Windows环境下的易失性数据取证

最新推荐文章于 2022-05-31 21:16:50 发布
最新推荐文章于 2022-05-31 21:16:50 发布
阅读量2.6k 收藏 6
点赞数
分类专栏: 恶意代码取证 文章标签: 取证 windows 易失性数据 恶意代码取证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NFMSR/article/details/81034953
版权

易失性数据取证

  1. 定义:开机状态下,一个目标系统包含能够反映系统状态的关键而短暂的信息。

  2. 范围: 恶意进程的内存空间,口令,IP地址,安全事件日志条目。

  3. 概念:事件响应取证,实时响应取证

  4. 总体思想:

    1. 建立实时响应工具包

    2. 确定和记录工具的依赖性:将工具装载到像Dependency Walker或者PEView之中

    3. 工具标注:修改文件名,用十六进制编辑器将文字加入到文件头领域,这样不会影响工具的使用。同时对每个工具的修改进行标注,包括原始文件名和散列值,还有新文件名及其散列值。

    4. 存储介质:

      1. 本地:CD,U盘,外部硬盘

      2. 远程:netcat或者cryptcat监听器

    5. 系统完整性监控软件:Winalysis或 InstallSpy,用于监听系统发生了那些变化

    6. 其他监听工具:FileMon,RegMon,Proces Monitor

  5. 收集方法:

    1. 首先对目标系统的整个内存转储进行获取

    2. 在可能受害的目标主机上,从事件响应工具箱中运行可信赖的命令行Shell

    3. 记录系统日期和时间,并且将其余可靠的时间源进行比较

    4. 获取物理内存的内容

    5. 搜集主机名,用户名和操作系统的细节

    6. 搜集系统状态和环境的细节

    7. 识别登录到当前系统的用户

    8. 检查网络连接和开放的端口

    9. 检查域名服务器查询记录以及与本地建立连接的主机的名称

    10. 检查运行 中的进程

    11. 检查与进程和程序关联的开放端口

    12. 检查服务和驱动

    13. 检查已经打开的文件

    14. 检查命令行的历史命令

    15. 确定被映射的驱动器和共享目录

    16. 使用Windows的net命令检查非授权的账户和组,共享以及其他系统资源和配置

    17. 确定已存在的计划任务

    18. 搜集剪贴板的内容

    19. 确定审计策略

  6. Windows系统收集易失性数据

    1. 获取进程信息: PsTools套件使用:

      下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstools

      然后将解压后的pslist.exe复制到C:\Windows\System32文件夹下。

       pslist 进程名 或pslist -dmx pid号 查看具体某个进程的具体信息

    2. 从实时Windows系统中获取整个内存:

      Helix事件响应中dd程序:不支持Windows Server 2003 SP1 及更高版本

      Nigilant32 :图形用户界面获得物理内存镜像

      远程取证工具:ProDiscoverIR(要求远程运行servlet程序),OnlineDFS, LiveWire(要求具有管理员权限)

    3. 系统时间和日期:命令行: date /t time /t

    4. 系统标识符:命令行: hostname 或 whoami 和 ver

      ipconfig /all 显示目标系统的IP地址,系统用户名,网络子网掩码,DNS服务器等信息

    5. 网络配置:查看网卡是否处于混杂模式下:命令行 ipconfig /all

      工具:Promiscdetect以及Promqry

    6. 被激活的协议:工具:URLProtocolView

    7. 系统正常运行时间:PsTools套件中插件:psinfo 中的uptime显示系统正常运行时间。

    8. 识别登录到当前系统的用户:(用户名,登录位置,登录Session,用户访问的共享文件,和该用户有关的进程,该用户引起的网络活动)

      工具:PsTools套件使用中Psloggedon和logonSessions

    9. 检查网络连接和活动:netstat -ano

    10. 来自主机系统的DNS查询:ipconfig /displaydns

    11. 检查NetBIOS连接:nbtstat命令 -c 显示缓存中的远程主机名和Ip地址,-S 和 net sessions 来确认当前的BIOSSession

      net file 命令,显示最近通过BIOS进行传输的文件名称。

    12. 检查ARP缓存:为了寻找其他被渗透主机的信息,arp -a命令

    13. 搜集进程信息:

