数字取证技术 :Windows内存信息提取。后面会花一部分时间,写一些数字取证相关的文章。攻击技术贴多如牛毛,眼下不管是网安,还是安全厂商, 欠缺的是对取证技术的研究。
大致想了一下,主要会从以下几个方面逐一介绍吧:
- 内存
- 硬盘镜像
- 网络
- Timeline利用
- 威胁情报在取证中的作用等
0×01 windows内存取证
取证的时候为什么要做内存分析?因为在内存里面可以看到操作系统在做的几乎所有的事情。当内存块不被覆盖的情况下,很多历史信息同样被保留。主要有:
- 进程和线程
- 恶意软件,包括rootkit技术
- 网络socket,URL,IP地址等
- 被打开的文件
- 用户生成的密码,cache,剪贴板等
- 加密键值
- 硬件和软件的配置信息
- 操作系统的事件日志和注册表
有了以上这些信息,我们可以找出更多有用的信息,在本文章中, 我们就以找出系统的历史CMD命令行为例。
大致想了一下,主要会从以下几个方面逐一介绍吧:
- 内存
- 硬盘镜像
- 网络
- Timeline利用
- 威胁情报在取证中的作用等
0×01 windows内存取证
取证的时候为什么要做内存分析?因为在内存里面可以看到操作系统在做的几乎所有的事情。当内存块不被覆盖的情况下,很多历史信息同样被保留。主要有:
- 进程和线程
- 恶意软件,包括rootkit技术
- 网络socket,URL,IP地址等
- 被打开的文件
- 用户生成的密码,cache,剪贴板等
- 加密键值
- 硬件和软件的配置信息
- 操作系统的事件日志和注册表
有了以上这些信息,我们可以找出更多有用的信息,在本文章中, 我们就以找出系统的历史CMD命令行为例。
0×02内存的获取