Guymager取证介绍及操作文献归档
2022-11-16 00:1:51 Author: 白帽子(查看原文) 阅读量:18 收藏

STATEMENT

声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

NO.1 前言

分子实验室 https://molecule-labs.com/

官网:https://guymager.sourceforge.io/

下载:https://sourceforge.net/projects/guymager/

版本更新订阅:

https://sourceforge.net/p/guymager/activity/feed

NO.2 简介

Guymager[ˈgɪmɪdʒər]是一款免费的媒体采集取证成像仪。

它的主要特点是:

• 简单的用户界面在不同的语言

• 在Linux下运行

• 非常快,由于多线程,流水线设计和多线程数据压缩

• 充分利用多处理器机器

• 生成平面(dd), EWF (E01)和AFF映像,支持磁盘克隆

• 免费,完全开源

最新版本是0.8.12。

NO.3 界面

解释:

• 连接的存储设备列表在上方。新设备可以在任何时候连接-按下重新扫描按钮显示他们。

• 浅红色标识的设备为本地硬盘。它们不能被获取,从而防止获取错误的磁盘。本地硬盘可以通过输入配置文件中的序列号来识别。

• 下方显示了蓝色光标当前所选择的收购的更详细信息。

上面的截图显示了默认的获取对话框。存在另一个用于克隆磁盘的对话框。两者都可以很容易地适应您的需求。您可以添加或删除字段。您可以静态(文本)和动态(当前日期,磁盘大小,序列号,…)设置它们的默认值。看一下 /etc/guymager/guymager.cfg**.**

NO.4 安装

Debian和Ubuntu

Guymager包含在几个发行版的标准存储库中,例如Debian(紧凑版或更高版本)和Ubuntu(10.04或更高版本)。

在Ubuntu中,需要保持更新。

安装可以通过一个图形工具来完成,比如Ubuntu软件中心或者Synaptic:

sudo apt-get update

sudo apt-get install guymager

使用pinguin APT服务器

Daniel's pinguin服务器总是包含Guymager的最新版本。它是安装Guymager并保持其最新的推荐存储库。在您的Ubuntu、Debian和基于Debian的Linux系统中使用这个存储库,遵循以下步骤:

通过以下命令添加pininguin服务器及其公钥:

sudo wget -nH -rP /etc/apt/sources.list.d/http://deb.pinguin.lu/pinguin.lu.list

wget -q `[`http://deb.pinguin.lu/debsign_public.key`](http://deb.pinguin.lu/debsign_public.key)` -O- | sudo apt-key add -

目前,支持i386和amd64系统,powerpc包可根据请求提供。

执行如下命令:

 sudo apt-get update sudo apt-get install guymager-beta

以下方式启动程序

guymager

尽管这个包被命名为guymager-beta,但它经过了密集的测试,是绝对稳定的软件。只是它还没有找到分销渠道。

RPM packages

RPM包可以在pkgs.org上获得。非常感谢拉里罗杰斯的包装!

手动下载和安装Debian软件包

如果你不喜欢永久地添加pinguin库,你可以手动下载并安装这些包!

1. 浏览器访问deb.pinguin.lu,并选择与您的处理器架构(i386或amd64)相对应的目录。备注:amd64指的是架构,而不是处理器。因此,amd64适用于AMD和英特尔的64位处理器。

2. 下载guymager测试版包。

从命令行安装:

1. 打开shell并获得根权限

2. 切换到包含下载文件的目录

3.使用如下命令进行安装:

sudo apt-get update

sudo dpkg -i guymager-beta_xxx_amd64.deb

sudo apt-get -f install

xxx表示版本号。如果你有一个32位系统,用i386替换amd64。

第二个命令很可能返回一些丢失包的错误消息。它们通过执行第三个命令来安装。

有2个推荐的包,你应该安装:

sudo apt-get install smartmontools hdparm

用以下方式启动程序

guymager

NO.5 配置和日志

Guymager使用两个配置文件:

· /etc/guymager/guymager.cfg

主配置文件。你不要更改它,因为你的更改会在安装新版本的guymager时导致丢失配置。

· /etc/guymager/local.cfg

将此文件用于本地更改。这里调整的参数优先于guymager.cfg中的参数。guymager.cfg在其末尾包含local.cfg。如果一个参数被多次设置,guymager会保留最后的设置。

如果您想在不编辑local.cfg的情况下快速尝试一个参数,你可以尝试一下内容。

例如:

guymager EwfCompression =BEST

命令行位于两个配置文件的前面。有2个参数只能在命令行中设置:

cfg        要使用的配置文件。默认为/etc/guymager/guymager.cfg。log        要使用的日志文件。默认为/var/log/guymager.log

例子:

guymager cfg="/tests/g_special.cfg" log="/mylogs/guymager.log”

配置参数很好地记录在/etc/guymager/guymager.cfg中。记住不要做任何改变。

如果有任何问题,请查看日志文件/var/log/guymager.log。当报告问题时,请附加日志文件。

NO.6 手动编译源码

对于Debian和Ubuntu用户: 需要安装build-essential, qtbase5-dev and libparted-dev包。

详情见 https://guymager.sourceforge.io/

NO.7 Live CD使用Guymager

在很多现有的CD或VM系统版本中都已收纳了guymager。

- CAINE

https://www.caine-live.net/

- TSURUGI

https://tsurugi-linux.org/

- BACKBOX

https://www.backbox.org/

- KALI

https://www.kali.org/

- GRML

https://grml.org/

- ForLEx

http://www.forlex.it/

- SANS SIFT (Vmware image)

https://computer-forensics.sans.org/community/downloads

- BitCurator (Live CD and VirtualBox image)

http://www.bitcurator.net/

NO.8 使用Guymager

由于guymager使用方法官方并未给出详细的使用说明,目前根据已有的一些网友的使用经验归纳总结。

https://confluence.educopia.org/display/BC/Creating+a+Disk+Image+Using+Guymager

https://www.secpulse.com/archives/138600.html

在kali下创建磁盘镜像

启动到Live模式下

1、首先启动进入取证模式;

2、接入移动硬盘,fdisk -l 确定移动硬盘的设备名为/dev/sdb1;

3、挂载移动硬盘。

cd /mnt

mkdir udisk

mount /dev/sdb1 /mnt/udisk

使用Guymager

1、在目标硬盘上右键 Acquire image,

设置相关信息、保存路径、文件名,开始获取磁盘镜像。

下面的hash校验我勾掉了,是为了让速度更快一些。

2、Start开始后,需要一段时间,由磁盘容量、速度与电脑性能决定。

3、镜像制作完成。

全磁盘镜像文件大小共4.7GB。

磁盘实际使用大小是这样的。

BitCurator下使用Guymager

官方wiki:

https://github.com/BitCurator/bitcurator-access/wiki

BitCurator Access项目开发了工具,以帮助图书馆,档案馆和博物馆提供基于Web的本地访问磁盘映像上保存的数字资料的途径。BitCurator访问工具简化了对原始和经过法医打包的磁盘映像的访问,使用户可以将这些对象合并到访问环境中,同时保留原始顺序和相关的环境上下文。这些工具使用开源数字取证软件库,可以对文件和文件系统的出处,文件的质量和可访问性,文件和文件系统中的元数据以及残留或隐藏的数据进行详细分析。

BitCurator Access专注于与访问出生数字馆藏相关的四个感兴趣的领域:

· 基于Web的对原始和经过司法鉴定打包的磁盘映像的访问

· 删除磁盘映像中的文件项,元数据和隐藏数据

· 用于旧磁盘映像的操作系统和可执行虚拟化

· 在收集环境中转换和使用数字取证元数据

其中就包含了部分关于Guymager工具的使用相关操作说明。

原文:

https://confluence.educopia.org/display/BC/Creating+a+Disk+Image+Using+Guymager

BitCurator包含了一个开源的图形应用程序,用于创建磁盘映像——Guymager。Guymager支持原始dd图像,EO1和AFF图像格式。后两种图像格式通常在数字取证社区中使用,它们能够将关于原始媒体的元数据合并到磁盘映像本身中。

按步指导

1. 通过打开Nautilus(屏幕左上角的“Home”文件夹),并在白色背景上的任何地方单击右键,创建一个用于存储磁盘图像的目录。从下拉菜单中选择“创建新文件夹”。按您认为合适的方式命名文件夹;在本例中,我们将使用文件夹名称“diskimages”。

2. 请确保安全挂载设备,启用只读强制,和/或使用写阻塞程序,以防止无意中将数据写回磁盘。默认情况下,bitCurator环境被设置为强制只读访问。

将您想要映像的设备连接到您的计算机(USB闪存驱动器、CD-ROM、硬盘驱动器或软盘驱动器)。

注意:Guymager不需要挂载设备,bitCurator不会自动挂载设备(在Unity栏左边出现的图标表示设备已挂载,而不是挂载)。如果需要在创建磁盘映像之前检查磁盘内容,可以安全地挂载设备。只需单击设备图标就可以安全地将可读文件系统(以只读模式)挂载到该设备上。

1. 右键单击桌面“成像工具”文件夹中的图标,打开Guymager。在上下文菜单中,选择“打开”。

2. Guymager将要求以root权限运行。当提示时,输入与bit策库用户帐户相关的密码(通常为'bcadmin')。

3. 启动Guymager时,它将显示系统上所有挂载的磁盘的列表。再次识别你想要图像的磁盘,右键单击它的列表,并选择“获取图像”。

4. 点击获取图像将打开获取图像窗口。在此窗口中,您将首先选择您想要使用的磁盘映像格式。选项包括Linux dd原始镜像、专家取证格式(.E01)和高级取证镜像格式(.AFF);专家取证或AFF镜像将在法医打包的镜像中存储用户添加的元数据。

注意:如果您选择Linux dd或Expert Witness格式,您可以选择将图像分割成多个文件,从而使其更容易转移。因此,例如,一个4GB的映像可以被分割成四个1GB的文件,或者两个2GB的文件,等等。

· 选择镜像格式类型后,根据需要填写元数据。E01和AFF镜像是为数字取证社区设计的,因此字段被标记为刑事调查。然而,这些字段可以很容易地重新使用,以满足档案管理员和策展人的需要。例如,档案管理员可以使用“案例号”字段来记录登录号。

· 接下来选择镜像目录,在本例中为

“/home/bcadmin/diskimages”。注意:Guymager是作为根用户运行的,所以您要避免直接通过Guymager创建新的目录(因此第1步)。

· 最后,命名磁盘映像并选择Guymager要执行的验证选项。点击“确定”开始成像过程。

· 一旦成像过程开始,您将被带回到图4中的Guymager主屏幕,该屏幕现在将显示一个进度条。

· Guymager完成磁盘映像的创建后,关闭Guymager并通过导航到步骤# 1中创建的目录来验证映像。注意,这里有两个文件,图像本身和一个信息文件(参见图3)。信息文件包括我们在步骤7中输入的元数据以及在获取过程中收集的附加元数据。现在,成像过程已经完成。

NO.9 相关链接

http://sourceforge.net/projects/guymager/

linux下免费镜像取证工具

https://blog.forensix.cn/2014/03/guymager-intro/

https://www.secpulse.com/archives/138600.html

RECRUITMENT

招聘启事

安恒雷神众测SRC运营(实习生)
————————
【职责描述】
1.  负责SRC的微博、微信公众号等线上新媒体的运营工作,保持用户活跃度,提高站点访问量;
2.  负责白帽子提交漏洞的漏洞审核、Rank评级、漏洞修复处理等相关沟通工作,促进审核人员与白帽子之间友好协作沟通;
3.  参与策划、组织和落实针对白帽子的线下活动,如沙龙、发布会、技术交流论坛等;
4.  积极参与雷神众测的品牌推广工作,协助技术人员输出优质的技术文章;
5.  积极参与公司媒体、行业内相关媒体及其他市场资源的工作沟通工作。

【任职要求】 
 1.  责任心强,性格活泼,具备良好的人际交往能力;
 2.  对网络安全感兴趣,对行业有基本了解;
 3.  良好的文案写作能力和活动组织协调能力。

简历投递至 

[email protected]

设计师(实习生)

————————

【职位描述】
负责设计公司日常宣传图片、软文等与设计相关工作,负责产品品牌设计。

【职位要求】
1、从事平面设计相关工作1年以上,熟悉印刷工艺;具有敏锐的观察力及审美能力,及优异的创意设计能力;有 VI 设计、广告设计、画册设计等专长;
2、有良好的美术功底,审美能力和创意,色彩感强;

3、精通photoshop/illustrator/coreldrew/等设计制作软件;
4、有品牌传播、产品设计或新媒体视觉工作经历;

【关于岗位的其他信息】
企业名称:杭州安恒信息技术股份有限公司
办公地点:杭州市滨江区安恒大厦19楼
学历要求:本科及以上
工作年限:1年及以上,条件优秀者可放宽

简历投递至 

[email protected]