      1. 进程名和进程标识符:tlist

      2. 临时上下文:pslist 中 Elapsed Time 表示进程运行的时间

      3. 进程内存使用情况:tasklist

      4. 进程镜像的全系统路径:pv -e

        下载地址:http://www.majorgeeks.com/files/details/process_viewer_for_windows_(prcview).html

      5. 检查程序所属用户:tasklist -v

      6. 检查子进程:pslist -t

      7. 检查启动进程的命令行:pv -l

      8. 检查进程的动态链接库:pv -m <process name>

    14. 搜集服务信息:

      1. tasklist /svc 查看粗略服务信息

      2. psservice 查看更详细的服务信息

    15. 检查打开的文件

      1. 识别本地打开的文件:工具:OpenFilesView

      2. 识别远程打开的文件:net file 或者psfile

    16. 收集命令的历史记录:doskey /history

    17. 检查计划任务: 工具:at 命令或者schtasks工具

    18. 收集剪贴板内容:pclip 命令 或者InsideClipboard

      pclip下载地址:https://sourceforge.net/projects/unxutils/

NFMSR
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
volatility内存取证软件,可用于windows环境
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) samples. The extraction techniques are performed completely independent of the sys
Windows 系统取证
YT的博客
04-24 4073
一般情况下,当发现 Windows 系统受到入侵而需要对系统进行取证分析的时候,首先需要关闭系统,然后对硬盘进行按位(bit-level)备份。 但是有些重要的入侵数据一旦关机往往会丢失。这些证据主要存在于被入侵机器的寄存器、缓存、内存中。主要包括网络连接状态、正在运行的进程等信息。这些数据被称为易失数据。 主要的易失数据包括: 系统日期和时间 当前运行的活动进程 当前的网络连接 当前打开的...
计算机犯罪取证之 采集易失性证据
weixin_34342578的博客
12-17 1010
 在计算系统遭到***的情况下,用户最关心的是多长时间能使系统恢复正常,因为系统或网络中断是带来损失的主要因素。很多机构的信息传达和通报系统一旦出现突发的信息中断,会导致大部分业务暂时或者长时间无法继续运行,将给整个业务带来无法挽回的损失,“零”时间恢复似乎成了大家追捧的响应策略。根据电子取证的工作目标,保留网络犯罪的现场证据也是必须要完成的工作使命,这就好比在刑事案件的现...
(五)计算机取证-制作初始响应工具包
m0_47110032的博客
05-31 790
计算机取证-制作初始响应工具包
mailpv密码获取
09-16
好用的系统工具,系统维护、清理必备,亲试,无毒,无后门!
如何手动提取易失数据
systemino的博客
08-25 2373
在本文中,我们将运行几个CLI命令,这些命令可帮助取证调查人员尽可能多地从系统收集易失数据。注意,我们在本文中使用的命令不是完整的命令列表。 在桌面上创建一个名为“case”的文件夹,并在里面创建另一个名为“case01”的子文件夹,然后使用一个空文件“volatile.txt”,以保存将要提取的输出内容。 在本文的示例中,我将所有输出保存在/SKS19/prac/notes.txt中,它可以帮助我们创建一个调查报告。 什么是易失数据? 计算机取证中收集的数据有两种类型:持久性数据易失数据
取证分析
weixin_43939527的博客
06-22 2120
1、在现场有一块 500GB SATA 硬盘、 一款智能手机(开机状态), 请简要描述从其获取到取证分析之间所注意的事项。 答:1) 获取时记录其具体位置 2)必要时现场记算硬盘哈希值 硬盘放入证物袋, 注意防磁等环境; 手机注意开关机状态, 放入屏蔽袋; 3) 准备一块不小于 500GB 的磁盘做目 标盘 4) 注意手机品牌, 操作系统、密码、配件 2、 在现场勘查时, 发现有处于开机状态台式机, 操作系统 winXP, 阐述获取此证物从拍照到封存的整个操作过程, 并举例列出在固定丢失数据时应注意的数据
《电子数据取证》读书笔记-第四章
m0_55631425的博客
09-20 231
计算机证彬国际组统(ntenatinal Orgnization on Computer Enidence. 1OCE)198年曼人陶集团(C8)委托,负责制定国际计算机取证原则,并于2000年颁布了计算机取证的6条原则: (1)取证过程必须符合规定和标准; (2)获取电子证据时,不得改变证据的原始性; (3)接触原始证据的人员应该得到培训; (4)任何对电子证据进行获取,访问、存储或转移的活动必须有完整记录; (5)任何人接触电子证据时,必须对其在该证据上的任何操作活动负责; (6)任何负责获取、访问、存
