hacktricks/forensics/basic-forensic-methodology/README.md

4.8 KiB
Raw Blame History

基本取证方法论

从零开始学习AWS黑客技术成为专家 htARTEHackTricks AWS红队专家

创建和挂载镜像

{% content-ref url="../../generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md" %} image-acquisition-and-mount.md {% endcontent-ref %}

恶意软件分析

不一定是在获得镜像后执行的第一步。但是如果您有文件、文件系统镜像、内存镜像、pcap等您可以独立使用这些恶意软件分析技术因此记住这些操作是很有用的:

{% content-ref url="malware-analysis.md" %} malware-analysis.md {% endcontent-ref %}

检查镜像

如果您获得了设备的取证镜像,您可以开始分析分区、使用的文件系统恢复可能有趣的文件(甚至是已删除的文件)。在以下位置了解如何操作:

{% content-ref url="partitions-file-systems-carving/" %} partitions-file-systems-carving {% endcontent-ref %}

根据使用的操作系统甚至平台,应搜索不同的有趣的证据:

{% content-ref url="windows-forensics/" %} windows-forensics {% endcontent-ref %}

{% content-ref url="linux-forensics.md" %} linux-forensics.md {% endcontent-ref %}

{% content-ref url="docker-forensics.md" %} docker-forensics.md {% endcontent-ref %}

对特定文件类型和软件进行深入检查

如果您有一个非常可疑的文件,那么根据文件类型和创建它的软件,可能会有几种技巧很有用。
阅读以下页面以了解一些有趣的技巧:

{% content-ref url="specific-software-file-type-tricks/" %} specific-software-file-type-tricks {% endcontent-ref %}

我想特别提到页面:

{% content-ref url="specific-software-file-type-tricks/browser-artifacts.md" %} browser-artifacts.md {% endcontent-ref %}

内存转储检查

{% content-ref url="memory-dump-analysis/" %} memory-dump-analysis {% endcontent-ref %}

Pcap检查

{% content-ref url="pcap-inspection/" %} pcap-inspection {% endcontent-ref %}

反取证技术

请记住可能使用反取证技术:

{% content-ref url="anti-forensic-techniques.md" %} anti-forensic-techniques.md {% endcontent-ref %}

威胁猎杀

{% content-ref url="file-integrity-monitoring.md" %} file-integrity-monitoring.md {% endcontent-ref %}

从零开始学习AWS黑客技术成为专家 htARTEHackTricks AWS红队专家