前言
本節學習活取證和死取證
1、活取證
從內存還原文字
windows下
procdump軟件
https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump
C:\> procdump64.exe -ma notepad.exe notepad.dmp
strings軟件
https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings
C:\> strings notepad.dmp > notepad.txt
從內存還原圖片
windows下
C:\>tasklist
C:\>procdump.exe -ma mstsc.exe mstsc.dmp
C:\>procdump.exe -ma mspaint.exe mspaint.dmp
kali下
mv mstsc.dmp mstsc.data
mv mspaint.dmp mspaint.data
用Gimp打開data
open -> Raw Image Data -> 調整參數
從內存中提取明文密碼
procdump -ma lsass.exe lsass.dmp
使用 mimikatz.exe,在kali的/usr/share/mimikatz
拷貝到windows下打開
sekurlsa
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords
Firefox 瀏覽器審計工具
dumpzilla /root/.mozilla/firefox/ef5pz3gn.default/ --All
#所有firefox瀏覽信息
2、死取證
硬盤鏡像
- 使用 kali 光盤啓動計算機創建硬盤鏡像文件,留足存儲文件的存儲空間
- 幾個數據集:dc3dd(來自美國空軍計算機犯罪中心)、dcfldd、guymager
- 計算機取證技術參考數據集http://www.cfreds.nist.gov/
DFF(Digital Forensics Framework)
要註冊下載,就沒去試
autopsy
非常流行的硬盤鏡像分析文件
webserver + 客戶端架構
extundelete
適用於 ext3、ext4 文件系統的反刪除工具
extundelete [device-file] --restore-file [restore location]
foremost (美國政府開發)
從內存 dump 中恢復圖片,支持 raw、dd、iso、vmem等格式
foremost -t jpeg,gif,png,doc -i xp.raw
結語
至此取證算是做了個簡單瞭解
最後貼上個應急響應大合集
https://github.com/meirwah/awesome-incident-response