Grundlegende forensische Methodik

Reading time: 3 minutes

tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstützen Sie HackTricks

Erstellen und Einbinden eines Images

Image Acquisition & Mount

Malware-Analyse

Dies ist nicht unbedingt der erste Schritt, den Sie ausführen sollten, sobald Sie das Image haben. Aber Sie können diese Malware-Analyse-Techniken unabhängig verwenden, wenn Sie eine Datei, ein Dateisystem-Image, ein Speicher-Image, pcap... haben, also ist es gut, diese Aktionen im Hinterkopf zu behalten:

Malware Analysis

Überprüfung eines Images

Wenn Ihnen ein forensisches Image eines Geräts gegeben wird, können Sie beginnen, die Partitionen, das verwendete Dateisystem zu analysieren und potenziell interessante Dateien (sogar gelöschte) wiederherzustellen. Erfahren Sie, wie in:

Partitions/File Systems/Carving

Je nach den verwendeten Betriebssystemen und sogar Plattformen sollten verschiedene interessante Artefakte gesucht werden:

Windows Artifacts

Linux Forensics

Docker Forensics

Tiefeninspektion spezifischer Dateitypen und Software

Wenn Sie eine sehr verdächtige Datei haben, dann können je nach Dateityp und Software, die sie erstellt hat, mehrere Tricks nützlich sein.
Lesen Sie die folgende Seite, um einige interessante Tricks zu lernen:

Specific Software/File-Type Tricks

Ich möchte die Seite besonders erwähnen:

Browser Artifacts

Speicher-Dump-Inspektion

Memory dump analysis

Pcap-Inspektion

Pcap Inspection

Anti-Forensische Techniken

Behalten Sie die mögliche Verwendung von anti-forensischen Techniken im Hinterkopf:

Anti-Forensic Techniques

Bedrohungsjagd

Baseline Monitoring

tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstützen Sie HackTricks