计算机取证

来源:原创作者:编辑:admin2020-07-21 07:12

  取证包括活取证和死取证。

  活取证包括抓取文件metadata、创建时间线、命令历史、分析日志文件、哈希摘要、转存内存信息,使用未受感染的干净程序执行取证,U盘/网络存储收集到的数据。

  死取证包括关机后制作硬盘镜像、分析镜像。

  内存dump工具:Dumpit,内存文件与内存大小接近或者稍微大一点,raw格式。

  内存分析工具:Volatility,

  volatility imageinfo -f xp.raw #文件信息,关注profile

  volatility hivelist -f XP.raw --profile=WinXPSP3x86 #数据库文件

  volatility -f XP.raw --profile=WinXPSP3x86 hivedump -o 0xe124f8a8 #按虚拟内存地址查看注册表内容

  volatility -f XP.raw --profile=WinXPSP3x86 printkey -K "SAM\Domains

  \Account\Users\Names" #用户账户

  volatility -f xp.raw --profile=WinXPSP3x86 printkey -K "SOFTWARE

  \Microsoft\Windows NT\CurrentVersion\Winlogon" #最后登陆的用户

  volatility -f XP.raw --profile=WinXPSP3x86 userassist #正在运行的程序、运行过多少次、最后一次运行时间

  volatility -f XP.raw --profile=WinXPSP3x86 pslist #进程列表及物理内存位置

  volatility -f 7.raw --profile=Win7SP1x64 memdump -p 1456 -D test #dump进程内存

  strings 1456.dmp > 1111.txt #提取字符串?grep password / @

  volatility cmdscan -f 7.raw --profile=Win7SP1x64 #命令行历史

  volatility netscan -f 7.raw --profile=Win7SP1x64 #网络连接

  volatility -f 7.raw --profile=Win7SP1x64 hivelist #提取HASH

  ?