HackTricks基本取证方法论
tip
学习和实践 AWS 黑客技术:
HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:
HackTricks Training GCP Red Team Expert (GRTE)
学习和实践 Azure 黑客技术:
HackTricks Training Azure Red Team Expert (AzRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。
创建和挂载镜像
{{#ref}} ../../generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md {{#endref}}
恶意软件分析
这并不是在获得镜像后必须执行的第一步。但是如果你有一个文件、文件系统镜像、内存镜像、pcap...你可以独立使用这些恶意软件分析技术,因此记住这些操作是很好的:
{{#ref}} malware-analysis.md {{#endref}}
检查镜像
如果你获得了设备的取证镜像,你可以开始分析分区、文件系统并恢复潜在的有趣文件(甚至是已删除的文件)。了解如何进行:
{{#ref}} partitions-file-systems-carving/ {{#endref}}
根据使用的操作系统甚至平台,应该搜索不同的有趣文物:
{{#ref}} windows-forensics/ {{#endref}}
{{#ref}} linux-forensics.md {{#endref}}
{{#ref}} docker-forensics.md {{#endref}}
深入检查特定文件类型和软件
如果你有非常可疑的****文件,那么根据文件类型和创建它的软件,可能会有几种技巧是有用的。
阅读以下页面以了解一些有趣的技巧:
{{#ref}} specific-software-file-type-tricks/ {{#endref}}
我想特别提到以下页面:
{{#ref}} specific-software-file-type-tricks/browser-artifacts.md {{#endref}}
内存转储检查
{{#ref}} memory-dump-analysis/ {{#endref}}
Pcap 检查
{{#ref}} pcap-inspection/ {{#endref}}
反取证技术
请记住可能使用反取证技术:
{{#ref}} anti-forensic-techniques.md {{#endref}}
威胁狩猎
{{#ref}} file-integrity-monitoring.md {{#endref}}
tip
学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE)
学习和实践 Azure 黑客技术:HackTricks Training Azure Red Team Expert (AzRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。