安全招聘

————————

公司:安恒信息
岗位:Web安全 安全研究员
部门:战略支援部
薪资:13-30K
工作年限:1年+
工作地点:杭州(总部)、广州、成都、上海、北京

工作环境:一座大厦,健身场所,医师,帅哥,美女,高级食堂…

【岗位职责】
1.定期面向部门、全公司技术分享;
2.前沿攻防技术研究、跟踪国内外安全领域的安全动态、漏洞披露并落地沉淀;
3.负责完成部门渗透测试、红蓝对抗业务;
4.负责自动化平台建设
5.负责针对常见WAF产品规则进行测试并落地bypass方案

【岗位要求】
1.至少1年安全领域工作经验;
2.熟悉HTTP协议相关技术
3.拥有大型产品、CMS、厂商漏洞挖掘案例;
4.熟练掌握php、java、asp.net代码审计基础(一种或多种)
5.精通Web Fuzz模糊测试漏洞挖掘技术
6.精通OWASP TOP 10安全漏洞原理并熟悉漏洞利用方法
7.有过独立分析漏洞的经验,熟悉各种Web调试技巧
8.熟悉常见编程语言中的至少一种(Asp.net、Python、php、java)

【加分项】
1.具备良好的英语文档阅读能力;
2.曾参加过技术沙龙担任嘉宾进行技术分享;
3.具有CISSP、CISA、CSSLP、ISO27001、ITIL、PMP、COBIT、Security+、CISP、OSCP等安全相关资质者;
4.具有大型SRC漏洞提交经验、获得年度表彰、大型CTF夺得名次者;
5.开发过安全相关的开源项目;
6.具备良好的人际沟通、协调能力、分析和解决问题的能力者优先;
7.个人技术博客;
8.在优质社区投稿过文章;

岗位:安全红队武器自动化工程师
薪资:13-30K
工作年限:2年+
工作地点:杭州(总部)

【岗位职责】
1.负责红蓝对抗中的武器化落地与研究;
2.平台化建设;
3.安全研究落地。

【岗位要求】
1.熟练使用Python、java、c/c++等至少一门语言作为主要开发语言;
2.熟练使用Django、flask 等常用web开发框架、以及熟练使用mysql、mongoDB、redis等数据存储方案;
3:熟悉域安全以及内网横向渗透、常见web等漏洞原理;
4.对安全技术有浓厚的兴趣及热情,有主观研究和学习的动力;
5.具备正向价值观、良好的团队协作能力和较强的问题解决能力,善于沟通、乐于分享。

【加分项】
1.有高并发tcp服务、分布式等相关经验者优先;
2.在github上有开源安全产品优先;
3:有过安全开发经验、独自分析过相关开源安全工具、以及参与开发过相关后渗透框架等优先;
4.在freebuf、安全客、先知等安全平台分享过相关技术文章优先;
5.具备良好的英语文档阅读能力。

简历投递至

[email protected]

岗位:红队武器化Golang开发工程师

薪资:13-30K
工作年限:2年+
工作地点:杭州(总部)

【岗位职责】
1.负责红蓝对抗中的武器化落地与研究;
2.平台化建设;
3.安全研究落地。

【岗位要求】
1.掌握C/C++/Java/Go/Python/JavaScript等至少一门语言作为主要开发语言;
2.熟练使用Gin、Beego、Echo等常用web开发框架、熟悉MySQL、Redis、MongoDB等主流数据库结构的设计,有独立部署调优经验;
3.了解docker,能进行简单的项目部署;
3.熟悉常见web漏洞原理,并能写出对应的利用工具;
4.熟悉TCP/IP协议的基本运作原理;
5.对安全技术与开发技术有浓厚的兴趣及热情,有主观研究和学习的动力,具备正向价值观、良好的团队协作能力和较强的问题解决能力,善于沟通、乐于分享。

【加分项】
1.有高并发tcp服务、分布式、消息队列等相关经验者优先;
2.在github上有开源安全产品优先;
3:有过安全开发经验、独自分析过相关开源安全工具、以及参与开发过相关后渗透框架等优先;
4.在freebuf、安全客、先知等安全平台分享过相关技术文章优先;
5.具备良好的英语文档阅读能力。

简历投递至

[email protected]

END

长按识别二维码关注我们


文章来源: http://mp.weixin.qq.com/s?__biz=MzAwMDQwNTE5MA==&mid=2650246419&idx=1&sn=ee8fcac259f83298b42e52f23e360fa5&chksm=82ea56bab59ddfac5949f38de22b0a9ef49db90b6173a9f839614e223e9d181ac384fbd495bd#rd
如有侵权请联系:admin#unsafe.sh