pc取证-番外篇(2)

admin 2022年9月17日15:02:04取证分析评论2 views1660字阅读5分32秒阅读模式
免责声明
写在前面:内容仅用于学习交流使用;由于传播、利用本安全猎人所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号安全猎人安全及作者不为承担任何责任,一旦造成后果请使用者自行承担!如有侵权,请及时告知,我们会立即删除并致歉

续接上文,pc番外篇我们继续~

0x01收站取证

简述

回收站是windos系统的一个文件夹,通常存放一些临时删除文件,删除的文件并不是被完全删除,这些文件删除后会在每个硬盘分区的根目录下的$RECYCLE.BIN文件夹;

$RECYCLE.BIN文件是隐藏的,同样也是受保护的,不建议显示;

回收站一般是占10%的硬盘空间,但可以自定义大小;

u盘删除的文件不会保存到回收站;

SID是WINDOWS用来标志唯一OBJECT(如用户或组)的一串字符,以S-1-5-21-1858328346-1692621842-485598107-500为例 图解如下:

pc取证-番外篇(2)pc取证-番外篇(2)

文件删除方式的种类:

1.逻辑删除

1.在删除文件后,在回收站中显示,只是系统通过标记,把被删除文件移到隐藏文件夹中;

2.彻底删除

1.选中被删除文件,然后同时按下【Shift+Delete】组合快捷键,进行永久删除文件/文件夹;

2.当然这种方式并不是永久性删除,可以借用某些工具,进行数据恢复,读取被删除文件;

回收站的机制:

1.删除文件时,系统会在当前用户当前分区的回收站中创建一个文件$IXXXXXX.EXT,同时将删除的文件重命名为$RXXXXXX.EXT并移动至回收站。其中XXXXXX是由系统生成随机字符串,EXT是文件扩展名。删除文件夹与删除文件类似,唯一不同的是没有扩展名。

$I文件保存有删除文件的相关信息,如文件名、文件大小、删除时间等。I代表Information。

$R文件即被删除的文件(文件夹)。R代表Recovery或Rename。

回收站记录文件结构:

数据结构

长度

偏移量

文件头

8

0x00

被删除的文件大小

8

0x08~0xF

文件删除的时间

8

0x10~0x17

被删除文件路径

0~520

0x18~0x21F

0x02 内存取证

简述

内存取证通常指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取有价值的数据,是对传统基于硬盘中数据取证的重要补充,也是取证和打击网络犯罪的有力武器;

内存取证工具:

内存镜像制作工具

DumpIt ---- 可放入u盘的内存dump工具,适合计算机内存取证等场景,一键内存转储,无需其他额外设置
Magnet RAM Capture--- 内存取证工具、免费、小巧(300多KB)、操作极简、内存镜像可分段

FTK Imager---镜像文件制作工具

内存镜像分析工具

Volatility---内存分析工具
取证大师内存镜像解析工具
Volatility详解---见公众号另一篇文章


恶意代码分析

win下的恶意代码分析成为了取证的难处,很多攻击者使用一些挖矿病毒木马等,使服务器为自己所用;

恶意代码的部分文件类别:.exe、.bat、.cmd、.py等等;

恶意代码分析思路:分别创建常用系统虚拟机,并分别运行恶意代码,分析系统进程及注册表等重要部位信息,或对底层代码进行分析,如:脱壳逆向分析源码等;

0x3 文章工具获取方式


关注公众号「安全猎人」

回复「22.9.17」获取下载链接
欢迎师傅们加入我的 安全猎人的小屋(添加好友备注加群),一起学习进步~后面不定期发布更多资源,更多惊喜等着大家。pc取证-番外篇

pc取证-番外篇(2)

欢迎 点赞 + 在看、分享本公众号 给更多师傅们哈

❤️
----------------往期精选-----------------
pc取证-番外篇
Go语言-自学篇-2
Go语言-自学篇-1

Fortify-详解

电子数据取证-计算机系统概论

电子数据取证-电子取证流程与技术

取证常用工具

物联网安全测试合集

apk安全测试常用工具

apk安全测试笔记


注:
封面来源于壁纸网站:http://www.netbian.com/s/chaogaoqing

原文始发于微信公众号(安全猎人):pc取证-番外篇(2)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月17日15:02:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  pc取证-番外篇(2) http://cn-sec.com/archives/1301758.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: