昨天有人在群里问了个问题,想知道谁打开或删除了共享文件夹里的文件。
如果是在FTP或者有完整日志记录的NAS上,这其实都不难办到,直接查看日志就可以。但办公室里的局域网共享文件,大多都是在Windows操作系统上直接建立一个共享文件夹,基本上文件操作是没有任何日记录的,再加上默认设置下,Windows都不对远程登录做记录,事后甚至都不知道是哪台机器连接过共享文件夹。虽然看似无处下手,但办公室环境的小局域网,也并不是完全没有办法。其实说起来,几年前曾帮我的顶头上司在她老公的公司里查过一次类似的情况,当时的情况,公司几间办公室组成一个局域网,大概有十来台,不知道谁一时手欠删除了共享里重要的文档,虽然经过内部调查已经有了大致的方向,但为了保险,还是找我去找找技术证据,结合此前的经验和群友的提问,我用自己的局域网搭建一个环境,并用一些比较容易获得的免费工具来尝试还原一个“案发现场”。
我们知道,局域网里如果没有安装安全审计设备,操作系统也没有做额外安全设置的话,确实很难直接确定删除文件的人。但好处是局域网一般就那么几台电脑,就是把所有电脑都调查一遍,取证的时间通常都不会太久。
我这里的模拟环境是一个WinXP电脑建立的共享文件夹,是D盘的soft文件夹,然后又在soft下新建了一个文件夹“学习(勿删)”,复制一些学习资料进去,随后从网络上另一台Win11机器登录这个共享文件夹,然后“不小心”删除掉了这个“学习(勿删)”……
首先自然是在建立共享文件夹的“服务器”上先检查一下。在“服务器”上,使用任意文件恢复工具,一般都可以确定文件被删除的时间,这个时间比较重要。如果要更精确的文件操作记录,一般建议试试SysTool NTFS Log Analyzer这个工具,是一个免费软件,很容易下载到,它可以分析NTFS文件系统的日志,从而获得更精确的文件记录,例如建立、修改、删除等具体时间和操作类型,并且可以导出全部记录为CSV表格,方便在其他地方查阅。不过经测试,这个工具在Windows11上存在兼容问题,在此前的版本上应该可以。
在我这个例子中,D盘“学习(勿删)”文件夹和里面的若干文件都被删除了。经过检查,可以发现这个文件被删除的精确时间2022-1-2 11:14:39。当然这里需要单独说一下,文件夹路径中“orphan folder”是“孤立文件夹”的意思,代表软件没有能从日志分析中发现它的隶属关系,并不是文件夹名字叫orphan folder。在这里因为我对其中这些文件名是完全掌握的,所以我可以很快确定这些文件就是被删除的文件。
有了精确时间,再去局域网中找到那些可能重点访问共享文件夹的机器上再次取证,这次我们需要使用nirsoft工具集中LastActivityView这个工具。用它可以列出本机大量详细操作和时间。
在这个例子中,这台“嫌疑”电脑确实曾在2022/1/2 11:13:33之后一段时间访问过共享文件夹\\192.168.1.111\Soft\学习(勿删)这个地址,时间刚好在删除时间之前不久。
实际上,在几年前的那次调查中,我也是用这个工具,确定了嫌疑电脑上最后访问共享文件夹的时间,与“嫌疑人”在公司办公室活动时间相吻合,所以在技术和逻辑上确定了目标。
如果还需要进一步做实证据,还可以使用WinLogOn View,检查一下本机远程登录其他计算机的登录日志
因为本机是使用Windows Live ID登录的,是使用一个邮箱登录,而共享文件夹的电脑是一个WinXP电脑,使用Administrator帐户登录,本机访问共享文件夹默认会先用本机用户名(邮箱)登录,登录失败后会弹出一个输入账户密码的窗口,直到输入正确的用户密码才可以访问共享文件夹。而使用WinLogOn View就可以看到这个使用Administrator用户名登录远程计算机的过程。这个过程很多人在使用局域网共享文件夹的时候都有遇到过。
此外,nirsoft工具集里的RecentFiles View也可以检测本机最近打开的文件记录,这个对确定本机具体使用了哪些文件比较有帮助,相较LastActivityView保罗万象,RecentFiles View聚焦于打开的文件方面。并且会直接列出来哪些文件目前已经无法访问了(红色高亮)。这对确定文件操作过程比较有帮助。
当然了,nirsoft工具集里还有一个ShellBags View,可以调取系统打开的文件夹记录,算是对前面取证的一个补充。
那么有了这些工具,我相信可以对那些希望找到是谁删除共享文件的人有所帮助了。不过说起来,如果可以在建立共享文件夹的电脑上开启一个简单的日志记录,都会大大方便我们安全管理。例如使用组策略中开启帐户登录审核。
这样,远程计算机访问的时候,我们将有足够的证据证明是谁在什么时间访问了本机的共享文件夹。
这样可以节省太多的调查时间,可以把精力专注与数据恢复部分……
最后自然是老规矩,提供一下工具:
NTFS日志分析工具:ntfs-log-analyzer.rar
nirsoft工具合集:nirsoft_package_enc_1.23.55.zip
所有工具来自互联网,安全性自查。nirsoft工具中有些工具会被杀毒软件判别为病毒,如果要使用,建议添加例外或者关闭杀毒软件。
评论列表:
然后发现博客在06年就有内容(
然后发现博客在06年就有内容(