精华内容
下载资源
问答
  • 电子取证包含取证注意事项、windows取证、Unix取证、mail取证
  • 视频帧间伪造的取证和反取证
  • 云计算取证模型

    2021-01-20 05:38:59
    针对云取证面临的主要挑战,分析云计算特性,提出了一种云取证模型。提出了持续性取证准备服务的部署、基于“迭代”的多轮次证据识别策略和分布式文件系统的多层级数据定位方法、基于“数据隔离”和“按需收集”策略...
  • 《审计取证管理系统》供审计机关专门管理审计证据。系统包含:1、审计取证:审计取证基本信息2、查询统计:按审计机关查询、按被审单位查询、按项目名称查询、按资料名称查询
  • windows取证

    2018-02-21 22:03:22
    取证分析,从日志,内存等方面去分析当一个机器被入侵后,会出现一些什么情况。还有涉及到注册表,以及一些文件夹里面存在的历史记录等等。还有浏览器浏览记录
  • linux入侵取证

    2019-02-22 14:01:31
    linux入侵取证
  • 恶意代码取证

    2018-04-17 08:55:00
    恶意代码取证 内存取证 硬盘取证 静态分析恶意软件 动态分析恶意软件
  • 计算机取证

    2011-09-27 15:17:25
    计算机取证技术 计算机取证技术 计算机取证技术 计算机取证技术
  • 计算机取证研究

    2018-08-24 22:26:10
    计算机反取证研究
  • 计算机取证概述

    2018-07-07 09:14:14
    关于计算机取证的概述,详细描述了计算机取证的过程!
  • 数字可视媒体取证

    2021-01-14 23:34:06
    对数字可视媒体取证技术的来源及概念进行了介绍,从原理上详细介绍了具有代表性的二次压缩取证及篡改取证算法。在此基础上,对现有取证算法的相关性以及取证技术中存在的问题进行了一定深度上的讨论,并提出了可视...
  • iPhone取证 安装 需要或更高版本。 跑 理想的依赖关系: pip install plistlib 要么 pip install - r requirements.txt 跑 python run . py 更新清单 2021-02-07版本1.0 2021-02-08新插件(Apple帐户)
  • linux取证之内存取证

    千次阅读 2018-07-19 17:40:31
    内存取证 内存取证工具:可以列出当前已经打开的文件,正在活动的网络连接,运行中的进程,甚至是一些被隐藏或没有运行但仍驻留在内存中的进程相关消息。 传统方法: 可读的文本和关键字搜索 工具: Volatility ...

    内存取证

    1. 内存取证工具:可以列出当前已经打开的文件,正在活动的网络连接,运行中的进程,甚至是一些被隐藏或没有运行但仍驻留在内存中的进程相关消息。
    2. 传统方法: 可读的文本和关键字搜索
    3. 工具: Volatility:内存扫描分析工具
      • Volatility 提供两种方法来列举内存映像中的进程,一种方法是访问操作系统内核结构中的进程链来列举进程,另一种方法是在内存映像中搜索所的EPROCESS结构
      • 命令:python volatility pslist -f Futo-memory.dd,这种方法可以利用rootkit程序欺骗操作系统的方法瞒过程序
      • 为了对抗上述方法,采用:python volatiliy psscan -f Futo-memory.dd 在内存中映像中根据EPROCESS数据结构的特征搜索所有的EPROCESS结构来输出完整的进程信息,pssacn得到的输出可以显示已退出进程的信息。
      • 大部分的用户进程都是由explorer.exe 启动的,如果某个进程不是由它启动的则就可以进行深入分析。
      • volatility dllist -f FTTo-memory.dd 可以列举出系统中每个进程的所有DLL动态链接库
      • volatility files -f FTTo-memory.dd 显示每个进程正在访问的文件
      • volatility sockets -f FTTo-memory.dd 显示每个进程的套接字句柄
    4. 方法学(内存取证的目的):
      • 搜集信息:包括进程的详细信息,网络连接信息,和其他一些与潜在的恶意软件相关的信息,利用这些信息与从运行系统中获得信息进行比较分析
      • 对于每个可疑的进程,如果可以,从内存中恢复出其可执行代码用于深度分析
      • 对于每个可疑进程,从内存中提取出相关的数据,例如相关的秘钥或是用户名和密码等数据。
    5. 传统内存分析方法:
      • 利用strings工具从内存映像中提取出可读文本内容
      • 利用文件提取工具从内存中恢复相关的可执行文件
    6. Linux 内存取证分析
      1. Linux系统内核使用的所有符号的位置都由/boot 目录中的文件System.map来记录
      2. Linux系统的当前时间保存在System.map文件中的xtime变量中:grep xtime System.map
        • 在Kali中执行时遇到错误:Input/output error
      3. 定位内存数据结构(没看懂)
        • init_task :grep init_task System.map 错误同上
        • 上述查到的地址应该是个虚拟地址,需要将其转换成物理地址,在Inter系统中通常能够支持4GB的内存空间,其中高位的1GB空间被分配给内核使用,因此虚拟地址从0xC0000000开始,将虚拟地址减去0xC0000000 就可以将虚拟地址转换成对应的物理地址。
    展开全文
  • 监察取证系统监察取证系统监察取证系统监察取证系统监察取证系统监察取证系统监察取证系统监察取证系统监察取证系统
  • 电子取证资料

