[Misc] 取证分析/隐写学习

  • 文件file
  • 磁盘disk
  • 网络数据包pcap
  • 内存dump
  • 镜像image

file/identify/strings

常见文件特征串

https://en.wikipedia.org/wiki/List_of_file_signatures

很好很全


音频探测 Audacity软件查看波形 声音频谱

在线拨号音探测软件

http://dialabc.com/sound/detect/


磁盘分区格式

Windows FAT12->FAT16->FAT32->NTFS

LInux  EXT2->EXT3->EXT4

删除文件目录表中文件第一个字节填充为E5

EasyRecovery、MedAnalyze、FTK

FTK Imager恢复linux镜像

网络数据包

最常见的就是pcap取证

Wireshark

待补充

内存dump

vloatility内存镜像分析工具 支持解析 #kali linux自带工具

解析windows/linux/mac os内存结构

分析当前运行进程列表、进程内存数据等。

Image镜像取证

binwalk

根据hint提取镜像中需要关注的文件

分析提取文件中的应用层数据

转载于:https://www.cnblogs.com/rookieDanny/p/8592678.html

  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值