数据取证之服务器取证模块

涉网案件侦办流程：

服务器远程勘验流程：

 

1.开启屏幕录像 工具有很多 这里不多赘述

2.校准本机时间 可以参考中国科学院国家授时中心的时间

录像中要体现时间校准这个过程

3.本机的杀毒扫描 方法很多 软件很多不多赘述

目的：防止病毒对我们电脑或者数据的影响

4.清除本机浏览器的相关缓存 同时关闭代理

5.查看本机的HOST文件 避免出现流量错误取证或者错误重定向的情况发现

6.对目标的网站域名和IP地址等信息进行简单的信息搜集

7.开始提取目标的数据  多文件时最好打包  便于后续Hash值的校验

 

 8.计算相应打包文件的哈希值

 9.

10. 

一些服务器取证的常用命令 这里可以直接移步到Linux基础命令部分学习

 

 

实战篇核心，制作相应的服务器镜像

在windows下制作镜像 借助工具PLINK.exe

PLINK.EXE -no-antispoof -P 12345 -pw password root@*.*.*.* "echo passwd|sudo -
S dd if=/dev/vda|gzip -9 -" >C:\image.dd.gz

 制作远程磁盘镜像并传输到本地

ssh root@*.*.*.* -P 12345 "dd if=/dev/vda | gzip -9 -" | dd of=image.dd.gz

制作本地磁盘镜像并传输到远程服务器上

dd if=/dev/sda | gzip -1 - | ssh user@remote dd of=image.dd.gz