    2018-02-27 09:59:44
    电子取证 Computer Forensics JumpStart, 2nd Edition.pdf
  • 计算机取证实验报告《计算机取证技术》实验报告实验一实验题目:用应急工具箱收集易失性数据实验目的:(1)会创建应急工具箱,并生成工具箱校验和。(2)能对突发事件进行初步调查,做出适当的响应。(3)能在最低限度地...

    计算机取证实验报告

    《计算机取证技术》

    实验报告

    实验一

    实验题目:

    用应急工具箱收集易失性数据

    实验目的:

    (1)会创建应急工具箱,并生成工具箱校验和。

    (2)能对突发事件进行初步调查,做出适当的响应。

    (3)能在最低限度地改变系统状态的情况下收集易失性数据。

    实验要求:

    (1)Windows XP 或Windows 2000 Professional操作系统。

    (2)网络运行良好。

    (3)一张可用U盘(或其他移动介质)和PsTools工具包。

    实验主要步骤:

    (1)将常用的响应工具存入U盘,创建应急工具盘。应急工具盘中的常用工具有cmd.exe; netstat.exe; fport.exe; nslookup.exe; nbtstat.exe; arp.exe; md5sum.exe; netcat.exe; cryptcat.exe; ipconfig.exe; time.exe; date.exe等。

    (2)用命令md5sum(可用fsum.exe替代)创建工具盘上所有命令的校验和,生成文本文件commandsums.txt保存到工具盘中,并将工具盘写保护。

    (3)用time 和date命令记录现场计算机的系统时间和日期,第(4)、(5)、(6)、(7)和(8)步完成之后再运行一遍time 和date命令。

    (4)用dir命令列出现场计算机系统上所有文件的目录清单,记录文件的大小、访问时间、修改时间和创建时间。

    (5)用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关,用ipconfig/all命令获取更多有用的信息:如主机名、DNS服务器、节点类型、网络适配器的物理地址等。

    (6)用netstat显示现场计算机的网络连接、路由表和网络接口信息,检查哪些端口是打开的,以及与这些监听端口的所有连接。

    (7)用PsTools工具包中的PsLoggedOn命令查看当前哪些用户与系统保持着连接状态。

    (8)用PsTools工具包中的PsList命令记录当前所有正在运行的进程和当前的连接。

    实验结果:

    心得体会:计算机取证工具箱简单方便,无需安装,应急工具箱收集易失性数据,在计算机取证过程中对案发现场计算机的取证起着关键性的作用,用它可以找出计算机当时所处的状态,从而收集证据。对于取证人员来说,这个是非常关键的一步。

    实验二

    实验题目:用应急工具箱收集易失性数据

    实验目的:

    理解文件存放的原理,懂得数据恢复的可能性。

    丁解几种常用的数据恢复软件如Easy Recovery和RecoveryMyFiles

    使用其中一种数据恢复软件、恢复已被删除的文件,恢复己被格式化磁盘上的数据。

    实验环境和设备:

    (1) Windows Xp或Winfjows 2000 Professional操作系统。

    (2)数据恢复安装软件。

    (3)两张可用的软盘(或U盘)和一个安装有Windows系统的硬盘。

    实验主要步骤和实验结果:

