在本书的开头,我们努力展示了当今数字调查中几乎无穷无尽的 Python 用例集。技术在我们的日常生活中扮演着越来越重要的角色,而且没有停止的迹象。现在,比以往任何时候都更重要的是,研究人员开发编程专业知识,以处理越来越大的数据集。通过利用本书中探索的 Python 方法,我们可以使复杂的代码变得简单,从大型数据集中高效地提取相关信息。您将探索、开发和部署 Python 代码和库,以提供可立即应用于调查的有意义的结果。
在整本书中,食谱包括一些主题,如使用取证证据容器,解析移动和桌面操作系统工件,从文档和可执行文件中提取嵌入式元数据,以及识别危害指标。您还将学习如何将脚本与应用程序接口(API)(如 VirusTotal 和 PassiveTotal)以及工具(如 Axiom、Cellebrite 和 EnCase)集成。在本书的结尾,您将对 Python 有一个很好的理解,并将知道如何在调查中使用它来处理工件。
第 1 章、基本脚本和文件信息秘籍,向您介绍本书中使用的 Python 的约定和基本特性。在本章结束时,您将创建一个健壮且有用的数据和元数据保存脚本。
第 2 章创建工件报告秘籍演示了使用取证工件创建报告的实用方法。从电子表格到基于 web 的仪表板,我们展示了各种报告格式的灵活性和实用性。
第 3 章,深入研究了移动取证秘籍,其特点是 iTunes 的备份处理、删除的 SQLite 数据库记录恢复,以及从 Cellebrite XML 报告映射 Wi-Fi 接入点 MAC 地址。
第 4 章提取嵌入式元数据秘籍,公开了包含嵌入式元数据的常见文件类型以及如何提取。我们还为您提供了如何将 Python 脚本与流行的取证软件 EnCase 集成的知识。
第 5 章网络和入侵方案指标重点关注网络和基于网络的工件,以及如何从中提取更多信息。您将学习如何保存网站中的数据、与处理后的 IEF 结果交互、为 X-Ways 创建哈希集以及识别坏域或 IP 地址。
第 6 章阅读电子邮件和取名字食谱,探讨了个人电子邮件和整个邮箱的多种文件类型,包括 Google Takeout MBox,以及如何使用 Python 进行提取和分析。
第 7 章基于日志的工件秘籍说明了如何处理来自多种日志格式(如 IIS)的工件,并使用 Python 信息报告或其他行业工具(如 Splunk)接收它们。您还将学习如何开发和使用 Python 秘籍来解析文件并在 Axiom 中创建工件。
第 8 章使用取证证据容器秘籍,展示了交互和处理取证证据容器所需的基本取证库,包括 EWF 和 raw 格式。您将学习如何从取证容器中访问数据、识别磁盘分区信息以及遍历文件系统。
第 9 章探索 Windows 取证工件秘籍第一部分利用第 8 章开发的框架使用取证容器秘籍处理取证容器中的各种 Windows 工件。这些工件包括$I回收站文件、各种注册表工件、LNK 文件和 Windows.edb 索引。
第 10 章探索 Windows 取证工件秘籍第二部分继续利用第 8 章中开发的框架使用取证容器秘籍在取证容器中处理更多的 Windows 工件。这些工件包括预取文件、事件日志、Index.dat、卷影副本和 Windows 10 SRUM 数据库。
为了遵循并执行本食谱中的食谱,请使用具有 Internet 连接的计算机以及最新的 Python 2.7 和 Python 3.5 安装。秘籍可能需要安装额外的第三方库;秘籍中提供了操作说明。
为了便于开发和实现这些方法,建议您为开发设置并配置 Ubuntu 虚拟机。除非另有说明,这些秘籍都是在 Ubuntu 16.04 环境中使用 Python 2.7 和 3.5 构建和测试的。有几种方法需要使用 Windows 操作系统,因为许多取证工具仅在此平台上运行。
如果您是一名数字取证考官、网络安全专家,或者是一名内心深处了解 Python 基础知识并希望将其提升到下一个层次的分析师,那么这本书非常适合您。在此过程中,将向您介绍许多适合解析取证工件的库。您将能够使用和构建我们开发的脚本,以提升其分析能力
在这本书中,你会发现几个经常出现的标题(准备,如何做…,如何工作…,还有更多…,请参见)。
为了明确说明如何完成秘籍,我们使用以下章节:
本节告诉您秘籍中的预期内容,并介绍如何设置秘籍所需的任何软件或任何初步设置。
本节包含遵循秘籍所需的步骤。
本节通常包括对上一节中发生的情况的详细解释。
本节包括有关秘籍的附加信息,以使读者更了解秘籍。
本节提供了有关秘籍的其他有用信息的有用链接。
在本书中,您将发现许多文本样式可以区分不同类型的信息。下面是这些风格的一些例子,并解释了它们的含义。
文本中的代码字、数据库表名、文件夹名、文件名、文件扩展名、路径名、虚拟 URL、用户输入和 Twitter 句柄如下所示:“我们可以通过调用get_data()函数来收集所需信息。”
代码块设置如下:
def hello_world():
print(“Hello World!”)
