取证
文章平均质量分 91
kernweak
日子越来越有判头了
展开
-
怎么快速对比,取证机器有哪些系统命令文件被篡改
如果是redhat相关系统:系统完整性可以通过rpm自带的-Va来校验检查所有的rpm软件包,查看哪些命令是否被替换了:./rpm -Va > rpm.log 如下:如果一切均校验正常将不会产生任何输出,如果有不一致的地方,就会显示出来,输出格式是8位长字符串,每个字符都用以表示文件与RPM数据库中一种属性的比较结果 ,如果是. (点) 则表示测试通过。验证内容中的8个信息的具体内容如下:标志介绍S文件大小是否改变M文件的类型或文件的权限(rwx)是否被原创 2021-06-15 17:25:40 · 1500 阅读 · 1 评论 -
windows取证之镜像取证仿真步骤
工具使用取证工具:winhex,FTK Imager,VMware-converter挂载工具:Arsenal-Image-Mounter-v3.1.107简介在windows平台中一般使用VMware-converter来进行取证,因为这种方式是在系统跑起来之后进行取镜像,而且取出来直接是vmware可以识别的格式,直接可以在分析时仿真起来,但是有时候由于任务限制,取证不允许在对方主机上安装任何软件,所以只能使用winhex,或者FTK,但是winhex在本人非盘对盘对拷试验时,无法挂载,原创 2020-06-19 19:17:58 · 12615 阅读 · 0 评论