取证导论 Volatility入门使用——ctf公开课笔记记录
取证导论:
电子数据取证技术 是 对电子数据源里的电子数据证据进行发现、固定、提取、分析、检验、鉴定、出示、存档的全过程, 可以应用在 网络攻击窃密、反欺诈调查、内部审计、失泄密痕迹发现、恶意网站查处 等案例中。
什么是取证?
计算机数字取证分为内存取证和磁盘取证,活取证与死取证,不管是哪种取证方式,都应该尽量避免破坏犯罪现场。例如通过内存转储工具对内存进行快照,通过磁盘克隆工具对磁盘进行克隆,方便后期的分析工作。
什么是内存?
内存(RAM)
内存是计算机中重要的部件之一,它是外存与CPU进行沟通的桥梁。
计算机中所有程序的运行都是在内存中进行的,因此内存的性能对计算机的影响非常大.
内存 是 操作系统及各种软件交换数据的区域, 特点 为 数据无法永久存储,关机断电容易丢失。
内存取证的意义
并非所有的程序运行时都会产生临时文件,这时内存中的数据就显得尤为重要。又因为内存中的数据是容易丢失的,我们可以采取抓取内存镜像的方式,将内存中的数据保存下来,方便后续的分析。
工具:DumpIt
WinEn
FTK Imager
取证大师
内存分析工具:
开源工具: volatility
一款基于python2开发的内存取证工具,是一款命令行工具,支持Winxp、win10、linux.macos等
非开源工具:取证大师、RStudio
内存分析主要关注:
浏览器记录
系统进程
编辑器内容
网络连接状态
文件提取
命令行信息
Volatility的入门使用
取证文件后缀.raw、.vmem、.img
常用命令(imageinfo,pslist,dumpfiles,memdump)
可疑的进程 (notepad,cmd)
和磁盘取证结合起来考察
了解部分操作系统原理
常见文件后缀dmg,img
基础命令
python vol.py -f [image] --profile=[profile][plugin]
volatility -f [image] --profile=[profile][plugin]
其中-f后面加的是要取证的文件,--profile 后加的是工具识别出的系统版本,[plugin] 是指使用的插件,其中默认存在一些插件,另外还可以自己下载一些插件扩充
第一步: 获取内存操作系统: volatility -f (要解析的文件) imageinfo
知道操作系统类型后,就可以使用令对内存进行取证
命令一:
plist/pstree/psscan: 非常有用的插件,可以列出转储时运行的进程的详细信息
plist无法显示隐藏/终止进程,解决这个问题可以使用psscan,pstree同样也是扫描进程的
但是是以进程树的形式出现的
例如: volatility -f mem.vmem --profile=WinXP SP2 plist
当内容比较多的时候,可以导出文本进一步分析查看
volatility -f mem.vmem --profile=WinXP SP2 plist > plist.txt
输出到volatility安装的路径下
命令二:查看当前显示的notepad文本
volatility -f file.raw --profile=WinXPSP2x86 notepad
命令三:扫描所有的文件列表(常常结合grep)
volatility -f file.raw --profile=WinXPSP2x86 filescan| grep flag
或grep -E 'png|jpg|gif|zip|rar|7z|pdf|txt|doc'
命令四: dumpfiles导出文件
volatility -f file.raw --profile=WinXPSP2x86 dumpfiles -D .-Q 0x....
需要指定偏移量 -Q 和输出目录 -D
命令五:查看命令行上的操作
volatility -f file.raw --profile=WinXPSP2x86 cmdscan
其他工具
Veracrypt 中文版是一款适用于 WindowsMac OSX和 Linux的免费开源磁盘加密软件
VeraCrypt 是TrueCrypt 的分支,主要开发者是法国的Mounir ldrassi,他在 TrueCrypt 基础上强化了防暴力破解功能
可以挂载磁盘分区
取证大师、Rstudio等
取证大师是厦门市美亚柏科信息股份有限公司自主研发的计算机取证拳头产品.主要面向基层执法人员开发的“智能型”电子数据取证分析软件,
R-Studio是一个功能强大、节省成本的反删除和数据恢复软件系列。
取证导论 Volatility入门使用——ctf公开课笔记记录相关推荐
- 隐写术简论——ctf公开课笔记记录
隐写术 简述: 隐写 为 历史悠久的技术,属于 情报学 分支. 将某些特殊信息隐藏于正常载体之中,从而实现掩盖特殊信息存在的事实,在通信过程中隐蔽通信掩盖了秘密通信的行为,不易引起攻击者的怀疑. 消息 ...