    实验前的准备工作

    在安装数据恢复软件或其他软件之前,先在计算机的逻辑盘(如D盘)中创建四个属于你自己的文件夹,如:Bak F'ilel(存放第一张软盘上的备份文件)、LostFile1(存放恢复第一张软盘后得到的数据) BakFile2(存放第二张软盘上的备份文件)和LoFile2(存放恢复第二张软盘后得到的数据)注意:存放备份文件所在的逻辑盘(如D盘)与你准备安装软件所在的逻辑盘(如C盘)不要相同,因为如果相同,安装软件时可能正好把你的备份文件给覆盖掉了。

    (2) EasyRecovery安装和启动

    这里选用Easy Recovery Professional软件作为恢复工具,点击Easy Recovery图标便可顺利安装,启动EasyRecovery应用程序,主界面上列出了Easy Recovery的所有功能:“磁盘诊断”、“数据恢复”、“文件修复”和“邮件修复”等功能按钮”在取证过程中用得最多的是“数据恢复”功能。

    图 1 EasyRecovery安装和启动

    图 2 EasyRecovery的数据恢复界面

    (3)使用EasyRecovery恢复已被删除的文件。,

    ①将准备好的软盘(或U盘)插入计算机中,删除上面的一部分文件和文件夹如果原有磁盘中没有文件和文件夹,可以先创建几个,备份到BakFilel文件夹下,再将它删除。

    ②点击“数据恢复”,出现“高级恢复”、“删除恢复”、“格式化恢复”和“原始恢复”等按钮,选择“删除恢复”进行快速扫描,查找已删除的目录和文件,接着选择要搜索的驱动器和文件夹(A盘或U盘图标)。出现所有被删除的文件,

    展开全文
  • windows取证之镜像取证仿真步骤

    千次阅读 2020-06-19 19:17:58
    在windows平台中一般使用VMware-converter来进行取证,因为这种方式是在系统跑起来之后进行取镜像,而且取出来直接是vmware可以识别的格式,直接可以在分析时仿真起来,但是有时候由于任务限制,取证不允许在对方...

    工具使用

    取证工具:winhex,FTK Imager,VMware-converter

    挂载工具:Arsenal-Image-Mounter-v3.1.107

    简介

    在windows平台中一般使用VMware-converter来进行取证,因为这种方式是在系统跑起来之后进行取镜像,而且取出来直接是vmware可以识别的格式,直接可以在分析时仿真起来,但是有时候由于任务限制,取证不允许在对方主机上安装任何软件,所以只能使用winhex,或者FTK,但是winhex在本人非盘对盘对拷试验时,无法挂载,所以更不谈仿真,所以后来使用ftk进行取镜像,但是这次专项出现翻车,取回来几十台主机,win10全部能仿真但是win7出现很多无法仿真的情况。下面就分别介绍取证与仿真

    取镜像

    VMware-converter取镜像与仿真

    首先安装VMware-converter,(win10记得选择管理员权限打开软件,不然无权限读取硬件信息)第一步选择convert machine,转化系统

    接着选择是本机还是远程,这里因为要取本地机,所以选择local machine

    然后选择取证生成的镜像目标类型,因为分析使用vmware这里就选如图vmware,select vmware product是选择适配vmware的版本,最后一个选项select a location for the vitual machine选择是保存位置,这里就是我们的取证存储设备,比如移动硬盘或者nas。

    然后一路next,直到finish,中间优先提示和选项都可以根据具体修,改不改也行,最后就如图

    当完成时候就生成了vmware可以跑起来的镜像。格式是vmdk,仿真就直接可以用vmware打开。

    FTK Imager取镜像仿真

    因为取证任务中会出现,不允许在对方主机安装软件的拷贝方式,这里我们选去的是ftk Imager取镜像,然后使用Arsenal-Image-Mounter挂载镜像,vmware仿真

    步骤如下:

