0803实操-数字取证

0803实操-数字取证

易失性数据收集

创建应急工具箱,并生成工具箱校验和,能在最低限度地改变系统状态的情况下收集易失性数据。

数据箱
在这里插入图片描述
使用md5sums.exe对工具目录中的所有文件进行计算
在这里插入图片描述
获取计算机本地日期和时间。输入命令date/t>timefront.txt和命令time/t>>timefront.txt将获取的日期和时间存储在timefront.txt文档中
在这里插入图片描述
执行下列命令并保存结果为txt
systeminfo>systeminfo.txt获取系统概要文件
netstat-a>netstat.txt获取所有网络连接和侦听端口信息
ipconfig>ipconfig.txt获取计算机的TCP/IP配置
在这里插入图片描述
psInfo.exe > psinfo.txt建立系统概要文件
生成的psinfo.txt文档中包括系统信息(系统安装时间、内存大小、CPU频率和品牌、操作系统类型等)和软件信息。输入命令netstat-a>netstat.txt获取所有网络连接和侦听端口信息,并保存在netstat.txt文档中。生成的netstat.txt文档内容如下。
在这里插入图片描述
PsLoggedOn.exe获取本地和远程登录的用户信息
在这里插入图片描述
取证结束后
再次计算取证tools文件夹的MD5散列值。使用命令md5sumsC:\Users\Administrator\Desktop\tools>md5back.txt,将散列值存储在md5back.txt文档中。该文档与md5front.txt进行比较从而判断这些文件是否发生改变。
再次获取本地日期和时间。使用命令date/t>timeback.txt和命令time/t>>timeback.txt获取的日期和时间存储在timeback.txt文档中
在这里插入图片描述
取证中可以根据需要对易失性数据进行收集记录,并且保全数据从而达到证据证明力的最大化。

浏览器取证

网页浏览活动经常需要调查的内容主要有:上网访问历史记录(访问过的站点地址列表、次数、最后访问时间等)、缓存(Cache)、Cookies、收藏夹(Favorites)。不同的IE浏览器版本存在一些细微的差异,IE浏览器从版本IE5~IE9采用了相同的工作机制及数据存储方式,IE10以上版本则采用了全新的存储机制。Firefox浏览器的数据存储采用的是SQLite数据库,因此可用SQLite数据库查看工具打开该文件进行SQL语句查询查看数据库中的数据

IE浏览器

C:\Users\Administrator\AppData\Local\Microsoft\Windows\History
在这里插入图片描述
在这里插入图片描述
获取缓存数据
在这里插入图片描述
获取Cookie
不知道怎么看,没找到

最近使用的项目
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent
在这里插入图片描述
收藏夹

在这里插入图片描述
在这里插入图片描述

firefox浏览器

查看缓存
about:cache
在这里插入图片描述
在这里插入图片描述
火狐浏览器的数据库文件
上网历史记录、书签及下载文件列表数据库名为places.sqlite
在这里插入图片描述
使用SQLiteStudio软件打开数据库文件
在这里插入图片描述
查看上网记录
在这里插入图片描述
在这里插入图片描述
查看下载文件列表moz_annos
查看书签
在这里插入图片描述

注册表取证

regedit.exe
5个注册表配置单元:
HKEY_USERS(包含所有加载的用户配置文件)、HKEYCURRENT_USER(当前登录用户的配置文件)、HKEY_CLASSES_ROOT(包含所有已注册的文件类型、OLE等信息)、HKEYCURRENT_CONFIG(启动时系统硬件配置文件)、HKEYLOCAL_MACHINE(配置信息,包括硬件和软件设置)
在这里插入图片描述
获取无线接入点的GUID列表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles!在这里插入图片描述
查看最近使用或打开的文档
计算机\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\

如果要看.txt就加上
计算机\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs.txt
在这里插入图片描述
查看URL浏览记录
计算机\HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs
在这里插入图片描述
查看启动项。取证人员经常需要找到哪些应用程序或服务会在系统启动时被启动。因为攻击者很可能会通过这种方式来启动他们在目标机器上种植的木马程序,以与远程服务器建立连接。计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在这里插入图片描述
查看启动时运行一次的软件。如果攻击者只是希望软件在启动时运行一次,则可以
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce位置设置子键。
RunOnce键值与Run键值类似,‌但它的执行仅发生一次。‌RunOnce键值下的项目在执行一次后会被自动删除,‌这意味着它们仅在用户下次登录时启动一次,‌之后便不再自动启动。‌
在这里插入图片描述
系统启动时将会启动的所有服务。如果键值设置为2,服务将自动启动;如果设置为3,则必须手动启动服务;如果设置为4,则该服务被禁用。
在这里插入图片描述
查看usb存储设备
攻击者在你的电脑插入了一个USB设备,并拷贝走了你大量重要的数据文件。这时可以通过计算机\HKEY_LOCAL_Machine\SYSTEM\ControlSet001\Enum\USBSTOR键值,来查找USB存储设备插入和使用的证据。
展开USBSTOR可以查看到,所有曾经连接过该系统的USB存储设备列表。
在这里插入图片描述

