现场介质取证流程
特别需要注意现场开机状态下的计算机需要提取内存镜像,用来保护易失性数据
数据固定
复制文件
拍照
克隆(需要另外准备一块容量较大的硬盘):
winhex的磁盘克隆功能--需要管理员权限
制作镜像:
dd镜像(非压缩)
e01镜像(压缩)
FTK镜像提取
数据恢复
主要采用一些专业工具进行恢复(R-studio、winhex、DiskGenius)
常见文件头
介质分析
系统痕迹
最近访问的文件C:\Users\YYL1024\AppData\Roaming\Microsoft\Windows\Recent
这里存储了最近访问文件的快捷方式,由系统自动生成(一般重要的文件都会在里面)
shellbags(系统操作记录)
jumplist(任务栏分析)
预读取文件分析
回收站痕迹(分区根目录下一个隐藏的文件夹,删除时只是移动文件位置,仍然占用空间)
注册表分析(注册表相当于系统的数据库,存放很多重要的数据)
注册表中可以分析的数据
1、浏览器中键入的url
2、跟踪系统的最新访问文档
还有很多数据可以从注册表中获取
Windows应用分析
1、邮箱软件(gmail、foxmail、QQ邮箱)
2、浏览器信息(下载记录、保存密码、cookie等)
3、即时通讯类(微信、QQ、陌陌等)
Appdata目录
C:\Users\用户名\AppData里面一般有三个文件夹,分别是Local,LocalLow,Roaming,简单地来说,都是用来存放软件的配置文件和临时文件的
分析火狐浏览器数据C:\Users\YYL1024\AppData\Roaming\Mozilla\Firefox\Profiles
内存分析
日志分析
主要是在计算机管理功能里的事件查看器