    打开FTK,选择创建镜像如图

    然后默认物理磁盘

    然后下图就是选择取哪块盘的镜像,一般都是一个个全部都取走

    然后点击add,下面的红框第一个是验证是否取证正确,点不点都可以,如果时间紧可以不选

    境界着是取目标镜像保存的类型,这里选dd

    下一步是一些注释信息,可写可以不写,本人是习惯写个readme,保存镜像使用不同名字,然后再reademe标明清楚

    境界着就是镜像保存目标的一些设置,image Destination Folder是目的地,image Filename是镜像保存的名字,如果多台机器多个硬盘就可以以IP+第几块盘以试区分,还有Image Fragment size是镜像分块的大小,本人习惯一个镜像一个文件,所以一般删去1500,这里什么都不选,最后点finish就可以静等生成镜像了,这里一般生成的是.001格式


     

    挂载,这里使用Arsenal-Image-Mounter,进入软件选mount disk image,挂载镜像

    选择之前保存的镜像,然后下一步就会跳出如下,选择第二个可以写的选项,弹出的选项选是就可

    如果挂载成功就会再电脑装多个逻辑分区

    生成之后就是有两个途径,使用Arsenal-Image-Mounter讲镜像保存为vmdk格式,这样vmware直接可以打开。步骤就是点击镜像然后选如下选项

    选择vmdk格式,并且选择保存路径

    之后就可以用vmware打开了。

    -------------------------------------------------------------------------------------------------------

    除了保存vmdk格式,也可以直接挂载后打开。步骤如下

    首先降在线硬盘改为可读写

     

    然后再wmware选择新建虚拟机,然后选择高级自定义

    然后稍后安装操作系统

    下一步系统这里选windows哪个版本都行,

    然后下一步选择虚拟机保存位置联不连网等,这里自行选择,直到下面,这里好几种磁盘类型,根据本人尝试如果最后虚拟机加载不起来,可以每个都试试,但是一般都是sata就可以加载起来

    下一步选使用物理磁盘,选择

    这里就选刚挂载起来的镜像的系统盘,哪一个可以在Arsenal-Image-Mounter看到

    比如这里就是第二个

    然后一直往下finish,如果启动虚拟机提示已占用,需要脱机此磁盘

    操作就是电脑右键管理,磁盘管理中,对着对应磁盘右键,选择脱机

    再次尝试启动虚拟机一般就成了。

    总结

    一般能用vmware-converter就使用这个工具,这个是在系统启动起来时候进行取证,如果不能用这个软件就用ftk,但是ftk不是powered-on取,本人在多次使用此软件取磁盘镜像发现取回来镜像win7在仿真起来时发现驱动有问题,蓝屏。

    另外尝试过winhex,如果移动硬盘数量能满足跟取证目标设备一样多,可以使用dd盘对盘拷,如果硬盘不足,使用winhex非盘对盘按位拷保存镜像,出现取得镜像都无法挂载的情况。

    展开全文
  • 近年来,电子数据取证对案件侦破起着重要的作用,由于电子数据具有易失性、易破坏性等特点,需要取证人员具备专业的电子取证技术和方法,才能最后分析出有用的证据,保证案件的真实性和客观性,详细分析三种取证技术...
  • Volatility内存取证

    2017-12-30 16:34:45
    在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
  • 计算机取证综述

    2015-05-14 20:34:55
    计算机取证综述,取证研究现状,期刊论文 系统安全
  • 网络取证

    2019-12-04 15:23:46
    网络取证 定义 特点 网络取证数据源 收集网络通信数据 检查分析网络通信数据

    网络取证

    定义

    针对民事,刑事案件而进行的对网络数据流的研究,目的是保护用户,防范犯罪。
    网络取证通常与网络监控相结合,例如入侵检测技术(IDS)和蜜网(honeynet)技术,利用网络监控激活取证。

    特点

    1. 主要研究对象与**数据报(packets)网络数据流(Network Traffic)**有关,而不仅仅局限于计算机;
    2. 为满足证据的实时性连续性,网络取证是动态的,并且结合入侵前后的网络环境变量,可以重建入侵过程;
    3. 为保证证据的完整性,网络取证有时是分布式的,需要部署多个取证点或取证代理(Agent),而且这些取证点是相关和联动的;
    4. 为实现网络取证,通常需要与防火墙入侵检测系统等网络监控(Network Monitoring)技术相结合。

    黑客的攻击流程

    1. 信息收集(Information Gathering)
    2. 踩点(Footprinting)
    3. 查点(Enumerating)
    4. 探测弱点(Probing for Weaknesses)
    5. 突破(Penetration)
    6. 创建后门、种植木马(Back dooring,Trojans,etc)
    7. 清除(Cleanup)、掩盖入侵踪迹

