mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-29 08:01:00 +00:00
101 lines
5.6 KiB
Markdown
101 lines
5.6 KiB
Markdown
# 基本取证方法
|
||
|
||
<details>
|
||
|
||
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks 云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 推特 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 YouTube 🎥</strong></a></summary>
|
||
|
||
* 你在一家**网络安全公司**工作吗?想要在 HackTricks 中看到你的**公司广告**吗?或者想要**获取 PEASS 的最新版本或下载 HackTricks 的 PDF**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
|
||
* 发现我们的独家 NFT 收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
|
||
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
|
||
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass),或者**关注**我在**推特**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
|
||
* **通过向 [hacktricks 仓库](https://github.com/carlospolop/hacktricks) 和 [hacktricks-cloud 仓库](https://github.com/carlospolop/hacktricks-cloud) 提交 PR 来分享你的黑客技巧**。
|
||
|
||
</details>
|
||
|
||
## 创建和挂载镜像
|
||
|
||
{% content-ref url="../../generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md" %}
|
||
[image-acquisition-and-mount.md](../../generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md)
|
||
{% endcontent-ref %}
|
||
|
||
## 恶意软件分析
|
||
|
||
这**不是在获取镜像后执行的第一步**。但是如果你有一个文件、文件系统镜像、内存镜像、pcap 等,你可以独立使用这些恶意软件分析技术,所以最好**记住这些操作**:
|
||
|
||
{% content-ref url="malware-analysis.md" %}
|
||
[malware-analysis.md](malware-analysis.md)
|
||
{% endcontent-ref %}
|
||
|
||
## 检查镜像
|
||
|
||
如果你获得了设备的**取证镜像**,你可以开始**分析分区、使用的文件系统**并**恢复**可能的**有趣文件**(甚至是已删除的文件)。在以下链接中了解如何操作:
|
||
|
||
{% content-ref url="partitions-file-systems-carving/" %}
|
||
[partitions-file-systems-carving](partitions-file-systems-carving/)
|
||
{% endcontent-ref %}
|
||
|
||
根据使用的操作系统甚至平台,应该搜索不同的有趣的证据:
|
||
|
||
{% content-ref url="windows-forensics/" %}
|
||
[windows-forensics](windows-forensics/)
|
||
{% endcontent-ref %}
|
||
|
||
{% content-ref url="linux-forensics.md" %}
|
||
[linux-forensics.md](linux-forensics.md)
|
||
{% endcontent-ref %}
|
||
|
||
{% content-ref url="docker-forensics.md" %}
|
||
[docker-forensics.md](docker-forensics.md)
|
||
{% endcontent-ref %}
|
||
|
||
## 对特定文件类型和软件进行深入检查
|
||
|
||
如果你有一个非常**可疑的文件**,那么**根据文件类型和创建它的软件**,可能会有一些**技巧**有用。阅读以下页面以了解一些有趣的技巧:
|
||
|
||
{% content-ref url="specific-software-file-type-tricks/" %}
|
||
[specific-software-file-type-tricks](specific-software-file-type-tricks/)
|
||
{% endcontent-ref %}
|
||
|
||
我想特别提到以下页面:
|
||
|
||
{% content-ref url="specific-software-file-type-tricks/browser-artifacts.md" %}
|
||
[browser-artifacts.md](specific-software-file-type-tricks/browser-artifacts.md)
|
||
{% endcontent-ref %}
|
||
|
||
## 内存转储检查
|
||
|
||
{% content-ref url="memory-dump-analysis/" %}
|
||
[memory-dump-analysis](memory-dump-analysis/)
|
||
{% endcontent-ref %}
|
||
|
||
## Pcap 检查
|
||
|
||
{% content-ref url="pcap-inspection/" %}
|
||
[pcap-inspection](pcap-inspection/)
|
||
{% endcontent-ref %}
|
||
|
||
## **反取证技术**
|
||
|
||
请记住可能使用反取证技术:
|
||
|
||
{% content-ref url="anti-forensic-techniques.md" %}
|
||
[anti-forensic-techniques.md](anti-forensic-techniques.md)
|
||
{% endcontent-ref %}
|
||
|
||
## 威胁猎杀
|
||
|
||
{% content-ref url="file-integrity-monitoring.md" %}
|
||
[file-integrity-monitoring.md](file-integrity-monitoring.md)
|
||
{% endcontent-ref %}
|
||
|
||
<details>
|
||
|
||
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks 云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 推特 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 YouTube 🎥</strong></a></summary>
|
||
|
||
* 你在一家**网络安全公司**工作吗?想要在 HackTricks 中看到你的**公司广告**吗?或者想要**获取 PEASS 的最新版本或下载 HackTricks 的 PDF**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
|
||
* 发现我们的独家 NFT 收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
|
||
* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
|
||
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass),或者**关注**我在**推特**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
|
||
* **通过向 [hacktricks 仓库](https://github.com/carlospolop/hacktricks) 和 [hacktricks-cloud 仓库](https://github.com/carlospolop/hacktricks-cloud) 提交 PR 来分享你的黑客技巧**。
|
||
|
||
</details>
|