hacktricks/forensics/basic-forensic-methodology

Grundlegende forensische Methodik

Lernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

• Arbeiten Sie in einem Cybersicherheitsunternehmen? Möchten Sie Ihr Unternehmen in HackTricks bewerben? Oder möchten Sie Zugriff auf die neueste Version von PEASS oder HackTricks als PDF-Download haben? Überprüfen Sie die ABONNEMENTPLÄNE!
• Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
• Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
• Treten Sie der 💬 Discord-Gruppe oder der Telegramm-Gruppe bei oder folgen Sie mir auf Twitter 🐦@carlospolopm.
• Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an das hacktricks-Repository und das hacktricks-cloud-Repository senden.

Erstellen und Einbinden eines Abbilds

{% content-ref url="../../generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md" %} image-acquisition-and-mount.md {% endcontent-ref %}

Malware-Analyse

Dies ist nicht unbedingt der erste Schritt, den Sie ausführen sollten, sobald Sie das Abbild haben. Aber Sie können diese Malware-Analysetechniken unabhängig verwenden, wenn Sie eine Datei, ein Dateisystemabbild, ein Speicherabbild, eine Pcap-Datei usw. haben. Daher ist es gut, sich diese Aktionen zu merken:

{% content-ref url="malware-analysis.md" %} malware-analysis.md {% endcontent-ref %}

Inspektion eines Abbilds

Wenn Ihnen ein forensisches Abbild eines Geräts gegeben wird, können Sie mit der Analyse der Partitionen, des Dateisystems und der Wiederherstellung potenziell interessanter Dateien (auch gelöschter Dateien) beginnen. Erfahren Sie, wie dies funktioniert:

{% content-ref url="partitions-file-systems-carving/" %} partitions-file-systems-carving {% endcontent-ref %}

Je nach verwendeten Betriebssystemen und sogar Plattformen sollten verschiedene interessante Artefakte gesucht werden:

{% content-ref url="windows-forensics/" %} windows-forensics {% endcontent-ref %}

{% content-ref url="linux-forensics.md" %} linux-forensics.md {% endcontent-ref %}

{% content-ref url="docker-forensics.md" %} docker-forensics.md {% endcontent-ref %}

Detaillierte Untersuchung bestimmter Dateitypen und Software

Wenn Sie eine sehr verdächtige Datei haben, können je nach Dateityp und Software, die sie erstellt hat, verschiedene Tricks nützlich sein.
Lesen Sie die folgende Seite, um einige interessante Tricks zu erfahren:

{% content-ref url="specific-software-file-type-tricks/" %} specific-software-file-type-tricks {% endcontent-ref %}

Ich möchte eine besondere Erwähnung der Seite machen:

{% content-ref url="specific-software-file-type-tricks/browser-artifacts.md" %} browser-artifacts.md {% endcontent-ref %}

Untersuchung von Speicherabbildern

{% content-ref url="memory-dump-analysis/" %} memory-dump-analysis {% endcontent-ref %}

Pcap-Inspektion

{% content-ref url="pcap-inspection/" %} pcap-inspection {% endcontent-ref %}

Anti-Forensik-Techniken

Denken Sie an die mögliche Verwendung von Anti-Forensik-Techniken:

{% content-ref url="anti-forensic-techniques.md" %} anti-forensic-techniques.md {% endcontent-ref %}

Threat Hunting

{% content-ref url="file-integrity-monitoring.md" %} file-integrity-monitoring.md {% endcontent-ref %}

Lernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

• Arbeiten Sie in einem Cybersicherheitsunternehmen? Möchten Sie Ihr Unternehmen in HackTricks bewerben? Oder möchten Sie Zugriff auf die neueste Version von PEASS oder HackTricks als PDF-Download haben? Überprüfen Sie die ABONNEMENTPLÄNE!
• Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
• Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
• Treten Sie der 💬 Discord-Gruppe oder der Telegramm-Gruppe bei oder folgen Sie mir auf Twitter 🐦@carlospolopm.
• Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an das hacktricks-Repository und das hacktricks-cloud-Repository senden.