- Coursera公开课笔记: 斯坦福大学机器学习第七课“正则化(Regularization)”
Coursera公开课笔记: 斯坦福大学机器学习第七课"正则化(Regularization)" +13投票 斯坦福大学机器学习第七课"正则化"学习笔记, ...
- Coursera公开课笔记: 斯坦福大学机器学习第十一课“机器学习系统设计(Machine learning system design)”
Coursera公开课笔记: 斯坦福大学机器学习第十一课"机器学习系统设计(Machine learning system design)" 斯坦福大学机器学习斯坦福大学机器学习第 ...
- Coursera公开课笔记: 斯坦福大学机器学习第六课“逻辑回归(Logistic Regression)”
Coursera公开课笔记: 斯坦福大学机器学习第六课"逻辑回归(Logistic Regression)" 斯坦福大学机器学习第六课"逻辑回归"学习笔记,本次 ...
- Coursera公开课笔记: 斯坦福大学机器学习第四课“多变量线性回归(Linear Regression with Multiple Variables)”
Coursera公开课笔记: 斯坦福大学机器学习第四课"多变量线性回归(Linear Regression with Multiple Variables)" 斯坦福大学机器学习第 ...
- Coursera公开课笔记: 斯坦福大学机器学习第二课“单变量线性回归(Linear regression with one variable)”
Coursera公开课笔记: 斯坦福大学机器学习第二课"单变量线性回归(Linear regression with one variable)" 发表于 2012年05月6号 由 ...
- Coursera公开课笔记: 斯坦福大学机器学习第一课“引言(Introduction)”
Coursera公开课笔记: 斯坦福大学机器学习第一课"引言(Introduction)" 注:这是我在"我爱公开课"上做的学习笔记,会在52opencours ...
- 北京大学肖臻老师《区块链技术与应用》公开课笔记8——BTC挖矿篇
北京大学肖臻老师<区块链技术与应用>公开课笔记 比特币挖矿篇,对应肖老师视频:click here 全系列笔记请见:全系列笔记请见:click here About Me:点击进入我的Pe ...
- 北京大学肖臻老师《区块链技术与应用》公开课笔记23——ETH挖矿难度调整篇
北京大学肖臻老师<区块链技术与应用>公开课笔记 以太坊挖矿难度调整,对应肖老师视频:click here 全系列笔记请见:click here About Me:点击进入我的Persona ...
最新文章
- php的server和location,3、Nginx关于server块和location块的配置
- Keras-数据准备
- [C++11]对模板右尖括号的优化
- C++ STL 线性容器的用法
- 【整理】LISP简介
- Centos系统创建用户oracle后,用该用户登陆系统,页面加载报错GConf error
- 挑战性题目DSCT601:背包问题
- 已知两点坐标和半径,求圆心
- ubuntu升级显卡驱动
- 从零快速搭建自己的爬虫系统
- 数据结构——“双向循环链表“ 易懂刨析双向循环链表(图解+代码)
- 【渝粤题库】陕西师范大学200931小学语文教学论 作业(高起专)
- 【Apache+Tomcat+Session+Memcache 高性能群集搭建】
- 音视频编解码基础知识
- vue-element换肤所有主题色和基础色均可自主配置
- 深恶痛绝,编程界的「劣驱良」
- (4)bootstrap标签页
- 华为机试二星题--机器人走迷宫
- 提高个人效率的方法和工具
- PDF Reader Pro for Mac 2.7.4.1 中文版 PDF编辑/批注/OCR/转换工具