mirror of https://github.com/carlospolop/hacktricks synced 2024-11-15 01:17:36 +00:00

History

Translator ed549d2c59 Translated ['binary-exploitation/rop-return-oriented-programing/ret2lib/		2024-05-02 15:03:25 +00:00
..
memory-dump-analysis	Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R	2024-02-09 02:09:47 +00:00
partitions-file-systems-carving	Translated ['forensics/basic-forensic-methodology/partitions-file-system	2024-03-26 15:45:57 +00:00
pcap-inspection	Translated ['crypto-and-stego/hash-length-extension-attack.md', 'forensi	2024-04-18 03:34:06 +00:00
specific-software-file-type-tricks	Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat	2024-03-29 21:06:45 +00:00
windows-forensics	Translated ['binary-exploitation/rop-return-oriented-programing/ret2lib/	2024-05-02 15:03:25 +00:00
anti-forensic-techniques.md	Translated ['binary-exploitation/rop-return-oriented-programing/ret2lib/	2024-05-02 15:03:25 +00:00
docker-forensics.md	Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti	2024-02-05 03:17:45 +00:00
file-integrity-monitoring.md	Translated ['ctf-write-ups/challenge-0521.intigriti.io.md', 'ctf-write-u	2024-02-07 04:49:09 +00:00
linux-forensics.md	Translated ['forensics/basic-forensic-methodology/linux-forensics.md'] t	2024-04-01 21:16:09 +00:00
malware-analysis.md	Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti	2024-02-05 03:17:45 +00:00
README.md	Translated ['forensics/basic-forensic-methodology/README.md', 'forensics	2024-02-09 01:27:24 +00:00

README.md

基本取证方法论

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS红队专家）！

您在网络安全公司工作吗？想要在HackTricks中看到您的公司广告吗？或者想要访问PEASS的最新版本或下载HackTricks的PDF吗？查看订阅计划！
发现我们的独家NFT收藏品The PEASS Family
获取官方PEASS和HackTricks周边
加入 💬 Discord群 或 电报群 或在Twitter上关注我 🐦@carlospolopm。
通过向hacktricks repo和hacktricks-cloud repo提交PR来分享您的黑客技巧。

创建和挂载镜像

{% content-ref url="../../generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md" %} image-acquisition-and-mount.md {% endcontent-ref %}

恶意软件分析

这不一定是在获得镜像后执行的第一步。但是，如果您有文件、文件系统镜像、内存镜像、pcap等，您可以独立使用这些恶意软件分析技术，因此记住这些操作是很有用的：

{% content-ref url="malware-analysis.md" %} malware-analysis.md {% endcontent-ref %}

检查镜像

如果您获得了设备的取证镜像，您可以开始分析分区、使用的文件系统并恢复可能有趣的文件（甚至是已删除的文件）。在以下位置了解如何操作：

{% content-ref url="partitions-file-systems-carving/" %} partitions-file-systems-carving {% endcontent-ref %}

根据使用的操作系统甚至平台，应搜索不同的有趣的证据：

{% content-ref url="windows-forensics/" %} windows-forensics {% endcontent-ref %}

{% content-ref url="linux-forensics.md" %} linux-forensics.md {% endcontent-ref %}

{% content-ref url="docker-forensics.md" %} docker-forensics.md {% endcontent-ref %}

对特定文件类型和软件进行深入检查

如果您有一个非常可疑的文件，那么根据文件类型和创建它的软件，可能会有几种技巧很有用。
阅读以下页面以了解一些有趣的技巧：

{% content-ref url="specific-software-file-type-tricks/" %} specific-software-file-type-tricks {% endcontent-ref %}

我想特别提到页面：

{% content-ref url="specific-software-file-type-tricks/browser-artifacts.md" %} browser-artifacts.md {% endcontent-ref %}

内存转储检查

{% content-ref url="memory-dump-analysis/" %} memory-dump-analysis {% endcontent-ref %}

Pcap检查

{% content-ref url="pcap-inspection/" %} pcap-inspection {% endcontent-ref %}

反取证技术

请记住可能使用反取证技术：

{% content-ref url="anti-forensic-techniques.md" %} anti-forensic-techniques.md {% endcontent-ref %}

威胁猎杀

{% content-ref url="file-integrity-monitoring.md" %} file-integrity-monitoring.md {% endcontent-ref %}