恢复已删除的数据

数据恢复就是误删除之后的数据恢复,这时一定不要再向该分区或者磁盘写入信息,这样刚被删除的文件被恢复的可能性最大。实际上当用FDISK(进行硬盘分区,从实质上说就是对硬盘的一种格式化)删除了硬盘分区之后,表面现象是硬盘中的数据已经完全消失,在未格式化时进入硬盘会显示无效驱动器。如果了解FDISK的工作原理,就会知道,FDISK只是重新改写了硬盘的主引导扇区(0面0道1扇区)中的内容。具体说就是删除了硬盘分区表信息,而硬盘中的任何分区的数据均没有改变。由于删除与格式化操作对于文件的数据部分实质上丝毫未动,这样,就给文件恢复提供了可能性。我们只要利用一些反删除软件(工作原理是通过对照分区表来恢复文件),用户可以轻松地实现文件恢复的目的。同时误格式化和误删除的恢复方法在使用上基本上没有大的区别,只要没有用FDISK命令打乱分区的硬盘,要恢复的文件所占用的簇未被其他文件占用,这样,格式化前的大部分数据仍是可以被恢复的。DiskGenius是一款硬盘分区及数据恢复软件。它是在最初的DOS版的基础上开发而成的。Windows版本的DiskGenius软件,除了继承并增强了DOS版的大部分功能外(少部分没有实现的功能将会陆续加入),还增加了许多新的功能。如:已删除文件恢复、分区复制、分区备份、硬盘复制等功能。另外还增加了对VMWare、VirtualPC、VirtualBox虚拟硬盘的支持。

恢复已删除的文件

shift+delete永久删除
在这里插入图片描述
使用DiskGenius软件进行恢复(免费版,只能恢复一个文件)
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
恢复完成
在这里插入图片描述

恢复被格式化的磁盘中的文件

(DiskGenius免费版限制,只能恢复小文件)
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
恢复完成
在这里插入图片描述

常见加密文件破解

1.破解加密pdf文件密码
软件:Advanced PDF Password Recovery
2.破解加密zip文件密码
软件:Ziperello
3.破解MD5明文内容
软件:MD5Crack

wireshark数据包分析

内存取证

security-system.data是一个内存镜像文件。
cmd窗口中输入命令volatility.exe-fsecurity-system.data–info|more,–info是查看已经注册的对象(插件),more参数是因为命令显示的过多,一次性无法全部查看,按空格可以翻页,按q直接退出
在这里插入图片描述
在这里插入图片描述
输入命令volatility.exe-fsecurity-system.dataimageinfo,查看镜像相关信息
在这里插入图片描述
命令模式为:volatility-f<文件名>–profile=<配置文件>插件参数,可以使用不同的插件来分析内存镜像,输入命令volatility.exe-fsecurity-system.data–profile=WinXPSP2x86pslist,pslist是列举进程的参数。插件参数:consoles查看历史命令行,输入命令volatility.exe-fsecurity-system.data–profile=WinXPSP2x86
在这里插入图片描述
插件参数:consoles查看历史命令行,输入命令volatility.exe-fsecurity-system.data–profile=WinXPSP2x86 consoles,可以看到获取内存时,当前cmd执行的历史记录,首先切换到桌面目录,然后向code.txt中写入一些十六进制的数据。
在这里插入图片描述
插件参数:notepad查看记事本记录,输入命令volatility.exe-fsecurity-system.data–profile=WinXPSP2x86 notepad,可以查看记事本的输入记录
在这里插入图片描述
插件参数:iehistory查看浏览器操作记录,输入命令volatility.exe-fsecurity-system.data–profile=WinXPSP2x86 iehistory
在这里插入图片描述

