- 在数字取证中使用开源情报方式提高效率
浏览历史记录是非常危险的东西,您可能完全不知道自己曾经为什么点击了那些链接,甚至完全忘记了自己看过什么。但是这些记录串联起来时就很容易暴露您的内心所想。我们曾经演示过这件事,见:
这篇文章来自拉斯维加斯警察局的侦探和数字取证检查员 Jeff Lomas,他在数字取证领域工作了11年。他的工作是在所有电子设备上提取任何想要的证据,并将提取出的数据转化为可用于进一步追踪调查的情报。
数字取证调查(DFIR)在过去10年中一直在不断增长,特别是在智能手机和视频取证领域。
分析师和调查人员已经从高度普及的数字设备和互联网上存在的海量视频证据中获得了丰富的情报,但是,可用的数据量是压倒性的。数字取证检查员拥有许多技术技能,使他们有能力找到快速浏览数据的解决方案,而参与开源情报的分析师则擅长从各种来源中开发数字情报。
这份演示展示了数字取证检验员和开源情报分析师如何相互学习以提高效率。
场景
在这个场景中,有一位分析师需要从智能手机中提取数据。取证使用的是 Magnet Acquire 和 AXIOM 来提取数据并进行处理,供分析师查看。分析师怀疑目标嫌疑人在网上观看了与犯罪有关的视频,他们希望收集这些视频,并快速决定可以从中开发出的情报。
Magnet Acquire 和 AXIOM
Magnet 的 Acquire 工具可以用来从硬盘和智能手机中提取数据,而且对任何要求它的人都是免费的。另一方面,AXIOM 是一个付费工具,而且非常值得,因为它以一种检查员和分析师都能理解的方式来展示数据。
进入场景。下图是 Magnet 如何对提取的数据进行分析的片段。
您可以看到有超过 51,000 个数据点,但实际情况是您可能会在日常使用的设备上看到接近五十万个。 AXIOM 允许您通过在右上角的搜索栏中键入关键字以对这些结果进行快速排序。
在这种情况下,我扮演分析师的角色,输入 “YouTube”,它展示了来自各种来源的结果,例如在目标设备上发现的所有带有 “YouTube” 一词的URL。
从这里,可以点击 “Web Related”,并通过搜索字符串 “youtube.com/watch?v=”进 一步完善信息搜集,因为这是一个正常的 YouTube 视频URL的格式。使用 AXIOM,现在可以突出显示这些您想要的项目,并使用 AXIOM 的报告功能将它们导出为Excel或CSV文件。
现在,已将数据保存为电子表格格式,它会类似于下面这样:
这里只标记了一部分要导出的项目,但是现在您可以开始看到我们已经有了要搜索的列表。
快速分析数据
在现实案例中这个列表可能有几百行长,而且不仅仅由 YouTube 的视频组成。下一步是将视频作为潜在的证据保存下来,转录视频内容,并使用关键字搜索来确定哪些视频能提供最相关的数据。
Youtube-dl
Youtube-dl 是已经存在了一段时间的热门命令行工具,在 Mac,Windows 和 Unix / Linux 上都可以运行。可以在这里下载:
https://ytdl-org.github.io/youtube-dl/index.html
这里将使用 youtube-dl 下载视频并抓取各自的字幕。这需要使用流行的 ffmpeg 命令行视频/音频处理工具。它可以在这里下载。
如果您还没有安装 Python 2.7或3.7,您还需要下载并安装它们。有很多关于如何做到这一点的教程。
本篇 youtube-dl 教程的独特之处在于,它重点介绍了警察如何使用该工具来抓取视频作为证据,并通过视频进行搜索。现在已经确定了几个命令,它们服务于取证/证据收集的目标。
- id (在文件名中仅使用视频ID)
- sleep-interval [SECONDS] (秒数)
- min-sleep-interval [SECONDS]
- max-sleep-interval [SECONDS]
- write-auto-sub (仅 YouTube 获取可用字幕)
- write-sub (从其他站点获取字幕)
- all-subs (获取所有字幕)
- convert-subs FORMAT (支持 srt,ass,vtt,arc)
- batch-file path to batch file’ (可以创建一个带有链接的txt文件)
- skip-download (不会下载视频)
其中的一些说明是不言自明的,但这里将分享一些较好的脚本以及期待的功能。
