5.6 KiB
基本取证方法
☁️ HackTricks 云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 YouTube 🎥
- 你在一家网络安全公司工作吗?想要在 HackTricks 中看到你的公司广告吗?或者想要获取 PEASS 的最新版本或下载 HackTricks 的 PDF吗?请查看订阅计划!
- 发现我们的独家 NFT 收藏品The PEASS Family
- 获取官方 PEASS & HackTricks 商品
- 加入💬 Discord 群组 或 Telegram 群组,或者关注我在推特上的🐦@carlospolopm。
- 通过向 hacktricks 仓库 和 hacktricks-cloud 仓库 提交 PR 来分享你的黑客技巧。
创建和挂载镜像
{% content-ref url="../../generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md" %} image-acquisition-and-mount.md {% endcontent-ref %}
恶意软件分析
这不是在获取镜像后执行的第一步。但是如果你有一个文件、文件系统镜像、内存镜像、pcap 等,你可以独立使用这些恶意软件分析技术,所以最好记住这些操作:
{% content-ref url="malware-analysis.md" %} malware-analysis.md {% endcontent-ref %}
检查镜像
如果你获得了设备的取证镜像,你可以开始分析分区、使用的文件系统并恢复可能的有趣文件(甚至是已删除的文件)。在以下链接中了解如何操作:
{% content-ref url="partitions-file-systems-carving/" %} partitions-file-systems-carving {% endcontent-ref %}
根据使用的操作系统甚至平台,应该搜索不同的有趣的证据:
{% content-ref url="windows-forensics/" %} windows-forensics {% endcontent-ref %}
{% content-ref url="linux-forensics.md" %} linux-forensics.md {% endcontent-ref %}
{% content-ref url="docker-forensics.md" %} docker-forensics.md {% endcontent-ref %}
对特定文件类型和软件进行深入检查
如果你有一个非常可疑的文件,那么根据文件类型和创建它的软件,可能会有一些技巧有用。阅读以下页面以了解一些有趣的技巧:
{% content-ref url="specific-software-file-type-tricks/" %} specific-software-file-type-tricks {% endcontent-ref %}
我想特别提到以下页面:
{% content-ref url="specific-software-file-type-tricks/browser-artifacts.md" %} browser-artifacts.md {% endcontent-ref %}
内存转储检查
{% content-ref url="memory-dump-analysis/" %} memory-dump-analysis {% endcontent-ref %}
Pcap 检查
{% content-ref url="pcap-inspection/" %} pcap-inspection {% endcontent-ref %}
反取证技术
请记住可能使用反取证技术:
{% content-ref url="anti-forensic-techniques.md" %} anti-forensic-techniques.md {% endcontent-ref %}
威胁猎杀
{% content-ref url="file-integrity-monitoring.md" %} file-integrity-monitoring.md {% endcontent-ref %}
☁️ HackTricks 云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 YouTube 🎥
- 你在一家网络安全公司工作吗?想要在 HackTricks 中看到你的公司广告吗?或者想要获取 PEASS 的最新版本或下载 HackTricks 的 PDF吗?请查看订阅计划!
- 发现我们的独家 NFT 收藏品The PEASS Family
- 获取官方 PEASS & HackTricks 商品
- 加入💬 Discord 群组 或 Telegram 群组,或者关注我在推特上的🐦@carlospolopm。
- 通过向 hacktricks 仓库 和 hacktricks-cloud 仓库 提交 PR 来分享你的黑客技巧。