hello_world()当我们希望提请您注意代码块的特定部分时,相关行或项目以粗体显示:
def hello_world():
print(“Hello World!”)
hello_world()任何命令行输入或输出的编写方式如下:
# pip install tqdm==4.11.2新术语和重要词语以粗体显示。您在屏幕上(例如,在菜单或对话框中)看到的文字将显示在如下文本中:“从管理面板中选择系统信息”
Warnings or important notes appear like this. Tips and tricks appear like this.
我们欢迎读者的反馈。让我们知道你对这本书的看法你喜欢还是不喜欢。读者反馈对我们来说很重要,因为它可以帮助我们开发出您将真正从中获得最大收益的标题。
要向我们发送一般反馈,只需发送电子邮件feedback@packtpub.com,并在邮件主题中提及该书的标题。
如果您对某个主题有专业知识,并且您有兴趣撰写或贡献一本书,请参阅我们的作者指南www.packtpub.com/authors。
既然您是一本 Packt 图书的骄傲拥有者,我们有很多东西可以帮助您从购买中获得最大收益。
您可以从您的帐户下载本书的示例代码文件 http://www.packtpub.com 。如果您在其他地方购买了本书,您可以访问http://www.packtpub.com/support 并注册,将文件直接通过电子邮件发送给您。您可以通过以下步骤下载代码文件:
-
使用您的电子邮件地址和密码登录或注册我们的网站。
-
将鼠标指针悬停在顶部的“支持”选项卡上。
-
点击代码下载和勘误表。
-
在搜索框中输入图书的名称。
-
选择要下载代码文件的书籍。
-
从您购买本书的下拉菜单中选择。
-
点击代码下载。
您也可以通过点击 Packt Publishing 网站上书籍网页上的“代码文件”按钮下载代码文件。可以通过在搜索框中输入图书名称来访问此页面。请注意,您需要登录到您的 Packt 帐户。下载文件后,请确保使用以下最新版本解压或解压缩文件夹:
- WinRAR/7-Zip for Windows
- 适用于 Mac 的 Zipeg/iZip/UnRarX
- 适用于 Linux 的 7-Zip/PeaZip
该书的代码包也托管在 GitHub 上的https://github.com/PacktPublishing/Python-Digital-Forensics-Cookbook 。我们在上还提供了丰富的书籍和视频目录中的其他代码包 https://github.com/PacktPublishing/ 。看看他们!
我们还为您提供了一个 PDF 文件,其中包含本书中使用的屏幕截图/图表的彩色图像。彩色图像将帮助您更好地了解输出中的更改。您可以从下载此文件 https://www.packtpub.com/sites/default/files/downloads/PythonDigitalForensicsCookbook_ColorImages.pdf 。
虽然我们已尽一切努力确保内容的准确性,但错误确实会发生。如果您在我们的一本书中发现错误,可能是文本或代码中的错误,如果您能向我们报告,我们将不胜感激。通过这样做,您可以使其他读者免于沮丧,并帮助我们改进本书的后续版本。如果您发现任何错误,请访问进行报告 http://www.packtpub.com/submit-errata ,选择您的书籍,点击勘误表提交表单链接,然后输入勘误表的详细信息。一旦您的勘误表得到验证,您的提交将被接受,勘误表将上载到我们的网站或添加到该标题勘误表部分下的任何现有勘误表列表中。
要查看之前提交的勘误表,请转至https://www.packtpub.com/books/content/support 并在搜索字段中输入图书名称。所需信息将出现在勘误表部分下。
在互联网上盗版版权材料是所有媒体都面临的一个持续问题。在 Packt,我们非常重视版权和许可证的保护。
如果您在互联网上发现任何形式的非法复制品,请立即向我们提供地址或网站名称,以便我们采取补救措施。
请致电copyright@packtpub.com与我们联系,并提供可疑盗版材料的链接。我们感谢您在保护我们的作者方面提供的帮助以及我们为您带来有价值内容的能力。
如果您对本书的任何方面有任何问题,可以通过questions@packtpub.com与我们联系,我们将尽力解决该问题。