youtube-dl --id --write-auto-sub --convert-subs srt [URL]
每个脚本都会以 “YouTube” 开头,每个命令都会以两个破折号开头。这个命令是说让 youtube-dl 下载视频,并将文件命名为与 URL 结尾相同的名字。
回头看看上面的 Excel 文件,您会看到第一个条目是 https://m.youtube.com/watch?v=1xvR4A33LO8。文件名将是 “1xvR4A33LO8”,这样就可以在以后将下载的视频与链接进行匹配。
接下来,使用 youtube-dl 专门为 YouTube 准备的 write-auto-sub 功能,然后转换为 “srt”,这是所有字幕格式中最基本的,也是最容易阅读的。
现在,一次性从 YouTube 抓取100个视频:
youtube-dl --id --write-auto-sub --convert-subs srt --min-sleep-interval 1 --max-sleep-interval 10 --batch-file [path to batch file]
您可以看到这里只是在第一个脚本的基础上,添加了最小和最大的范围。这使得 youtube-dl 在下载视频之间等待一个随机的秒数(在这种情况下是1–10秒),这样做是为了避免被 YouTube 识别为机器,强行要求验证。
这里指向的批处理文件路径是一个简单的文本文档,它是通过将URL复制粘贴到文本文档中而创建的。把该批处理文件放到运行 youtube-dl 的同一个文件夹里,这样视频和字幕都会在同一个文件夹里。
如果视频数量非常多,而且网络连接平平,可以考虑标记为 “skip-download”,这样您就可以只下载字幕,然后通过搜索来确定您想下载哪个视频进行进一步分析。
文本编辑器
您可能已经预见到了这一点。使用任何您喜欢的文本编辑器,但要确保该工具可以递归搜索,或者至少在单一文件夹结构中搜索。我通常会将我所有的srt文件收集到一个文件夹中,然后选择 “Find in Files… ” 的选项。使用 Sublime 文本编辑器,结果会是这样:
看起来很好。现在可以根据关键字搜索快速确定要进一步调查的视频了。
Downsub.com
要防备工具失灵,有一个备用计划总是好的。Downsub.com 是一个专门为用户提供 YouTube 等热门网站字幕的站点。Downsub 就像1(进入网站),2(按下载),3(选择您想要的字幕)一样简单。
您会注意到这里可以选择 srt 或 txt。txt比srt文件更容易阅读,但它不会给您一个参考关于在视频中的字幕来自哪。Downsub 还可以从英语翻译成多种其他语言,以防您不是英语母语人士。
翻译外语
您难免会遇到一些您不熟悉的语言的视频。开源情报也可以帮助您解决这个问题。无论是从 youtube-dl 或 downsub 获得的srt或txt文件,都可以用 Chrome 浏览器打开这些文件,Chrome 会问你是否要翻译。
请注意,不要试图使用谷歌翻译网站来完成这项任务,因为有字符限制。
最后
如果警察得到了一个视频,但没有得到字幕,其中是外国语言,同时没有时间/金钱找到专业的人工录入。Google Docs 有一个叫做语音转文字的功能,可以把人们说的话打出来。在大多数情况下,需要一个安静的房间,一个好的电脑外接麦克风,以及一个好的音频源来完成这个任务。
是的,还有其他解决方案,但都相当贵。
总结一下就是:
- 通过移动取证报告过滤以获取视频证据
- 创建具有相关数据的Excel / CSV文件
- 使用 youtube-dl 下载视频和字幕(或 downsub)
- 使用关键字搜索字幕
- 确定相关视频以继续评估/调查
警察利用这种方法可以快速抓取视频,并在视频中进行搜索,而不需要花费几个小时的时间去观看,从而能够快速对这些数据进行推演,并及时产生所需的情报。
这篇文章非常简单,仅仅陈述了视频证据提取如何提高效率的简单方法。作为防御者,您不应该使用手机搜索或保存任何重要的信息,正如我们在正在进行中的 “敌对环境” 安全性系列中强调过的;尤其是当您准备参加抗议活动或者计划做任何组织行动的情况下,特别要注意这点,因为在这种情况下您极有可能被没收电子设备。⚪️
One thought on “取证专家解释如何快速从目标人浏览历史记录中提取证据:智能手机取证如何使用开源情报”