CLEAPP它!- ChromeOS日志事件与Protobuf解析器
简短版本:使用ChromeOS日志事件与Protobuf解析器(CLEAPP)处理从Chromebook提取的数据。CLEAPP采用Python 3编写,可从以下地址下载:https://github.com/markmckinnon/cLeapp
详细版本:直到不久前,从Chromebook提取数据进行取证分析似乎还是不可能的任务。感谢Daniel Dickerman的工作流程,只要您拥有设备的用户名和密码,我们现在可以提取数据。
请查看经过同行评审的流程:https://dfir.pubpub.org/pub/inkjsqrh/release/1
感谢Magnet Forensics,该流程已实现自动化,现在以名为Magnet Chromebook Acquisition Assistant的免费软件工具形式提供。
您可以做到!获取免费工具请访问:https://www.magnetforensics.com/resources/magnet-chromebook-acquisition-assistant/
现在怎么办?
现在您已经从设备获得了出色的提取数据。您将收到一个名为extracted.tgz的文件。
extracted.tgz
您该如何处理它?如何深入分析内容?使用CLEAPP。您可以从这里获取CLEAPP:https://github.com/markmckinnon/cLeapp
两步流程:
- 提取tgz文件
- 在CLEAPP中选择提取的数据位置,然后按处理按钮
简单!!!
这个项目是Mark McKinnon的创意,基于Android日志事件与Protobuf解析器社区项目。ALEAPP可以在这里找到:https://github.com/abrignoni/ALEAPP
目前CLEAPP可解析38种证据类别。如果没有Alex Caithness和Ryan Benson的贡献,这个项目不会达到现在的水平。非常感谢!
感谢各位绅士<3
安装
如果您熟悉iLEAPP或ALEAPP的工作原理,那么您已经知道如何使用CLEAPP。这些项目都是用Python完成的。如果您不熟悉如何运行Python脚本,请按照以下视频中的步骤操作。
您也可以使用CLEAPP发布版本中提供的可执行文件。这些可以在这里找到:https://github.com/markmckinnon/cLeapp/releases/tag/v1.0
使用CLEAPP
运行cleappGUI.py脚本以使用图形用户界面版本。它将看起来像这样:
点击周围就完成了
注意左侧的模块列表。您可以解析所有模块或选择单个模块。CLEAPP速度相当快,因此对于大多数用途,建议启用所有模块运行。
以下是它支持的一些模块的简短列表:
- Chromebook设备详情
- Chromebook设备日志
- Chromium浏览器
- Instagram Threads
- Chromium LevelDB数据存储(感谢Alex Caithness和Ryan Benson)
- Microsoft RDP
- Real VNC
- Google文档
- 以及更多…
CLEAPP完成处理后,输出将采用以下格式:
- HTML报告
- 每个证据的制表符分隔值文本文件
- 具有地理定位数据点的证据的KML文件
- 具有时间戳的证据的SQLite时间线文件
- 具有联系人信息的证据的SQLite联系人文件
HTML报告在报告左侧包含类别和证据。
HTML报告
设备详情选项卡将包含有关Chromebook的信息,如序列号、当前操作系统版本等。
设备详情
关于Chromebook的一个有趣事实是它们可以运行Android应用程序。随着时间允许,我计划合并所有ALEAPP证据以供CLEAPP使用,并确保两个项目都支持Android证据。
由于这是一个社区项目,我们非常乐意有更多的合作者。
准备好,Mark已经为CLEAPP提供了Autopsy集成。在这里查看:https://medium.com/@markmckinnon_80619/cleapp-autopsy-plugin-59ba312beccc
如有任何问题或评论,可以通过Twitter @AlexisBrignoni 和电子邮件4n6[at]abrignoni[dot]com联系我。
-Brigs