写在前面:
此博客仅用于记录个人学习内容,学识浅薄,若有错误观点欢迎评论区指出。欢迎各位前来交流。(部分材料来源网络,若有侵权,立即删除)
取证
01系统运行数据
-
使用工具:Live-Forensicator
-
工具路径:https://github.com/Johnng007/Live-Forensicator
-
使用方式:右键管理员运行,可以拿到系统运行相关数据
02自启动项
-
使用工具:Autoruns - Sysinternals | Microsoft Learn
-
使用方法:右键管理员运行即可
-
数据保留:通过命令行界面,将输出结果转存为csv格式文件。
autorunsc -accepteula -a * -s -h -c > output.csv
03内存提取
-
使用工具:WinPmem M或者DumpIt
-
严格使用要求:收集的文件需要保存在外部存储,避免再次对当前系统存储设备进行读写
-
winpmem项目:https://github.com/Velocidex/WinPmem
-
Belkasoft Live RAM Capturer
- 下载地址:https://belkasoft.com/get
-
FTK Imager
- 要提取内存,以管理员运行 FTK Imager.exe:
04磁盘证据收集
01 分类收集
- CylR
- 项目地址:https://github.com/orlikoski/CyLR
- 配置文件:https://github.com/orlikoski/CyLR/blob/main/CUSTOM_PATH_TEMPLATE.txt
- 卷影副本
- vssadmin create shadow /for=C: # 服务器使用vssadmin,工作站使用wmic
- 创建完成后直接复制需要的文件
02磁盘镜像
- FTK Imager
- 创建之前需要先检查磁盘是否加密,如加密需要再开机状态制作。
- 检测加密工具:EDD:MAGNET Encrypted Disk Detector - Magnet Forensics
更新机制深度解析)
)