墨者学院—Windows硬盘文件分析取证:连接过的FTP地址(简单复习)
背景描述:
XP系统连接过的FTP记录都会以文件的形式保存在本地电脑,默认在C盘下,对于不同的Windows系统,存放的位置可能有差异,但是XP系统会保存在当前用户文件下的历史记录问文件,文件格式是“.dat”的文档格式,如果用记事本等打开,内容会出现一定的乱码。
挂载工具:AccessData FTK Imager
靶场实操
在启动靶场后,进入一个文件下载界面
点击下载文件,根据提示百度云盘下载镜像文件,下载地址一直有效
百度云盘下载镜像文件(提取码tglq)
下载解压后是一个“.E01”格式的镜像文件,用AccessData FTK Imager打开,可以选择挂载,也可以选择直接打开(我看了很多人发的blog资料,没有一个人详细讲解,那我就来简单讲讲怎么用吧)
工具介绍
- 直接在软件打开
如下图标红处所示,点击这儿就可以根据提示直接在软件里打开镜像文件
打开后的文件可以直接在软件里进行操作,默认加载进来后所有文件全部收起,如下所示
可以按照个人喜好进行点击查看,如下详细信息
- 挂载在本地
如下图所示的红框,点击此处进行挂载选项
进入下面的选择框,可选择挂载的盘叫什么盘,和挂载后的权限,选择system/非system、仅读和可写模式
在选择好所有的选项后,点击mount按钮进行挂载,如下所示就成功了
如果挂载成功,在自己的电脑上也可以查看到,我选择的是H盘,system权限只读模式(意味着所有文件都能打开)
回归靶场题目要求,继续做靶场练习
在【root】文件下,直接搜索关键字:“his"
显示出history的文件,直接显示文件所在位置进行查看,点进去发现了一个index.dat的文件
打开该文件,使用crtl+f进行搜索”ftp://“关键字
搜索到可疑IP,拿到网页经行验证是否就是我们需要的IP,在检测时一定要注意格式,不时直接将IP输入就可以了,还需要将ftp带上,输入的完整格式为:”ftp://192.168.3.86 “
顺利拿到key值
总结
以上仅是辣鸡的我个人阐述,有很多不足之处,还请多多指教。