极客教程Python数字网络取证
本章将解释使用Python进行网络取证所涉及的基础知识。
了解网络取证
网络取证是数字取证的一个分支,涉及对计算机网络流量的监测和分析,包括本地和WAN(广域网),目的是收集信息、收集证据或探测入侵。网络取证在调查数字犯罪,如盗窃知识产权或泄漏信息方面发挥着关键作用。网络通信的图片可以帮助调查员解决一些关键问题,具体如下
- 哪些网站被访问过?
-
什么样的内容被上传至我们的网络?
-
从我们的网络上下载了什么样的内容?
-
哪些服务器正在被访问?
-
是否有人在公司防火墙之外发送敏感信息?
互联网证据搜索器(IEF)
IEF是一个数字取证工具,用于寻找、分析和展示在不同数字媒体上发现的数字证据,如电脑、智能手机、平板电脑等。它非常受欢迎,被成千上万的法医专业人士使用。
IEF的使用
由于其受欢迎程度,IEF在很大程度上被法医专业人士使用。IEF的一些用途如下
- 由于其强大的搜索功能,它被用来同时搜索多个文件或数据媒体。
-
它还被用来通过新的雕刻技术从RAM的未分配空间恢复被删除的数据。
-
如果调查人员想按网页打开日期的原始格式重建网页,那么他们可以使用IEF。
-
它也被用来搜索逻辑或物理磁盘卷。
使用Python将报告从IEF转储到CSV
IEF在SQLite数据库中存储数据,下面的Python脚本将动态地识别IEF数据库中的结果表,并将它们转储到各自的CSV文件中。
这个过程是按以下步骤完成的
- 首先,生成IEF结果数据库,它将是一个以.db结尾的SQLite数据库文件。
-
然后,查询该数据库以确定所有的表。
-
最后,将这些结果表写到一个单独的CSV文件中。
Python代码
让我们看看如何使用Python代码来达到这个目的–
对于Python脚本,导入必要的库,如下所示
from __future__ import print_function
import argparse
import csv
import os
import sqlite3
import sys
现在,我们需要提供IEF数据库文件的路径。
if __name__ == '__main__':
parser = argparse.ArgumentParser('IEF to CSV')
parser.add_argument("IEF_DATABASE", help="Input IEF database")
parser.add_argument("OUTPUT_DIR", help="Output DIR")
args = parser.parse_args()
现在,我们将确认IEF数据库的存在,如下所示
if not os.path.exists(args.OUTPUT_DIR):
os.makedirs(args.OUTPUT_DIR)
if os.path.exists(args.IEF_DATABASE) and \ os.path.isfile(args.IEF_DATABASE):
main(args.IEF_DATABASE, args.OUTPUT_DIR)
else:
print("[-] Supplied input file {} does not exist or is not a " "file".format(args.IEF_DATABASE))
sys.exit(1)
现在,就像我们在前面的脚本中所做的那样,按如下方式与SQLite数据库建立连接,以通过游标执行查询。
def main(database, out_directory):
print("[+] Connecting to SQLite database")
conn = sqlite3.connect(database)
c = conn.cursor()
下面几行代码将从数据库中获取表的名称 —
print("List of all tables to extract")
c.execute("select * from sqlite_master where type = 'table'")
tables = [x[2] for x in c.fetchall() if not x[2].startswith('_') and not x[2].endswith('_DATA')]
现在,我们将从表中选择所有的数据,通过在游标对象上使用 fetchall( )方法,我们将把包含表的全部数据的图元列表存储在一个变量中–
print("Dumping {} tables to CSV files in {}".format(len(tables), out_directory))
for table in tables:
c.execute("pragma table_info('{}')".format(table))
table_columns = [x[1] for x in c.fetchall()]
c.execute("select * from '{}'".format(table))
table_data = c.fetchall()
现在,通过使用 CSV_Writer( )方法,我们将把内容写入CSV文件中。
csv_name = table + '.csv'
csv_path = os.path.join(out_directory, csv_name)
print('[+] Writing {} table to {} CSV file'.format(table,csv_name))
with open(csv_path, "w", newline = "") as csvfile:
csv_writer = csv.writer(csvfile)
csv_writer.writerow(table_columns)
csv_writer.writerows(table_data)
上述脚本将从IEF数据库的表中获取所有数据,并将其内容写入我们选择的CSV文件中。
使用缓存数据
从IEF结果数据库中,我们可以获取更多不一定由IEF本身支持的信息。我们可以通过使用IEF结果数据库,从雅虎、谷歌等电子邮件服务提供商那里获取缓存数据,这是一种信息的双向产品。
下面是使用IEF数据库从雅虎邮箱访问缓存数据信息的Python脚本,在谷歌浏览器上访问。请注意,其步骤与上一个Python脚本中的步骤大致相同。
首先,导入Python的必要库,如下所示
from __future__ import print_function
import argparse
import csv
import os
import sqlite3
import sys
import json
现在,提供IEF数据库文件的路径以及命令行处理程序接受的两个位置参数,就像在上一个脚本中做的那样:
if __name__ == '__main__':
parser = argparse.ArgumentParser('IEF to CSV')
parser.add_argument("IEF_DATABASE", help="Input IEF database")
parser.add_argument("OUTPUT_DIR", help="Output DIR")
args = parser.parse_args()
