计算机取证分析学习笔记

分享到:
admin • 2020-07-06 09:14 来源:原创 EG0

  可以播放音乐哦!

  取证方法:

  看到计算机取证一直都是自己感兴趣的,在家里还有一本厚厚取证的书放着还没有看,准备一时闲着无聊可以看看的,看完前辈的文章后自己也做了实验下面是笔记。

  活取证

  抓取文件metadata,创建时间线, 命令历史,分析日志文件,哈希摘要,转存内存信息

  使用未受感受的干净程序执行取证

  U盘、网络存储收集到的数据

  在没有关机之前提取最新的数据证据

  提取内存里的信息 命令历史 命令日志等

  死取证

  关机后制作硬盘镜像、分析镜像(MBR、GPT、LVM)

  死取证则是关机之后

  如果是正确情况下不要考到电脑上,而是直接在u盘运行,会生成一个

  

  到当前目录下。把这个raw镜像放Kali通过volatility分析

  分析内存文件:

  volatility这个工具在Kali自带,这个工具功能十分的强大。

  查看这个文件信息,检测这个文件是在什么系统下的

  

  这里会提示此操作系统的版本后续都需要用到

  获取操作系统之后指定,查看文件进程

  

  以另外一种方式显示,更直观,以及父进和和子进程

  按内存地址查看注册表的内容,第一个地址,虚内存地址

  这里好像没有成功显示

  查看有多少用户:

  最后登录的用户

  正在运行的程序、运行过多少次、最后一次运行时间等

  提取进程中的内容

  -D参数是指定目录

  通过hexeditor工具来查看内存文件内容

  这里我通过pslist提取了notepad++

  应该是提取的这个没有内容都显示这个:

  

  提取字符串

  命令历史

  网络连接:

  我都怀疑虚拟机都中毒了

  

  ie浏览器记录

  提取hash

  

  firefox插件,查找记录

  安装放在:/usr/lib/python2.7/dist-packages/volatility/plugins/

  从多个位置收集大量系统活动信息

  活取证

  Windows 下:

  https://technet.microsoft.com/en-us/sysinternals/dd996900.aspx

  procdump -ma notepad.exe notepad.dmp

  https://technet.microsoft.com/en-us/sysinternals/bb897439.aspx

本文来源前瞻网,转载请注明来源!(图片来源互联网,版权归原作者所有)

p23q0

分享:
标签:
J

意见
反馈

×