本章节叙述了电子取证实验室的相关内容。便不再总结,给大家分享一下一些取证小知识
有关于镜像的SHA-256值,一般直接使用取证大师进行计算,太耗时间了。对于E01镜像,一般的资料中会提到,制作EO1镜像的时候,可以保存磁盘的MD5值和/或SHA-1值,大多数取证软件也支持对这两个值的提取。在第六届美亚杯部分镜像中保存的并不是MD5值及SHA-1值,而是MD5值和SHA-256值,用X-Ways可以直接读取镜像中的SHA-256值,加载镜像中直接右击镜像节点,选择“属性”即可,整个过程5秒钟足够!
内存取证中,进程信息是基础中的基础。常规情况下,Volatiolity使用pslist命令即可查看各进程的相关信息,包括进程名、内存中的偏移量、进程ID、父进程ID、开始时间、结束时间等,但并非所有进程都可以通过pslist命令查看到。例如2020年美亚杯团队赛99题,需要找出MpCmdRun.exe的PID ,使用pslist得到的结果中完全找不到相关信息。对于隐藏的进程,可以使用Volatility的psxview命令进行查看。
以上内容选自公众号:取证杂谈
公众号经常分享取证小知识,大家可以关注下。