现在,确认IEF数据库的存在,如下所示
directory = os.path.dirname(args.OUTPUT_CSV)
if not os.path.exists(directory):os.makedirs(directory)
if os.path.exists(args.IEF_DATABASE) and \ os.path.isfile(args.IEF_DATABASE):
main(args.IEF_DATABASE, args.OUTPUT_CSV)
else: print("Supplied input file {} does not exist or is not a " "file".format(args.IEF_DATABASE))
sys.exit(1)
现在,按以下方式与SQLite数据库建立连接,通过游标执行查询。
def main(database, out_csv):
print("[+] Connecting to SQLite database")
conn = sqlite3.connect(database)
c = conn.cursor()
你可以使用以下几行代码来获取雅虎邮箱联系人缓存记录的实例:
print("Querying IEF database for Yahoo Contact Fragments from " "the Chrome Cache Records Table")
try:
c.execute("select * from 'Chrome Cache Records' where URL like " "'https://data.mail.yahoo.com" "/classicab/v2/contacts/?format=json%'")
except sqlite3.OperationalError:
print("Received an error querying the database -- database may be" "corrupt or not have a Chrome Cache Records table")
sys.exit(2)
现在,从上述查询返回的图元列表将被保存到一个变量中,如下所示
contact_cache = c.fetchall()
contact_data = process_contacts(contact_cache)
write_csv(contact_data, out_csv)
请注意,这里我们将使用两个方法,即 process_contacts( )用于设置结果列表以及遍历每个联系人缓存记录,以及 json.load() 用于将从表中提取的JSON数据存储到一个变量中,以便进一步操作。
def process_contacts(contact_cache):
print("[+] Processing {} cache files matching Yahoo contact cache " " data".format(len(contact_cache)))
results = []
for contact in contact_cache:
url = contact[0]
first_visit = contact[1]
last_visit = contact[2]
last_sync = contact[3]
loc = contact[8]
contact_json = json.loads(contact[7].decode())
total_contacts = contact_json["total"]
total_count = contact_json["count"]
if "contacts" not in contact_json:
continue
for c in contact_json["contacts"]:
name, anni, bday, emails, phones, links = ("", "", "", "", "", "")
if "name" in c:
name = c["name"]["givenName"] + " " + \ c["name"]["middleName"] + " " + c["name"]["familyName"]
if "anniversary" in c:
anni = c["anniversary"]["month"] + \"/" + c["anniversary"]["day"] + "/" + \c["anniversary"]["year"]
if "birthday" in c:
bday = c["birthday"]["month"] + "/" + \c["birthday"]["day"] + "/" + c["birthday"]["year"]
if "emails" in c:
emails = ', '.join([x["ep"] for x in c["emails"]])
if "phones" in c:
phones = ', '.join([x["ep"] for x in c["phones"]])
if "links" in c:
links = ', '.join([x["ep"] for x in c["links"]])
现在,对于公司、标题和注释,使用了如下的获取方法:
company = c.get("company", "")
title = c.get("jobTitle", "")
notes = c.get("notes", "")
现在,让我们把元数据和提取的数据元素的列表附加到结果列表中,如下所示
results.append([url, first_visit, last_visit, last_sync, loc, name, bday,anni, emails, phones, links, company, title, notes,total_contacts, total_count])
return results
现在,通过使用 CSV_Writer( )方法,我们将在CSV文件中写入内容-
def write_csv(data, output):
print("[+] Writing {} contacts to {}".format(len(data), output))
with open(output, "w", newline="") as csvfile:
csv_writer = csv.writer(csvfile)
csv_writer.writerow([
"URL", "First Visit (UTC)", "Last Visit (UTC)",
"Last Sync (UTC)", "Location", "Contact Name", "Bday",
"Anniversary", "Emails", "Phones", "Links", "Company", "Title",
"Notes", "Total Contacts", "Count of Contacts in Cache"])
csv_writer.writerows(data)
在上述脚本的帮助下,我们可以通过使用IEF数据库来处理雅虎邮件的缓存数据。