【计算机内存取证与实战应用概述】

admin 2025年6月15日02:30:30评论18 views字数 977阅读3分15秒阅读模式

在窝点勘验计算机过程中,我们对其易失性数据的固定尤为重要。计算机一断电或重启易失性的数据就丢失。所以若不及时固定这些数据往往会造成数据的灭失而造成后续的取证分析无法进行。

01

开机状态计算机内存固定

内存取证固定是计算机取证固定中的一环。

内存数据中的信息包括系统当前运行的进程、线程信息、网络连接信息,以及网页地址、口令、加密密钥和正在编辑的文件内容等。

办案人员可以通过平航现场勘验工具PK-Q2对开机状态的计算机制作内存镜像。

【计算机内存取证与实战应用概述】

将PK-Q2通过USB线连接计算机,打开平航现场快速取证系统,选择内存镜像模块,然后勾选上密钥类型即可制作内存镜像固定开机状态的计算机内存,如下图所示。

【计算机内存取证与实战应用概述】

02

内存镜像实战应用

内存镜像+平航介质取证分析软件

(一)解密PC端微信数据库

窝点计算机运行的微信,一般只能通过录屏或截图的方式来固定其中的聊天数据。当登录PC端的微信时,手机端的微信数据删除并不会影响PC端的微信数据。

通过PK-Q2制作的微信密钥结合平航介质取证分析软件即可提取PC端微信的数据,如下图所示。

【计算机内存取证与实战应用概述】

(二)获取TrueCrypt容器密码

许多涉案人员会使用TrueCrypt容器来加密他们的重要文件,当办案人员在现场没有固定TrueCrypt容器内的数据且未制作内存镜像,那么后期取证分析会非常困难,只能嫌疑人自己交代或者利用Passware等密码破解工具暴力破解容器加密卷文件。

我们可以通过平航介质取证软件中的内存镜像工具分析内存镜像来提取其加密卷密钥和文件路径,为我们办案人员节省了更多的时间,如下图所示。

【计算机内存取证与实战应用概述】

(三)内存镜像之解密BitLocker锁

Windows BitLocker驱动器加密通过加密Windows操作系统卷上存储的所有数据可以更好地保护计算机中的数据,帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。

现场开机的计算机若存在BitLocker锁,往往是处于解锁状态的,如下图。

【计算机内存取证与实战应用概述】

虽然E盘处于解锁状态,但是制作的物理镜像仍然是处于加密状态。所以这种情况可以对其中的E盘符制作一个逻辑镜像,而制作的逻辑镜像则可以查看里面的内容,如下图所示。

【计算机内存取证与实战应用概述】

那么我们同样可以提取开机状态BitLocker处于解锁状态时制作的内存镜像中的密钥文件,来解锁有BitLocker锁的物理镜像。

【计算机内存取证与实战应用概述】

来源:平航科技

【计算机内存取证与实战应用概述】

原文始发于微信公众号(电子物证):【计算机内存取证与实战应用概述】

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月15日02:30:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【计算机内存取证与实战应用概述】http://cn-sec.com/archives/818907.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息