网络安全取证(十二)数据恢复和文件内容雕刻

admin 2022年10月29日07:49:07评论71 views字数 2355阅读7分51秒阅读模式

关注公众号

回复“河南等保1028”获取“网络取证电子书

了解更多渗透测试知识


网络安全取证(一)定义和概念模型
网络安全取证(二)定义和概念模型之定义
网络安全取证(三)定义和概念模型之概念模型
网络安全取证(四)定义和概念模型之概念模型
网络安全取证(五)定义和概念模型之概念模型
网络安全取证(六)定义和概念模型之取证流程
网络安全取证(七)操作系统分析
网络安全取证(八)操作系统分析之存储取证
网络安全取证(九)操作系统分析之文件系统分析
网络安全取证(十)操作系统分析之存储取证
网络安全取证(十一)操作系统分析之块设备分析

《网络安全知识体系》

网络安全取证(十二)

数据恢复和文件内容雕刻

简介
数字取证科学或数字取证是应用科学工具和方法来识别,收集和分析数字(数据)工件,以支持法律诉讼。从技术角度来看,正是识别和重建相关事件序列的过程导致了目标IT的当前可观察状态。系统或(数字)伪影。随着信息技术的快速采用,数字证据的重要性与日新月异,导致数据以指数级的速度不断积累。同时,网络连接和IT系统的复杂性迅速增长,导致可能需要调查的更复杂的行为。
该知识区的主要目的是提供数字取证技术和功能的技术概述,并将其置于网络安全领域其他相关领域的更广泛视角。关于数字取证的法律方面的讨论仅限于一般原则和最佳实践,因为这些原则的应用的具体情况往往因司法管辖区而异。例如,知识区讨论了不同类型证据的可用性,但没有通过获取这些证据必须遵循的法律程序进行工作。法律&法规CyBOK知识领域讨论了与管辖权和获取,处理和提供数字证据的法律程序相关的具体问题。

网络安全取证(十二)数据恢复和文件内容雕刻

内容

2  操作系统分析

2.5 数据恢复和文件内容雕刻

数据恢复工具的早期主要内容之一是“取消删除”功能,可以逆转用户删除数据的影响。最常见的情况是用户删除文件并需要撤消操作。在HDD上,这种逆转在删除后立即很容易实现-文件内容占用的存储只是被释放(标记为可用),但不会发生数据的实际破坏(清理)。
一个更困难的情况是已经使用了一段时间的HDD,并且 已经被 子格式化(例如,有人试图销毁证据)。通常使用的快速格式化命令具有覆盖与空文件系统相对应的一组数据结构的效果(完整格式会清理介质的内容,但可能需要数小时才能完成,因此使用频率较低)。因此,在查询这些结构后,正常的文件系统接口将报告没有文件。现实情况是,此时只有文件系统元数据被部分覆盖,并且表示文件内容的所有数据块仍然完整地存在于介质上。
与大多数其他类型的计算不同,取证计算对所有可恢复(部分)工件非常感兴趣,包括(有时特别是)已释放的工件。除非用户已采取特殊措施来安全擦除硬盘,否则在任何给定时间,介质都包含表面上已删除的可恢复应用程序项目(文件)。恢复文物的过程通常通过雕刻来完成。

网络安全取证(十二)数据恢复和文件内容雕刻

文件雕刻是最古老和最常用的技术,其基本形式基于两个简单的观察:a)大多数文件格式具有特定的开始和结束标签(又名页眉和页脚);b)文件系统强烈倾向于顺序布局以最大化吞吐量。

渗透测试过程中所需工具

渗透测试:信息安全测试和评估技术指南NIST  SP 800-115

苹果发布iOS  16.1 iPadOS 16

法国对人脸识别公司Clearview  AI处以罚款

Offensive Security渗透测试报告模板

法国对人脸识别公司Clearview  AI处以罚款

密码报告:蜜罐数据显示针对 RDP、SSH 的 Bot 攻击趋势

网络安全取证(十一)操作系统分析之块设备分析

国外网络安全一周回顾20221024

黑客开始利用关键的“Text4Shell”Apache Commons Text 漏洞

黑客从Olympus  DAO 窃取30 万美元,后在同一天归还

防火墙与代理服务器

WAF VS 防火墙

什么是渗透测试?

渗透测试过程中所需工具

网络安全取证(十)操作系统分析之存储取证

网络安全取证(九)操作系统分析之存储取证

网络安全取证(八)操作系统分析之存储取证

网络安全取证(七)操作系统分析

国外网络安全一周回顾20221016

网络安全取证(六)定义和概念模型之取证流程

人员离职:减轻新的内部威胁的5种方法

网络安全取证(五)定义和概念模型之概念模

来自美国CIA的网络安全良好习惯

备份:网络和数据安全的最后一道防线

西门子不排除未来利用全球私钥进行  PLC 黑客攻击的可能性

网络安全取证(四)定义和概念模型之概念模型

网络安全取证(三)定义和概念模型之概念模型

网络安全取证(二)定义和概念模型之定义

网络安全取证(一)定义和概念模型

在 Linux 中恢复丢失和删除的数据的步骤

Linux 补丁管理终极指南

网络安全运营和事件管理(二十九):处理:实际事件响应&后续行动:事后活动

网络安全运营和事件管理(二十八):准备:事件管理计划

为什么组织需要  EDR 和 NDR 来实现完整的网络保护

CISA 警告黑客利用关键的 Atlassian Bitbucket 服务器漏洞

美、越科技公司诬陷我黑客利用MS  Exchange 0-Days 攻击约10个组织

发现针对  VMware ESXi Hypervisor 的新恶意软件系列

英国情报机构军情五处被黑

英国情报机构军情五处被黑

在 Linux 中恢复丢失和删除的数据的步骤

Linux 补丁管理终极指南

网络安全运营和事件管理(二十九):处理:实际事件响应&后续行动:事后活动

网络安全运营和事件管理(二十八):准备:事件管理计划

为什么组织需要  EDR 和 NDR 来实现完整的网络保护

CISA 警告黑客利用关键的 Atlassian Bitbucket 服务器漏洞

美、越科技公司诬陷我黑客利用MS  Exchange 0-Days 攻击约10个组织

发现针对  VMware ESXi Hypervisor 的新恶意软件系列

英国情报机构军情五处被黑


原文始发于微信公众号(河南等级保护测评):网络安全取证(十二)数据恢复和文件内容雕刻

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月29日07:49:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全取证(十二)数据恢复和文件内容雕刻https://cn-sec.com/archives/1379073.html

发表评论

匿名网友 填写信息