采集器指南
采集器指南#
unJaena Collector 是一款开源工具,可自动采集 5 大平台上 400 余种取证痕迹类型。本指南将介绍各平台的采集方法及磁盘映像支持。
支持平台#
| 平台 | 采集方式 | 痕迹数量 |
|---|---|---|
| Windows | 直接运行采集器 | 105+ |
| macOS | 直接运行采集器 | 90+ |
| Linux | 直接运行采集器 | 65+ |
| iOS | 上传 iTunes 备份 | 140+ |
| Android | 上传 ADB 提取数据 | 51+ |
磁盘映像支持#
除采集器工具外,您还可以直接上传各类格式的磁盘映像进行分析。
支持格式#
| 格式 | 扩展名 | 说明 |
|---|---|---|
| EnCase | .E01 | 取证标准映像格式 |
| VirtualBox | .VDI | VirtualBox 虚拟磁盘 |
| VMware | .VMDK | VMware 虚拟磁盘 |
| Hyper-V | .VHD、.VHDX | Microsoft Hyper-V 虚拟磁盘 |
| QEMU | .QCOW2 | QEMU/KVM 虚拟磁盘 |
| macOS | .DMG | macOS 磁盘映像 |
| RAW | .raw、.dd、.img | 原始磁盘映像 |
上传磁盘映像后,平台将自动挂载文件系统并提取痕迹。
Windows 痕迹采集#
Windows 平台采集的主要痕迹类别如下:
系统痕迹#
- Prefetch:程序执行记录(
C:\Windows\Prefetch\) - EventLog:系统/安全/应用程序日志(
C:\Windows\System32\winevt\Logs\) - Registry:SYSTEM、SOFTWARE、SAM、SECURITY、NTUSER.DAT 注册表配置单元
- $MFT:NTFS 主文件表
- USN Journal:文件变更日志
- AmCache / Shimcache:程序兼容性数据
用户活动痕迹#
- 浏览器历史:Chrome、Edge、Firefox 的浏览记录、下载及 Cookie
- 最近文档:RecentDocs、Jump Lists、LNK 快捷方式文件
- Shellbags:文件夹浏览历史
- USB 记录:已连接 USB 设备的历史
网络痕迹#
- 网络配置:已连接的网络列表
- DNS 缓存:DNS 查询记录
- SRUM:系统资源使用记录(含网络活动)
运行采集#
1. 以管理员身份运行 unJaena Collector
2. 选择采集范围(Quick/Full)
3. 点击"Start Collection"
4. 采集完成后自动上传
macOS 痕迹采集#
macOS 平台采集的主要痕迹如下:
系统痕迹#
- Unified Log:macOS 统一日志系统
- FSEvents:文件系统事件记录
- Spotlight:搜索索引元数据
- Launch Agents/Daemons:自动启动配置
用户活动痕迹#
- Safari 历史:浏览记录、下载及标签页
- Finder 最近项目:最近访问的文件和文件夹
- Quarantine 事件:已下载文件的来源记录
- TCC 数据库:应用权限授予记录
注意事项#
- 由于 SIP(系统完整性保护)机制,macOS 会限制对部分系统文件的访问。
- 如需完整采集,必须授予 完全磁盘访问 权限。
- 前往"系统偏好设置">"安全性与隐私">"完全磁盘访问",将 unJaena Collector 添加到列表中。
Linux 痕迹采集#
Linux 平台采集的主要痕迹如下:
系统痕迹#
- syslog / journald:系统日志
- auth.log:身份认证相关日志
- wtmp / btmp:登录成功/失败记录
- crontab:计划任务
用户活动痕迹#
- bash_history:Shell 命令历史
- 浏览器历史:Chrome、Firefox 数据
- SSH 密钥和日志:SSH 连接记录
- .recently-used.xbel:最近使用的文件记录
运行采集#
bash
# 安装依赖
sudo ./install.sh
# 运行采集(需要 root 权限)
sudo ./unjaena-collector --mode full
iOS 设备采集#
iOS 设备数据通过 iTunes 备份进行采集。
前提条件#
- 安装 iTunes 驱动:在 Windows 上,从 Apple 官网或 Microsoft Store 安装 iTunes。
- 信任设备:在 iOS 设备上出现"信任此电脑?"提示时,选择 信任。
- 创建备份:在 iTunes 中创建完整备份。
可采集痕迹(140 种以上)#
- 消息:iMessage、短信、彩信
- 通话记录:通话历史
- 联系人:通讯录
- 浏览器:Safari 浏览记录、书签
- 位置数据:位置历史
- 应用数据:已安装应用的数据库
- 媒体文件:照片和视频元数据
- Wi-Fi 连接记录:已连接网络的历史
上传#
- 在案例页面点击 Upload Evidence。
- 选择 iOS Backup 标签页。
- 选择包含备份文件的文件夹。
- 上传完成后,解析将自动开始。
Android 设备采集#
Android 设备数据通过 ADB(Android Debug Bridge)进行提取。
前提条件#
- 启用开发者选项:前往"设置">"关于手机",连续点击"版本号"7 次。
- 启用 USB 调试:前往"设置">"开发者选项",开启"USB 调试"。
- 安装 ADB:安装 Android SDK Platform Tools。
可采集痕迹(51 种以上)#
- 通话记录和联系人
- 短信/彩信
- 浏览器历史
- 应用数据:已安装应用列表及数据
- Wi-Fi 连接记录
- 设备设置和账户信息
提取与上传#
bash
# 验证 ADB 连接
adb devices
# 创建备份
adb backup -apk -shared -all -f backup.ab
# 或使用采集器工具
./unjaena-collector --platform android
将提取的文件上传至案例后,解析和分析将自动开始。
服务器上传#
采集的数据可通过以下方式上传至服务器:
Web 上传#
- 在案例页面点击 Upload Evidence。
- 将采集的归档文件拖放至上传区域,或手动选择文件。
- 上传进度将实时显示。
采集器自动上传#
在采集器工具中配置 API 密钥后,即可在采集完成后自动上传。
上传后处理流程#
- 解析:系统自动运行各痕迹类型对应的解析器。
- 索引:将解析后的数据编入索引以支持检索。
- 向量嵌入:执行面向 AI 分析的向量化转换。
- 就绪:全部处理完成后,即可开始 AI 分析。
处理耗时因数据量而异,通常在数分钟至 30 分钟内完成。