数字取证周报：洞察Windows winget攻击向量与iOS位置证据链

滥用Windows包管理器winget配置功能实现初始访问

你知道吗？攻击者已经开始利用Windows系统自带的“合法”工具来绕过安全机制了。最近有研究披露了一种新的攻击手法，它滥用Windows包管理器winget的“配置”功能来实现初始访问。

具体来说，.winget扩展名文件默认与winget.exe configure "%1" --wait命令关联。攻击者可以创建一个自引用的LNK快捷方式文件，其中嵌入了winget配置数据。当用户（可能被诱导）执行这个LNK文件时，winget会被调用，并作为PowerShell脚本的代理来执行代码。关键在于，这个过程绕过了Mark of the Web检查，并且由于winget是微软官方组件，目前也缺少SmartScreen的集成检查。

winget的配置功能非常强大，支持环境变量操作、注册表修改、存档解压以及创建进程等操作。攻击者甚至可以使用--accept-configuration-agreements选项来静默执行，无需用户确认。

防御者可以采取哪些措施呢？建议包括：通过组策略禁用Microsoft Store或winget的配置功能；移除.winget文件的关联；使用应用控制策略（如WDAC）进行限制；以及监控与winget configure相关的进程创建日志。这种技术凸显了红队评估中滥用预装系统组件的风险，值得安全团队警惕。

参考链接：https://blog.compass-security.com/2026/03/winget-desired-state-initial-access-established/

iOS位置数据破解CTF“非马里奥角色”挑战

在一次CTF挑战中，如何从一个看似简单的标题——“那不是马里奥角色”——和“用户常去地点”的提示中找到突破口？解题者巧妙地将思路转向了iOS设备的位置数据。

受前期线索“DOUBLEBLAK”及相关位置数据研究的启发，调查者在取证工具Magnet Axiom中检查了“重要位置”记录。这些记录包含了用户频繁访问地点的经纬度坐标。将其中一个坐标输入谷歌地图后，定位到了一家名为“Shy Guy Gelato”（害羞小子意式冰激凌）的店铺。

这个发现完美地呼应了“马里奥角色”的线索——在《超级马里奥》系列游戏中，“害羞小子”（Shy Guy）正是一个经典的非玩家角色。访问该店官网确认其吉祥物为一只熊猫后，挑战答案便迎刃而解。这个案例生动展示了地理位置痕迹在数据取证中的关键作用。

参考链接：https://ogmini.github.io/2026/03/05/MVS2026-AAR-Mario.html

Windows系统文件取证核心指南：构建关键证据链

对于数字取证调查员而言，Windows系统目录（C:\Windows）下潜藏着大量宝贵的非用户专属痕迹。高效地提取并关联这些数据，是构建完整事件时间线的关键。

本文将焦点放在了几个核心证据源上：

• SRUM数据库：记录网络与应用使用统计。
• Prefetch文件：缓存程序执行信息，有助于还原软件启动历史。
• PCA兼容性助手日志：记录GUI应用程序的启动尝试。
• WDI启动信息：提供系统启动时的进程详情。
• WMI仓库：可能包含攻击者建立的持久化机制。
• SetupAPI设备日志：记录硬件安装时间线，对分析USB设备使用至关重要。
• Wi-Fi事件追踪：关联设备与无线网络的连接历史。

调查的精髓在于多源关联。例如，将Prefetch中的程序执行痕迹、SRUM中对应的网络流量数据，以及SetupAPI中某个USB设备的安装记录进行交叉分析，就能勾勒出“某程序通过某U盘外传数据”的完整证据链。当然，也要注意排除临时文件等高噪音数据，并始终与注册表、事件日志等其他证据进行验证。虽然像Elcomsoft Quick Triage这类工具能提升采集效率，但最终的结论仍依赖于调查员对复杂系统痕迹的综合研判能力。

参考链接：https://blog.elcomsoft.com/2026/03/investigating-windows-file-system-artifacts-under-cwindows/

Firefox权限数据库：浏览器历史被删后的隐藏证据

当嫌疑人有意识地清除了浏览历史记录后，调查是否就陷入了僵局？未必。来自Gecko内核浏览器（如Firefox）的替代痕迹可能成为突破口。

关键在于一个名为Permissions.sqlite的数据库文件，它通常位于Firefox的用户配置文件夹中。该数据库的moz_perms表记录了网站向用户请求过的各种权限，例如访问麦克风、摄像头、显示弹出窗口等。每条记录的Origin字段保存了请求权限的完整URL（或扩展程序ID）。

例如，当用户使用网页版Microsoft Teams加入会议时，浏览器会请求音视频权限，这一行为就会被记录在该数据库中。因此，即使主浏览历史（Places.sqlite）被删除，这些权限请求记录仍然可以作为辅助证据，帮助推断用户访问过哪些网站、使用了哪些扩展，甚至进行了哪些特定类型的网络活动。这再次提醒我们，全面的数字取证需要关注每一个可能留存痕迹的角落。

参考链接：https://cyberdose.beehiiv.com/p/think-the-web-history-is-gone

MVS 2026 CTF iOS取证赛题全解析

最近结束的Magnet Virtual Summit (MVS) 2026 CTF中的iOS取证挑战，堪称一次对移动设备数据取证能力的综合大考。解题过程涵盖了从应用数据分析到完整时间线重构的多个维度。

本次挑战的亮点在于如何从海量碎片数据中建立关联：

• 身份关联：通过Instagram用户ID 2278169415 关联到网红@mrbeast。
• 意图推断：从日历事件中识别出“购买新耳机”的计划。
• 时间锚点：利用iCloud备份时间戳 2025-12-12 18:00:10 UTC 和健康数据中最远的移动距离 472.01米 来框定事件范围。
• 社交行为分析：解析Session消息，发现3人对Daniel表示关心；检查Depop应用快照，找到“趣味节日毛衣”的搜索记录。
• 输入还原：通过生物特征流（Biome）数据，还原出键盘输入的错误单词“sipposed”。
• 地理位置追踪：结合蜂窝连接坐标 (44.4758453, -73.2134094) 关联到Long Island MacArthur机场，并通过“重要位置”数据锁定“害羞小子冰激凌”店。
• 精确时序计算：高级挑战需要解析统一日志获取关机进程UUID 7FF3F4981C033CB5B10251CC57580B9C，并通过关联X（Twitter）私信阅读时间 00:40:54.490 与Signal首条消息时间 00:43:26.567，计算出精确间隔 00:02:32.077。

整个解题过程综合运用了Axiom、iLEAPP等专业取证工具及手动数据库查询技巧，完美诠释了现代移动设备取证的复杂性与深度。

参考链接：https://www.hexordia.com/blog/magnet-virtual-summit-2026-ctf-ios-questions

以上是近期数字取证领域值得关注的一些技术动态。如果你对网络安全、系统取证或CTF挑战有更多兴趣，欢迎到 云栈社区 的相关板块与大家交流探讨。