mirror of https://github.com/carlospolop/hacktricks synced 2024-11-21 20:23:18 +00:00

History

Translator 05d146be07 Translated ['README.md', 'crypto-and-stego/hash-length-extension-attack.		2024-09-04 13:29:40 +00:00
..
memory-dump-analysis	Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie	2024-07-19 04:51:22 +00:00
partitions-file-systems-carving	Translated ['README.md', 'crypto-and-stego/hash-length-extension-attack.	2024-09-04 13:29:40 +00:00
pcap-inspection	Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md	2024-07-18 18:17:52 +00:00
specific-software-file-type-tricks	Translated ['binary-exploitation/basic-stack-binary-exploitation-methodo	2024-07-18 22:08:20 +00:00
windows-forensics	Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md	2024-07-18 18:17:52 +00:00
anti-forensic-techniques.md	Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md	2024-07-18 18:17:52 +00:00
docker-forensics.md	Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md	2024-07-18 18:17:52 +00:00
file-integrity-monitoring.md	Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md	2024-07-18 18:17:52 +00:00
linux-forensics.md	Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie	2024-07-19 04:51:22 +00:00
malware-analysis.md	Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md	2024-07-18 18:17:52 +00:00
README.md	Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie	2024-07-19 04:51:22 +00:00

README.md

基本取证方法论

{% hint style="success" %} 学习和实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE)
学习和实践 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

{% endhint %}

创建和挂载镜像

{% content-ref url="../../generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md" %} image-acquisition-and-mount.md {% endcontent-ref %}

恶意软件分析

这并不是在获得镜像后必须执行的第一步。但是如果你有一个文件、文件系统镜像、内存镜像、pcap...你可以独立使用这些恶意软件分析技术，因此记住这些操作是很好的：

{% content-ref url="malware-analysis.md" %} malware-analysis.md {% endcontent-ref %}

检查镜像

如果你获得了一个取证镜像，你可以开始分析分区、文件系统以及恢复潜在的有趣文件（甚至是已删除的文件）。了解如何进行：

{% content-ref url="partitions-file-systems-carving/" %} partitions-file-systems-carving {% endcontent-ref %}

根据使用的操作系统甚至平台，应该搜索不同的有趣文物：

{% content-ref url="windows-forensics/" %} windows-forensics {% endcontent-ref %}

{% content-ref url="linux-forensics.md" %} linux-forensics.md {% endcontent-ref %}

{% content-ref url="docker-forensics.md" %} docker-forensics.md {% endcontent-ref %}

深入检查特定文件类型和软件

如果你有一个非常可疑的****文件，那么根据文件类型和创建它的软件，可能会有几种技巧是有用的。
阅读以下页面以了解一些有趣的技巧：

{% content-ref url="specific-software-file-type-tricks/" %} specific-software-file-type-tricks {% endcontent-ref %}

我想特别提到以下页面：

{% content-ref url="specific-software-file-type-tricks/browser-artifacts.md" %} browser-artifacts.md {% endcontent-ref %}

内存转储检查

{% content-ref url="memory-dump-analysis/" %} memory-dump-analysis {% endcontent-ref %}

Pcap 检查

{% content-ref url="pcap-inspection/" %} pcap-inspection {% endcontent-ref %}

反取证技术

请记住可能使用的反取证技术：

{% content-ref url="anti-forensic-techniques.md" %} anti-forensic-techniques.md {% endcontent-ref %}

威胁狩猎

{% content-ref url="file-integrity-monitoring.md" %} file-integrity-monitoring.md {% endcontent-ref %}