Cyber Triage 3.11 for Windows - 数字取证和事件响应

Cyber Triage 3.11 for Windows - 数字取证和事件响应

Digital Forensics Specialized For Incident Response

请访问原文链接：https://sysin.org/blog/cybertriage-3/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

---

唯一专门用于事件响应的数字取证工具
快速、准确和简单地完成入侵调查

新增功能

访问更多！BitLocker、新的文件资源管理器和导出所有文件（3.11 版本）

2024 年 6 月 24 日

Cyber Triage 3.11 已经发布，主题是 “更多访问”，特别关注磁盘映像。Cyber Triage 可以从实时系统、其他 DFIR 收集器和完整磁盘映像（或虚拟机）导入数据。此版本具有一些长期要求的功能，用于访问更多磁盘映像数据和导出更多数据。

• 解密 BitLocker
• 能够从磁盘映像中读取所有文件
• 扩展的文件资源管理器视图
• 导出所有文件

解密 BitLocker 磁盘映像

Cyber Triage 现在可以解密 BitLocker 磁盘映像，而无需第三方安装工具。BitLocker 越来越常见，即使其密码以明文形式存储在驱动器上，称为明文密钥。

我们在 The Sleuth Kit 中添加了对识别和解密 BitLocker 的支持。虽然此功能的 Cyber Triage 使用现已推出，但我们将在今年夏天发布具有相同功能的新 Sleuth Kit 和 Autopsy。

要使用此功能，只需：

• 将 Cyber Triage 指向磁盘映像（与以前的版本一样）
• Cyber Triage 将检测到它具有 BitLocker 加密并尝试查找明文密钥
• 如果需要密码或恢复密钥，Cyber Triage 将提示您输入

Cyber Triage 将存储密码，以便将来随着调查的进行可以继续访问该驱动器。

访问磁盘映像中的任何文件

3.11 中的第二个磁盘映像相关功能是关于在导入磁盘映像时能够访问所有文件。从历史上看，您可以轻松访问属于分类集合的 “优先级” 文件，例如启动项的可执行文件或最近的 Web 下载。现在，如果磁盘映像仍然可用，您可以访问任何文件。

有关此行为存在原因的一些上下文，Cyber Triage 将磁盘映像视为类似于实时主机。为了快速处理图像，它专注于它认为与入侵最相关的数据。它将从磁盘映像中提取关键可执行文件的副本，并将它们存储在 Cyber Triage 文件夹中（就像对实时系统所做的那样）。

在 3.11 之前，如果您想对磁盘映像进行更深入的调查，您可能会在 “文件内容状态” 上看到 “未尝试” 消息，例如非优先级文件：

在 3.11 中，Cyber Triage 将转到磁盘映像以访问这些文件，而 “项目详细信息” 面板将显示“可用”：

然后，您可以导出此文件或在 “Strings” 查看器中查看内容。

扩展的文件资源管理器视图

Cyber Triage 一直具有基本的文件资源管理器视图。我们的首要任务始终是确保您可以轻松访问这些工件。但是，随着 Cyber Triage 已经超越了一种分类工具，我们收到了更多要求，希望让文件导航更轻松。

3.11 有三项更改，以便您更轻松地查看系统上的其他文件：

• 当您选择 “文件” 时，我们将向您显示文件资源管理器，而不仅仅是可疑文件
• 左侧有一个树面板，显示目录
• 目录中显示了更多列

这些更改与对所有磁盘映像文件的访问相结合，意味着可以在 Cyber Triage 中执行更深入的调查。

导出所有收集的文件

最后一个经常请求的功能是，您现在可以使用新的报表模块导出所有收集的文件。此功能的主要用例是能够使用除 Cyber Triage 之外的其他工具进行分析。

此请求的一个来源来自希望使用 Cyber Triage Collector 以确保他们从实时系统获取尽可能多的文件的人。自适应 Cyber Triage Collector 将解析注册表配置单元和其他文件，以超越要收集的静态文件列表。它还将收集构件引用的可执行文件和其他文件。

但是，Collector 的输出是并非所有其他工具都支持的 JSON 文件。使用此功能，您可以使用 Collector 进行采集，然后选择新的 “All Collected Files in a ZIP”（所有 ZIP 中收集的文件）报告模块。

这将为您创建一个 ZIP 文件，其中包含所有数千个收集的文件。

导出完成后，您将拥有导出文件的完整文件夹结构。

但请小心提取此文件夹，因为它可能包含恶意软件，并且某些 ZIP 提取工具不能很好地处理长文件路径（例如默认的 Windows 提取器）。

下载地址

Cyber Triage 3.11 Release - Access More! BitLocker, new File Explorer, and Export All Files
June 24, 2024

• 下载地址：https://sysin.org/blog/cybertriage-3/

更多：HTTP 协议与安全