本文参考各位前辈的优秀原创,仅为整理学习使用。
一般针对物证的提取可以分为两种:现场固定提取、封装打包后带回鉴定处固定提取。
易失性的证据,自然属于必须在现场立刻固定提取的一类,毕竟是”易失性“的,一断电或者重启数据就丢失了,或者被覆盖也没了。
内存
动态内存不仅指电脑RAM内存,也可以指代许多其他存有动态性易失数据的设备内存,如联网的路由器等。
随机存储器(Random Access Memory)可读可写,断电易失。
通常情况下,存储在内存中的证据不会写入硬盘驱动器,并且可以在pagefile.sys或hiberfil.sys中找到。
在内存中包含但不限于以下内容:
-
进程列表
-
已经执行的命令行
-
剪切板记录
-
网络连接
-
BitLocker/SafeBoot/PGP/TrueCrypt/ VeraCrypt等全盘加密或加密容器的恢复密钥
-
网络账户密码(如邮件、社交媒体、云存储等)
-
漏洞利用相关信息
-
$MFT记录(主文件表Master File Table)
-
部分注册表记录&#