流量分析实验

某单位内的一名运维人员不顾公司安全要求,私自使用公司配发的电脑搭建网站,玩游戏,访问违规网站,最终导致电脑被黑客控制,公司安全人员为了调查出黑客的攻击方法以及小利的违规操作等信息,调取出了黑客攻击时段的流量信息,流量数据已经放置在虚拟机的桌面。
根据对流量包的分析回答下述问题。
1.小利访问最频繁的网站是?
imgs.gamersky.com
在这里插入图片描述
在这里插入图片描述
2.小利的IP是多少?
host看到访问域名imgs.gamersky.com的ip是192.168.12.126
在这里插入图片描述
后面感觉无厘头了,没继续了

综合取证实验

根据分析一个真实的被攻击服务器,增强取证的综合能力。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/393311.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

鸿蒙图形开发【3D引擎接口示例】

介绍 本实例主要介绍3D引擎提供的接口功能。提供了ohos.graphics.scene中接口的功能演示。 3D引擎渲染的画面会被显示在Component3D这一控件中。点击按钮触发不同的功能&#xff0c;用户可以观察渲染画面的改变。 效果预览 使用说明 在主界面&#xff0c;可以点击按钮进入不…

本科阶段最后一次竞赛Vlog——2024年智能车大赛智慧医疗组准备全过程——4Bin模型转化过程

本科阶段最后一次竞赛Vlog——2024年智能车大赛智慧医疗组准备全过程——4Bin模型转化过程 ​ 大家好&#xff0c;经过前几期的介绍&#xff0c;对于X3派上的Yolo模型部署&#xff0c;我们已经可以进行到最后一步了 ​ 今天给大家带来&#xff0c;转模型的关键步骤&#xff0…

学习进行到了第十七天(2024.8.5)

1.Mybatis的定义 数据持久化是将内存中的数据模型转换为存储模型&#xff0c;以及将存储模型转换为内存中数据模型的统称。例如&#xff0c;文件的存储、数据的读取以及对数据表的增删改查等都是数据持久化操作。MyBatis 支持定制化 SQL、存储过程以及高级映射&#xff0c;可以…

linux磁盘可视化分析工具

在 Linux 系统中&#xff0c;了解磁盘使用情况对于系统维护和优化至关重要。文件和目录随着时间的推移会占据大量磁盘空间&#xff0c;了解哪些部分占用的空间最多可以帮助我们更好地管理和清理磁盘。Baobab&#xff0c;也称为 GNOME Disk Usage Analyzer&#xff0c;是一款非常…

Radamsa:一款高性能通用模糊测试工具

关于Radamsa Radamsa是一款高性能的通用模糊测试工具&#xff0c;广大研究人员可以将其当作一个应用程序稳定性测试的测试用例生成工具。 工具运行机制 该工具使用简单&#xff0c;支持自定义脚本开发&#xff0c;可以用于测试程序对格式错误和潜在恶意输入的承受能力。它的工…

AGI思考探究的意义、价值与乐趣 Ⅴ

搞清楚模型对知识或模式的学习与迁移对于泛化意味什么&#xff0c;或者说两者间的本质&#xff1f;相信大家对泛化性作为大语言模型LLM的突出能力已经非常了解了 - 这也是当前LLM体现出令人惊叹的通用与涌现能力的基础前提&#xff0c;这里不再过多赘述&#xff0c;但仍希望大家…

国标GB28181视频平台LntonCVS视频融合共享平台视频汇聚应用方案

近年来&#xff0c;国内视频监控应用迅猛发展&#xff0c;系统接入规模不断扩大&#xff0c;导致了大量平台提供商的涌现。然而&#xff0c;不同平台的接入协议千差万别&#xff0c;使得终端制造商不得不为每款设备维护多个不同平台的软件版本&#xff0c;造成了资源的严重浪费…

【LeetCode】54. 螺旋矩阵

螺旋矩阵 题目描述&#xff1a; 给你一个 m 行 n 列的矩阵 matrix &#xff0c;请按照 顺时针螺旋顺序 &#xff0c;返回矩阵中的所有元素。 示例 1&#xff1a; 输入&#xff1a;matrix [[1,2,3],[4,5,6],[7,8,9]] 输出&#xff1a;[1,2,3,6,9,8,7,4,5]示例 2&#xff1a;…

基于STM32的环境监测系统

目录 引言环境准备工作 硬件准备软件安装与配置系统设计 系统架构硬件连接代码实现 初始化代码传感器读取代码应用场景 家居环境监测工业环境监测常见问题及解决方案 常见问题解决方案结论 1. 引言 环境监测系统在我们的日常生活和工作中变得越来越重要。通过监测空气质量、…