PsTools 易失数据收集工具包
03-31
PsTools用于易失数据收集
mailpv后台获取邮箱密码,支持msn,outlook,gtalk
11-09
可获取电脑内msn,outlook和gtalk内存储的账户与密码
Windows DFIR数字取证与事件响应
最新发布
04-15
Windows DFIR(数字取证与事件响应)是一种系统化的方法,用于识别、调查和应对网络安全事件。DFIR流程通常包括以下几个关键步骤: 1. **准备阶段**: - 建立和训练一个专业的应急响应团队。 - 制定和维护应急响应计划,包括通信协议、角色和职责。 - 确保拥有必要的工具和资源,如取证软件、备份数据和硬件设备。 - 进行定期的安全培训和演练,以确保团队成员熟悉流程和工具。 2. **识别阶段**: - 监控网络和系统活动,以便及时发现可疑行为或已知威胁指标(IOCs)。 - 使用自动化工具(如入侵检测系统、防病毒软件)来辅助识别潜在的安全事件。 - 接收来自员工或用户的安全事件报告。 3. **遏制阶段**: - 一旦确认安全事件,立即采取措施限制其影响范围。 - 隔离受影响的系统和网络,防止恶意行为扩散。 - 保留所有相关日志和数据,以便后续调查。 4. **调查阶段**: - 对受影响的系统进行详细的取证分析,包括系统日志、内存转储、网络流量等。 - 确定攻击者的入侵途径、在系统中的活动以
NirSoft.zip
07-19
windows官方小工具合集,内有alternatestreamview.cfg alternatestreamview.exe altstreamdump.exe appcrashview.exe awatch.exe axhelper.exe batteryinfoview.exe bluescreenview.exe bluetoothcl.exe bluetoothlogview.exe bluetoothview.exe browsinghistoryview.exe bulkfilechanger.exe bulletspassview.exe chromecacheview.exe chromecookiesview.exe chromehistoryview.exe chromepass.exe cleanafterme.exe clipboardic.exe countrytraceroute.exe cports.exe cprocess.exe csvfileview.exe ctie.exe customexplorertoolbar.exe deviceioview.exe devmanview.exe dialupass.exe diskcountersview.exe disksmartview.exe dllexp.exe dnsdataview.exe dnsquerysniffer.exe domainhostingview.exe dotnetresourcesextract.exe downtester.exe driveletterview.exe driverview.exe dumpedid.exe esedatabaseview.exe eventlogsourcesview.exe exifdataview.exe fastresolver.exe faview.exe fbcacheview.exe filetypesman.exe firefoxdownloadsview.exe flashcookiesview.exe folderchangesview.exe foldertimeupdate.exe gdiview.exe hashmyfiles.cfg hashmyfiles.exe heapmemview.exe htmlastext.exe htmldocedit.exe httpnetworksniffer.exe iconsext.exe iecacheview.exe iecv.exe iehv.exe iepv.exe imagecacheviewer.exe insideclipboard.exe installedcodec.exe installeddriverslist.exe ipinfooffline.exe ipnetinfo.exe jumplistsview.exe lastactivityview.exe livecontactsview.exe lsasecretsdump.exe lsasecretsview.exe macaddressview.exe mailpv.exe monitorinfoview.exe mozillacacheview.exe mozillahistoryview.exe mspass.exe muicacheview.exe multimonitortool.exe mweather.exe myeventviewer.exe mylastsearch.exe myuninst.exe mzcv.exe netbscanner.exe netconnectchoose.exe