.. | ||
memory-dump-analysis | ||
partitions-file-systems-carving | ||
pcap-inspection | ||
specific-software-file-type-tricks | ||
windows-forensics | ||
anti-forensic-techniques.md | ||
docker-forensics.md | ||
file-integrity-monitoring.md | ||
image-acquisition-and-mount.md | ||
linux-forensics.md | ||
malware-analysis.md | ||
README.md |
Основна Судово-Медична Методологія
{% hint style="success" %}
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Підтримати HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.
Створення та монтування образу
{% content-ref url="../../generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md" %} image-acquisition-and-mount.md {% endcontent-ref %}
Аналіз Шкідливого ПЗ
Це не обов'язково перший крок, який потрібно виконати, коли у вас є образ. Але ви можете використовувати ці техніки аналізу шкідливого ПЗ незалежно, якщо у вас є файл, образ файлової системи, образ пам'яті, pcap... тому добре тримати ці дії в пам'яті:
{% content-ref url="malware-analysis.md" %} malware-analysis.md {% endcontent-ref %}
Інспекція образу
Якщо вам надано судово-медичний образ пристрою, ви можете почати аналізувати розділи, файлову систему та відновлювати потенційно цікаві файли (навіть видалені). Дізнайтеся як у:
{% content-ref url="partitions-file-systems-carving/" %} partitions-file-systems-carving {% endcontent-ref %}
Залежно від використовуваних ОС та навіть платформи, слід шукати різні цікаві артефакти:
{% content-ref url="windows-forensics/" %} windows-forensics {% endcontent-ref %}
{% content-ref url="linux-forensics.md" %} linux-forensics.md {% endcontent-ref %}
{% content-ref url="docker-forensics.md" %} docker-forensics.md {% endcontent-ref %}
Глибока інспекція специфічних типів файлів та програмного забезпечення
Якщо у вас є дуже підозрілий файл, тоді в залежності від типу файлу та програмного забезпечення, яке його створило, можуть бути корисні кілька трюків.
Прочитайте наступну сторінку, щоб дізнатися деякі цікаві трюки:
{% content-ref url="specific-software-file-type-tricks/" %} specific-software-file-type-tricks {% endcontent-ref %}
Я хочу зробити особливе посилання на сторінку:
{% content-ref url="specific-software-file-type-tricks/browser-artifacts.md" %} browser-artifacts.md {% endcontent-ref %}
Інспекція дампу пам'яті
{% content-ref url="memory-dump-analysis/" %} memory-dump-analysis {% endcontent-ref %}
Інспекція Pcap
{% content-ref url="pcap-inspection/" %} pcap-inspection {% endcontent-ref %}
Анти-судово-медичні техніки
Майте на увазі можливе використання анти-судово-медичних технік:
{% content-ref url="anti-forensic-techniques.md" %} anti-forensic-techniques.md {% endcontent-ref %}
Полювання на загрози
{% content-ref url="file-integrity-monitoring.md" %} file-integrity-monitoring.md {% endcontent-ref %}
{% hint style="success" %}
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Підтримати HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.