网站下载最新的LIVE ISO文件。

以Window平台为例，下载官方推荐使用Etcher工具(https://www.balena.io/etcher/)，并安装。

打开Etcher软件，选择Kali Linux ISO文件和U盘，进行Flash。

2、启动USB Live

将制作好的U盘插入服务器的USB接口。

将需要取证的云主机关闭，然后在云主机操作页面中打开USB重定向。

3、在云主机配置页面选择USB设备，并点击加载USB设备，并以直连的方式加载Kali Linux Live U盘。

4、启动云主机，打开控制台，在云主机启动的过程中点击控制台右上角的“Send CtrlAltDel”键， 然后再云主机重启过程中按下键盘“Esc”键，进入启动菜单，并选中从USB启动。

5、在弹出的Kali Linux的启动界面中选择Live（forensic mode)取证模式，该模式包含取证所需的工具和软件包。在本文中，我们将了解如何使用Live（取证模式）组织数字取证过程。

三

数字取证

1、硬盘克隆

通常不会直接对硬盘数据，或数据备份文件对进行取证调查，正确的方法是对硬盘上数据进行逐位拷贝，再对备份文件进行分析。在KaliLinux系统上，提供了一个强大的硬盘拷贝工具：GUYMAGER。

1.启动GUYMAGER，在终端中输入以下命令进行启动：

kali@kali:~$sudoguymager

2.右键需要克隆的分区，并选择克隆。

选择克隆的路径，并确认勾选MD5选项，因此才能保证镜像的完整性不被置疑，然后并进行克隆。

值得注意的是，在一般Live U模式下，数据是无法写入的。那么这里就有两种方案，第一种是将Live U分区持久化，然后就可以将数据写入。第二种是在云主机上在挂载一块云盘，然后进行分区，再将数据写入。

2、数据分析

在数据取证过程中，一个最为通用分析工具就是Autopsy。在国际上，Autopsy被军方和不同执法机构广泛使用。Autopsy作为一个开源工具，整合了非常多的数字取证功能，比如字符串提取，文件恢复，时间轴分析，Chrome，Firefox等浏览历史分析，并且整个操作过程是基于浏览器的。

启动在Autopsy，在命令行中执行以下命令：

kali@kali:~$ sudo autopsy

打开浏览器，并输入以下地址：

http://localhost:9999/autopsy

通过New Case，我们就能打开我们克隆的硬盘镜像文件，对文件进行恢复，搜索等一系列操作。

3、其它工具

在Kali Linux中，还集成了其它许多强大的数字取证工具，在这里对一些工具做一个简单的介绍，大家可以根据自己的需求对工具进行选择使用以及学习。

四

参考文献

https://www.kali.org/docs/usb/kali-linux-live-usb-install/

http://sleuthkit.org/autopsy/docs/user-docs/4.16.0/

https://linuxhint.com/kali_linux_top_forensic_tools/

https://linuxhint.com/kali_linux_top_forensic_tools_2020_part_2/

- END -