netpass.exe netresview.exe netrouteview.exe networkconnectlog.exe networkinterfacesview.exe networklatencyview.exe networktrafficview.exe nircmd.exe nircmdc.exe nk2edit.exe ntfslinksview.exe officeins.exe openedfilesview.exe opensavefilesview.exe openwithview.exe operacacheview.exe operapassview.exe outlookaddressbookview.exe outlookattachview.exe outlookstatview.exe passwordfox.exe passwordscan.exe 写不下了
使用内存取证分析高级易失性威胁-研究论文
06-09
对于拥有数字信息基础设施的组织而言,恶意软件一直是最大的威胁参与者之一。... 本文详细分析了无文件恶意软件以及类似的易失性威胁。 作为解决方案,已经提出了一种可用于检测此类威胁因素的工具。
云计算环境下的取证研究
01-20
云计算是一种基于互联网的超级计算模式,其在提供强大的计算资源的同时,也给信息安全...本文分析了云计算的特点,提出了云计算环境取证活动的基本要求,并在此基础上设计了针对云计算环境基本特点的实时取证模型。
论文研究-利用Windows内存转储文件对挥发性数据取证 .pdf
08-18
利用Windows内存转储文件对挥发性数据取证,张中文,曹天杰,本文给出了如何对挥发性内存数据进行取证获取有用信息,描述了崩溃转储的配置步骤和转储文件的分析过程。使用Microsoft Debugging Tools��
Linux 内存取证之文件系统取证(Volatility取证
NFMSR的博客
08-10 3019
File Systems 知识点 USB 通常挂载到 /mdia/external/文件夹下。/media是根目录文件 Mount 指令查看挂载情况,在内存分析中使用volatility linux_mount 插件 ext3/4,Linux系统中最常见的文件系统格式 sysfs,一个伪文件系统,通常挂载在/sys/文件夹下,保存一些硬件连接系统的信息。 proc...
Linux 内存取证 之进程空间取证(Volatility取证
NFMSR的博客
08-10 2888
进程分析目标: 识别出进程和他们的父进程或者子进程(恶意进程的启动进程和别的不一样)pstree 区分内核中的进程(恶意进程通常作为内核进程来运行) grep UID /etc/{passwd,group} 将进程和用户或者组联系起来 进程地址空间分析目标: 学会怎样从一个内存dump中提取出进程的堆,栈,可执行代码的区域 Cat /proc/&lt;pid&gt;/maps...
linux取证之内存取证
NFMSR的博客
07-19 2761
内存取证 内存取证工具:可以列出当前已经打开的文件,正在活动的网络连接,运行中的进程,甚至是一些被隐藏或没有运行但仍驻留在内存中的进程相关消息。 传统方法: 可读的文本和关键字搜索 工具: Volatility 方法学(内存取证的目的): 搜集信息:包括进程的详细信息,网络连接信息,和其他一些与潜在的恶意软件相关的信息,利用这些信息与从运行系统中获得信息进行比较分析 对于每个可疑的进程,如果...
电子数据取证大赛 pandas
10-16
电子数据取证大赛是一个为了推动电子数据取证技术发展而设立的比赛。在这个比赛中,参赛者需要运用各种技术和工具来收集、验证、保存和分析电子数据,以获取关键证据用于刑事调查、法律诉讼或其他相关领域。 Pandas是一个广泛应用于数据分析和处理的Python库。它提供了强大的数据结构和数据操作工具,使得处理和分析大规模数据集变得更加高效、简洁。在电子数据取证大赛中,参赛者可以使用Pandas来处理和分析收集到的电子数据,以便从中挖掘出关键信息和线索。 Pandas具备多种功能,如数据清洗、数据过滤、数据转换和数据聚合等。对于电子数据取证来说,这些功能非常有用。比如,参赛者可以使用Pandas来清洗收集到的电子数据,去除不必要的空值和重复数据;使用Pandas的过滤功能,筛选出具有特定特征或属性的数据;使用Pandas的转换功能,对数据进行格式化、排序或分类;使用Pandas的聚合功能,汇总和统计数据的特征和分布。 除了基本功能外,Pandas还提供了丰富的统计分析和数据可视化工具。这些工具可以帮助参赛者更好地理解和解释数据,并从中获得更深层次的洞察。比赛中,参赛者可以利用这些工具,对电子数据进行统计分析,如计算数据的平均值、方差和相关系数等;利用数据可视化功能,将数据以图表的形式展示,帮助发现数据的规律和趋势。 综上所述,Pandas在电子数据取证大赛中具有重要作用。参赛者可以利用Pandas强大的数据处理和分析功能,对收集到的电子数据进行处理和分析,以获得关键证据和有用信息。Pandas的灵活性和用性使得参赛者能够更高效地完成任务,并在竞赛中取得优异的成绩。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值