涉网案件侦办流程:
服务器远程勘验流程:
1.开启屏幕录像 工具有很多 这里不多赘述
2.校准本机时间 可以参考中国科学院国家授时中心的时间
录像中要体现时间校准这个过程
3.本机的杀毒扫描 方法很多 软件很多不多赘述
目的:防止病毒对我们电脑或者数据的影响
4.清除本机浏览器的相关缓存 同时关闭代理
5.查看本机的HOST文件 避免出现流量错误取证或者错误重定向的情况发现
6.对目标的网站域名和IP地址等信息进行简单的信息搜集
7.开始提取目标的数据 多文件时最好打包 便于后续Hash值的校验
8.计算相应打包文件的哈希值
9.
10.
一些服务器取证的常用命令 这里可以直接移步到Linux基础命令部分学习
实战篇核心,制作相应的服务器镜像
在windows下制作镜像 借助工具PLINK.exe
PLINK.EXE -no-antispoof -P 12345 -pw password root@*.*.*.* "echo passwd|sudo -
S dd if=/dev/vda|gzip -9 -" >C:\image.dd.gz
制作远程磁盘镜像并传输到本地
ssh root@*.*.*.* -P 12345 "dd if=/dev/vda | gzip -9 -" | dd of=image.dd.gz
制作本地磁盘镜像并传输到远程服务器上
dd if=/dev/sda | gzip -1 - | ssh user@remote dd of=image.dd.gz