秃姐学AI系列之:丢弃法 + 代码实现 | 数值稳定性

丢弃法 动机 一个好的模型需要对输入数据的扰动鲁棒 使用有噪音的数据等价于Tikhonov正则丢弃法&#xff1a;在层之间加入噪音 正则都可以理解为它在控制模型不要过拟合&#xff0c;不要太大 丢弃法不在数据中增加噪音&#xff0c;转而在层中增加噪音&#xff0c;所以丢弃法…

JavaScript前端面试题——fetch

什么是fetch&#xff1f; fetch&#xff1a;fetch是浏览器内置的api&#xff0c;用于发送网络请求 ajax&axios&fetch的关系 ajax&#xff1a;ajax 是一种基于原生 JavaScript 的异步请求技术。它使用 XMLHttpRequest 对象来发送请求和接收响应。 axios&#xff1a;…

C++设计模式笔记(内附可运行代码示例)

持续更新, 欢迎关注....... 前言 设计目的 高内聚&#xff0c;低耦合 设计原则 1、开放封闭原则 类的改动是通过增加代码进行&#xff0c;而不是修改源代码。 2、单一职责原则 职责单一&#xff0c;对外只提供一种功能&#xff0c;引起类变化的原因都应该只有一个。 3…

GitHub Revert Merge Commit的现象观察和对PR的思考

文章目录 前言Pull Request 为什么会是这样&#xff1f;Pull Request Branch的差异 ?Two Dot Diff和Three Dot Diff 老生常谈&#xff1a; Merge 和 Rebasegit mergegit rebase Revert Main分支中的一个Merge Commit现象描述解决方案: Revert Feature分支中的一个Merge Commi…

Linux系统 腾讯云服务/宝塔面板安装《最新版本2024》禅道开源版本20.2

文章目录 目录 文章目录 安装流程 小结 概要安装流程技术细节小结 概要 有两种方式1.自带有服务器安装和2.使用禅道官方的服务器免费使用 第一种&#xff1a;免费的提供5人使用&#xff0c;存储的数据大小也是有限制的范围的 禅道下载 - 禅道项目管理软件 下滑页面就能…

python中的魔术方法(特殊方法)

文章目录 1. 前言2. __init__方法3. __new__方法4. __call__方法5. __str__方法6. __repr__方法7. __getitem__方法8. __setitem__方法9. __delitem__方法10. __len__方法11. 富比较特殊方法12. __iter__方法和__next__方法13. __getattr__方法、__setattr__方法、__delattr__方…

Linux用户-普通用户

作者介绍&#xff1a;简历上没有一个精通的运维工程师。希望大家多多关注我&#xff0c;我尽量把自己会的都分享给大家&#xff0c;下面的思维导图也是预计更新的内容和当前进度(不定时更新)。 Linux是一个多用户多任务操作系统,这意味着它可以同时支持多个用户登录并使用系统。…

微信小程序实现上传照片功能

案例&#xff1a; html: <view class"zhengjianCont fontSize30" style"margin-bottom: 40rpx;"><view class"kuai"><image binderror"imageOnloadError" bind:tap"upladPhoto" data-params"business…

杂谈c语言——3.内存对齐

先看两个例子&#xff1a; typedef struct S {int a;double b;char c; }S;typedef struct B {int a;char b;double c; }B;int main() {printf("S : %d\n", sizeof(S));printf("B : %d\n", sizeof(B));return 0; } 结果为&#xff1a; S:24; B:16&#xff…

常用在线 Webshell 查杀工具推荐

一、简介 这篇文章将介绍几款常用的在线 Webshell 查杀工具&#xff0c;包括长亭牧云、微步在线云沙箱、河马和VirusTotal。每个工具都有其独特的特点和优势&#xff0c;用于帮助用户有效检测和清除各类恶意 Webshell&#xff0c;保障网站和服务器的安全。文章将深入探讨它们的…

【Redis】String字符串

目录 String字符串 常见命令 SET GET MSET MGET SETNX 计数命令 INCR INCRBY DECY DECYBY INCRBYFLOAT 其他命令 APPEND GETRANGE SETRANGE STRLEN 内部编码 String类型的典型使用场景 缓存(Cache)功能 计数功能 共享会话(Session) String字符串 字符…