北亚电子数据取证能力训练系统开发成功,启动北亚电子数据取证能力训练计划
最新动态来源:点击数:2826更新时间:2020/5/18
历经半年艰苦开发,北亚电子数据取证能力训练系统终于开始内测交付了,我们希望将十多年积累的技术能力逐步转化到能力训练系统上,将无形的技术力转化为有形的辅助系统。
本训练系统后台由一套定制开发的私有云系统做支撑,简化管理模式,优化训练主机的管理和资源消耗,使一台普通的X86 Server可支持上百个终端同时在线训练。
其设计特点大致有:
1、 B/S架构,前端可以运行在包括电脑、平板、手机在内的浏览器上,无需安装app、应用程序或插件。
2、 可部署在公网环境,也可部署在局域网环境,支持身份验证和权限管理。
3、 训练案例按大类分,目前已有FCDA(数据恢复工程师级别训练)、数据库、虚拟化、ZFS、手机检验、服务器检验。每个大类包括十几到几十个不等的训练案例。所用案例均随机化产生,训练、考试均开发有多套随机案例。
4、 操作界面在不同的案例中各有不同,多数为虚拟桌面(windows或linux),也有webhex(网页内嵌的十六进制编辑器)、webssh(网页内嵌的ssh终端)或其他适合练习的交互界面。
5、 每个练习案例均提供参考答案、答案解析,以及逐步补充的每个练习的视频讲解。
6、 每个用户、每个案例的训练系统均经过精心优化,可实现5秒内开机、关机、环境重置等操作,可在网页中实现开机、关机、重启、环境重置等操作。未来版本将实现自动预测性开机、自动关机,实现用户无感知式环境准备。
7、 每个训练案例均来源于真实环境模拟,但经过精心设计与改造,实现精确的训练路线,规避解决方式多路径、难易程度差异大、真实案例太耗时等弊端。也为考核提升了统一尺度和公平性。
典型的案例有:
1) 给定一个手机镜像,找出删除的某微信记录。
2) 给定一个计算机镜像,分析其IP地址、最后操作命令、插入U盘的时间、U盘的uuid等。
3) 给定5个RAID5的磁盘镜像,分析其RAID起始扇区、盘序、块大小、校验方式、离线盘,恢复指定文件。
4) 恢复某个被删除的文件。(分为手工恢复和软件恢复,删除的文件均由2~3个碎片组成,且手工寻址定位的复杂度均在10~20次之间)。
5) 给定某个数据库,通过查询语句得到预期结果。
6) 给定某个数据库,手工提取现存及删除记录。
7) 给定某个数据库,根据日志信息,还原操作记录。
8) 给定某个网站,配置并挂起网站后,找到页面上的某些信息。
9) 给定某个系统源码,编译配置并解释另一给定的数据集。
……
视频示例:
案例:如何重组一个5块盘的RAID5点击此处查看视频示例
摘要:已知5个500M的磁盘镜像,这5个镜像原本是一个raid5卷,由于硬盘相继掉线导致raid5阵列不可用。原raid5的起始位置、盘序、块大小、校验方式等均为未知条件。现在要求我们从这5个镜像文件中分析raid阵列信息,从而重组raid阵列,恢复题目中指定的那个文件并计算HASH值。
数据恢复过程:
1. 用winhex打开这5个镜像文件,并把每一个磁盘文件转换为磁盘格式,以便分析raid信息。
2. 依次在打开的文件中查找raid阵列的起始位置,我们的常用方法是在文件中查询“55AA”标志,如果内容较多的话我们可以直接查询“0055AA”。查询到这个起始位置后记录相应的扇区位置。在本案例中这个扇区位置为“3944 4-3 mbr”
3. 分析块大小,我们随便在某一块硬盘中查询一下file,根据奇数盘的规律,我们一直向下查找,直到出现file断开的地方,那么这一段的数据就是本次raid的条带间隔。那么在本次案例中我们通过查询得出raid的块大小为256k。
4. 分析到块大小后,我们将所有的磁盘全部跳转到第一个记录块的位置,记录块的分布规则并调整顺序。本例中得到的位置信息为3—2—1—5—4:
5. 按照我们分析出来的这个盘序信息使用winhex重组raid阵列,重组时硬盘顺序为3—2—1—5—4;起始位置都是3944,条带大小为512扇区。
6. 重组raid后解释NTFS文件系统,我们可以看到阵列中的数据。我们对文件进行验证即可。如果验证失败,需要将raid阵列中的硬盘依次进行缺盘处理,直道验证通过。经过验证,缺失第3块硬盘是正确的重组方式。提取题目要求的文件即可。
北京北亚数据恢复中心:4006505646