基本取证方法论

Reading time: 6 minutes

tip

学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术:HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

创建和挂载镜像

Image Acquisition & Mount

恶意软件分析

不一定是拿到镜像后首先要做的步骤。但如果你有一个文件、文件系统镜像、内存镜像、pcap 等,你可以独立使用这些恶意软件分析技术,所以记住这些操作很重要

Malware Analysis

检查镜像

如果你被提供了设备的取证镜像,你可以开始分析所使用的分区、文件系统恢复潜在的重要文件(甚至是已删除的)。在以下内容中了解如何:

Partitions/File Systems/Carving# 基本取证方法论

创建和挂载镜像

Image Acquisition & Mount

恶意软件分析

不一定是拿到镜像后首先要做的步骤。但如果你有一个文件、文件系统镜像、内存镜像、pcap 等,你可以独立使用这些恶意软件分析技术,所以记住这些操作很重要

Malware Analysis

检查镜像

如果你被提供了设备的取证镜像,你可以开始分析所使用的分区、文件系统恢复潜在的重要文件(甚至是已删除的)。在以下内容中了解如何:

Partitions/File Systems/Carving

根据所用的操作系统(OSs)甚至平台,应该搜索不同的有趣痕迹:

Windows Artifacts

Linux Forensics

Docker Forensics

Ios Backup Forensics

针对特定文件类型和软件的深入检查

如果你有一个非常可疑文件,那么根据该文件的类型和生成它的软件,一些技巧可能会很有用。
阅读以下页面以了解一些有趣的技巧:

Specific Software/File-Type Tricks

我要特别提及页面:

Browser Artifacts

内存转储检查

Memory dump analysis

Pcap 检查

Pcap Inspection

反取证技术

请记住可能使用反取证技术:

Anti-Forensic Techniques

威胁狩猎

Baseline Monitoring

针对特定文件类型和软件的深入检查

如果你有一个非常可疑文件,那么根据该文件的类型和生成它的软件,一些技巧可能会很有用。
阅读以下页面以了解一些有趣的技巧:

Specific Software/File-Type Tricks

我要特别提及页面:

Browser Artifacts

内存转储检查

Memory dump analysis

Pcap 检查

Pcap Inspection

反取证技术

请记住可能使用反取证技术:

Anti-Forensic Techniques

威胁狩猎

Baseline Monitoring

tip

学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术:HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks