什么叫电子取证,电子物证取证技术

  什么叫电子取证,电子物证取证技术

  取证工具的易变性

  Volatility是一个开源的内存取证框架,用于分析导出的内存镜像,获取内核数据结构,使用插件获取内存细节和系统运行状态。特点:

  开源:用Python编写,易于与基于Python的主机防御框架集成。

  多平台支持:全面支持Windows、Mac、Linux。

  易扩展:通过插件扩展波动率的分析能力。

  工具帮助

  复制。将原始文件从u盘转储到桌面,并授予打开和查看终端的权限。chmod x 7.raw授予读写权限,然后查看volatile-h//help命令来分析内存文件。

  注意volatility -f 7.raw imageinfo//文件信息和概要文件,输出关于转储文件系统的信息。如果您获得了转储文件,但不知道它的系统信息,您可以使用此命令进行判断。它会向您输出最可能的系统版本信息。我不是来评判的。文件转储系统是win 7 sp 1 x 64 volatile-F7。raw-profile=win 7 sp 1 x 64 PS list//查看列表进程和物理内存的位置,图中偏移量(v)为表进程的程序名;PID(processid ):PID是一个程序被操作系统加载到内存中成为一个进程后动态分配的资源。每次运行程序都会重新加载操作系统,每次PID都不一样。PID(parentprocessid) :PPID是程序的父进程号。Thds表示线程的数量。指示启动进程开始运行的时间。volatility-F7 . raw-profile=win 7 sp 1 x 64 mem dump-p364-DMEM//dump将内存存储在我当前的系统目录文件夹中。请事先在这里创建目录文件夹。否则,将会报告一个错误。-p指定PID。-指定D目录文件夹。检查hexeditor364.DMP//dump文件的内容。

  查看strings364.DMP//DMP文件中的字符

  Strings 364.dmp grep password //提取字符串grep密码

  可以查看volatility-F7 . raw-profile=win 7 sp 1 x 64 p tree//父子进程。

  volatility-F7 . raw-profile=win 7 sp 1 x 64配置单元列表//检查计算机配置单元注册表中的数据库文件。

  volatility-F7 . raw-profile=win 7 sp 1 x 64 hive dump-o0x fffff 8 a 0008 c 8010//按虚拟内存地址显示注册表内容

  volatility-F7 . raw-profile=win7sp 1 x64 print key-

  k " Sam \ domains \ account \ users \ names "

  //检查用户帐户

  volatility-F7 . raw-profile=win7sp 1 x64 print key-k

  "软件\ Microsoft \ windows nt \当前版本\ winlogon "

  //检查最后登录的帐户

  volatility-F7 . raw-profile=win 7 sp 1 x 64用户辅助//正在运行的程序,已经运行了多少次,最后一次运行的时间。

  volatility-F7 . raw-profile=win 7 sp 1 x 64 hi velist//提取哈希

  volatility-F7 . raw-profile=win7sp 1 x64哈希转储-y系统-ssam

  volatility-F7 . raw-profile=win 7 sp 1x 64 cmdscan//命令行历史记录

  volatility-F7 . raw-profile=win 7 sp 1 x 64 netscan///网络连接

  Volatility-F7 . raw-profile=win 7 sp 1 x 64 ie history//网页历史信息以上是volatility自带的插件。学习如何自己安装和使用插件。

  电压附加插件

  Firefox历史插件

  358次下载。挥发性foundation.org/contest/2014/Dave拉萨尔_法医suite.zip//下载地址

  /usr/lib/python 2.7/dist-packages/volatile/plugins//导航到此目录

  volatility-F7 . raw-profile=win 7 sp 1x 64 Firefox history//使用此插件

  时间轴插件

  volatility-F7 . raw-profile=win7sp 1 x64 timeliner

  从多个位置收集大量系统活动信息

  USN日志插件

  跟踪硬盘内容的变化-NTFS功能。没有记录具体的变化)

  https://raw.github用户content.com/Tom斯潘塞/volatility/master/usn parser /

  usnparser.py

  volatility-F7 . raw-profile=win7sp 1 x64 usn parser-output=CSV-output-

  file=usn.csv

  内存取证中发现恶意软件

  https://github.com/volatility基金会/易变性/维基/记忆-样本

  https://代码。Google.com/archive/p/volatility/wikis/

  SampleMemoryImages.wiki

  内存取证中发现恶意软件

  XP在建立元数据会话后进行转储内存分析。

  volatility-fxp . raw-profile=win7sp 1 x64 p tree

  挥发扫描网络连接

  挥发getsid-p111,222 # sid

  挥发性列表-P111,222 #数量

  基于病毒检测结果的病毒检测。

  备注:以上介绍有点粗糙。对电子取证感兴趣的朋友可以深入研究一下。欢迎讨论!谢谢你转发我的后续!

郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。

留言与评论(共有 条评论)
   
验证码: