什么叫电子取证,电子物证取证技术
取证工具的易变性
Volatility是一个开源的内存取证框架,用于分析导出的内存镜像,获取内核数据结构,使用插件获取内存细节和系统运行状态。特点:
开源:用Python编写,易于与基于Python的主机防御框架集成。
多平台支持:全面支持Windows、Mac、Linux。
易扩展:通过插件扩展波动率的分析能力。
工具帮助
复制。将原始文件从u盘转储到桌面,并授予打开和查看终端的权限。chmod x 7.raw授予读写权限,然后查看volatile-h//help命令来分析内存文件。
注意volatility -f 7.raw imageinfo//文件信息和概要文件,输出关于转储文件系统的信息。如果您获得了转储文件,但不知道它的系统信息,您可以使用此命令进行判断。它会向您输出最可能的系统版本信息。我不是来评判的。文件转储系统是win 7 sp 1 x 64 volatile-F7。raw-profile=win 7 sp 1 x 64 PS list//查看列表进程和物理内存的位置,图中偏移量(v)为表进程的程序名;PID(processid ):PID是一个程序被操作系统加载到内存中成为一个进程后动态分配的资源。每次运行程序都会重新加载操作系统,每次PID都不一样。PID(parentprocessid) :PPID是程序的父进程号。Thds表示线程的数量。指示启动进程开始运行的时间。volatility-F7 . raw-profile=win 7 sp 1 x 64 mem dump-p364-DMEM//dump将内存存储在我当前的系统目录文件夹中。请事先在这里创建目录文件夹。否则,将会报告一个错误。-p指定PID。-指定D目录文件夹。检查hexeditor364.DMP//dump文件的内容。
查看strings364.DMP//DMP文件中的字符
Strings 364.dmp grep password //提取字符串grep密码
可以查看volatility-F7 . raw-profile=win 7 sp 1 x 64 p tree//父子进程。
volatility-F7 . raw-profile=win 7 sp 1 x 64配置单元列表//检查计算机配置单元注册表中的数据库文件。
volatility-F7 . raw-profile=win 7 sp 1 x 64 hive dump-o0x fffff 8 a 0008 c 8010//按虚拟内存地址显示注册表内容
volatility-F7 . raw-profile=win7sp 1 x64 print key-
k " Sam domains account users names "
//检查用户帐户
volatility-F7 . raw-profile=win7sp 1 x64 print key-k
"软件 Microsoft windows nt 当前版本 winlogon "
//检查最后登录的帐户
volatility-F7 . raw-profile=win 7 sp 1 x 64用户辅助//正在运行的程序,已经运行了多少次,最后一次运行的时间。
volatility-F7 . raw-profile=win 7 sp 1 x 64 hi velist//提取哈希
volatility-F7 . raw-profile=win7sp 1 x64哈希转储-y系统-ssam
volatility-F7 . raw-profile=win 7 sp 1x 64 cmdscan//命令行历史记录
volatility-F7 . raw-profile=win 7 sp 1 x 64 netscan///网络连接
Volatility-F7 . raw-profile=win 7 sp 1 x 64 ie history//网页历史信息以上是volatility自带的插件。学习如何自己安装和使用插件。
电压附加插件
Firefox历史插件
358次下载。挥发性foundation.org/contest/2014/Dave拉萨尔_法医suite.zip//
/usr/lib/python 2.7/dist-packages/volatile/plugins//导航到此目录
volatility-F7 . raw-profile=win 7 sp 1x 64 Firefox history//使用此插件
时间轴插件
volatility-F7 . raw-profile=win7sp 1 x64 timeliner
从多个位置收集大量系统活动信息
USN日志插件
跟踪硬盘内容的变化-NTFS功能。没有记录具体的变化)
https://raw.github用户content.com/Tom斯潘塞/volatility/master/usn parser /
usnparser.py
volatility-F7 . raw-profile=win7sp 1 x64 usn parser-output=CSV-output-
file=usn.csv
内存取证中发现恶意软件
https://github.com/volatility基金会/易变性/维基/记忆-样本
https://代码。Google.com/archive/p/volatility/wikis/
SampleMemoryImages.wiki
内存取证中发现恶意软件
XP在建立元数据会话后进行转储内存分析。
volatility-fxp . raw-profile=win7sp 1 x64 p tree
挥发扫描网络连接
挥发getsid-p111,222 # sid
挥发性列表-P111,222 #数量
基于病毒检测结果的病毒检测。
备注:以上介绍有点粗糙。对电子取证感兴趣的朋友可以深入研究一下。欢迎讨论!谢谢你转发我的后续!