编者按
搞过取证的应该想得到,当我们要对一个目标进行关键信息检索的时候,“傻瓜式”的操作,是没有办法应对
加密压缩文件
的,有时候需要提前把这些加密压缩文件过滤出来单独处理。
本文作者:
王伟,湖北省公安县公安局网安大队副大队长。
“
先森
”在《黑客入侵服务器修改考试成绩的取证和分析纪实》一文中,以靶场环境设置在General_log开启的情况下使用纯手工方式完整的追踪和定位了“黑客”的行为痕迹。
整个过程遵循电子取证规范,是一篇较为符合现实的电子取证实例。
文章步骤5
中,提示用编程的方法遍历加密压缩包,文章对这一部分存在删减。笔者决定作为练习,编写程序遍历后缀为”rar”“zip”的文件,分辨带有加密位的压缩包。
前
提环境准备
由于靶场环境下Python缺乏rarfile包,需要手工导入,Linux需要自己手动编译生成so文件。
1.首先在python中pip install unrar安装rarfile,然后去下载源文件,不过这就不像Win那样给你封装好了,你需要下载的是源代码:
http://www.rarlab.com/rar/unrarsrc-5.4.5.tar.gz
也就是RARLab官网下载列表中的 UnRAR Source,可以下载到最新版本。
2. 下载完后解压,得到unrar目录,cd unrar 后,使用 make lib 命令将会自动编译库文件,哗啦啦编译完成后,再使用 make install-lib 命令产生 libunrar.so 文件(一般在 /usr/lib 目录下面);
3. 最后,你仍然需要设置Linux系统的环境变量,找到 /etc 目录下的 profile 文件,当然你可以直接使用 vim /etc/profile 命令来编辑,在 profile 文件末尾加上
export UNRAR_LIB_PATH=/usr/lib/libunrar.so ,
别把我这句话的逗号加进去了。
成功保存后再使用 source /etc/profile 命令使变量生效。
编写查找py脚本
#!/usr/bin/env python
#_*_coding=utf-8_*_
import
os, sys
import
zipfile
import
gzip
from
unrar
import
rarfile
def
is_Encrypted
(file):
#是否为加密文档
Suffix = os.path.splitext(file)[1]
if
Suffix == "
.zip
":
z = zipfile.ZipFile(file, '
r
')
for
i
in
z.infolist():
if
i.flag_bits & 0x01:
print
("
****** 该文件是加密文档!******
")
elif
Suffix == "
.rar
":
z = rarfile.RarFile(file, '
r
')
for
i
in
z.infolist():
if
i.flag_bits & 0x04: #0x04 文件使用密码加密
print
("
****** 该文件是加密文档!******
")
def
fun
(path):
#当前工作路径
Const_File_Format = ["
.zip
"
,
"
.rar
"]
#需要筛出来的文件后缀
if
os.path.splitext(path)[1]
in
Const_File_Format:
print
('
[!]
' + path)
is_Encrypted(path)
def
search
(root, target):
#搜索当前目录下的文件
items = os.listdir(root)
for
item in items:
path = os.path.join(root, item)
if
os.path.isdir(path):
None
#小编真心不推荐使用递归,不过此处也没有更好的办法
search(path, target)