    网络取证的重点

    1. 周界网络(Perimeter Network):指在本地网防火墙以外,与外部公网连接的所有设备及其连接
    2. 端到端(end to end):攻击者计算机与受害者计算机想连
    3. 日志相关(log Correlation):
    4. 环境数据(Ambient Data):指删除后仍然存在,以及存在于交换文件和slack空间的数据;
    5. 攻击现场(Attack Scenario):将攻击再现、重建并按照逻辑顺序组织起来的事件。(重现攻击现场)

    网络取证数据源

    防火墙和路由器

    1. 可以将基本信息或者所有被拒绝的连接尝试以及无连接的数据记入日志。
    2. 日志内容包括数据包被处理的日期和时间、源和目的IP地址、传输层协议(TCP、UDP、ICMP等)、基本的协议信息(TCP或UDP的端口号,ICMP的类型和代码)等。
    3. 数据包的内容通常不做记录。
    4. 一些防火墙兼有代理服务器功能,代理服务器会将每一个连接的基本信息记入日志。

    数据包嗅探器和协议分析器

    1. 用来监视网络通信并捕获数据包。一般用来捕获特定类型数据以协助排除网络故障或者取证调查。
    2. 很多数据包嗅探器同时也是协议分析器(Protocol Analyzers),能把分散数据包重组为数据通信,进而识别通信。
    3. 协议分析器不仅能处理实时数据通信,也能够分析数据包嗅探器事先捕获并保存为捕获文件的数据通信。
    4. 协议分析器在分析不明格式的原始数据包时格外有用。

    入侵检测系统

    1. 网络型入侵检测系统通过执行数据报嗅探网络通信分析来识别可疑活动并记录相关信息,其传感器会监视特定网络段的所有网络通信;
    2. 主机型入侵检测系统****监视特定系统的现象和发生的事件,也包括网络数据,它仅仅监视与自身有关的网络通信。

    远程访问服务器

    1. 例如VPN网关和调制解调服务器(Modem Servers)等,提供了网络之间的连接能力,例如外部的系统通过远程访问服务器连接到内部系统,以及内部的系统连接到外部系统或者内部系统。
    2. 远程访问服务器通常记录每一个连接的产生,以及每个会话属于哪一个授权的账号。
    3. 远程访问服务器并不理解应用程序的功能,所以它基本不记载任何具体应用程序的数据。
    4. 网络中还经常存在很多其他特殊的应用程序,用来提供到某个特定主机系统的远程访问,例如SSH、Telnet、终端服务、远程控制软件、Client/Server应用程序等。

    安全事件管理(SEM)软件

    1. 用来从多种不同的网络通信数据源(比如防火墙日志、入侵检测系统日志等)导入安全事件信息并关联这些数据源的事件。
    2. 将其规范为标准格式,最后通过匹配IP地址、时间标记及其他特征来识别相关事件。
    3. SEM不产生原始的事件数据,而是依靠导入的事件数据生成元事件数据。

    网络取证分析工具(NFAT,Network Forensic Analysis Tools)

    在单一产品中提供和数据包嗅探器、协议分析器和SEM软件一样的功能。

    其他来源

    1. 蜜罐(Honeypot)和蜜网(Honeynet)。
    2. DHCP服务器。
    3. 网络监控软件。
    4. ISP(互联网服务提供商)记录。
    5. 客户端/服务器(C/S)应用程序。
    6. 主机的网络配置和连接。

    技术问题

    1. 关键字搜索技术
    2. 结构化数据搜索技术(搜索结构化的数据,例如c语言中的结构体变量?)
    3. 数据存储容量(确定保留数据时间)
    4. 加密数据通信(进行解密)
    5. 服务运行在不明节点
    6. 改变了进入点
    7. 监控失败
    8. 时间日期问题

    检查分析网络通信数据

    辨认相关的事件

    辨认方法

    1. 企业内工作人员发现异常
    2. 分析人员在例行的安全数据检查过程中发现问题

    web服务器例子

    1. 确定入侵时间
    2. 从日志中找到ASP木马
    3. 确定提升权限的方式

    检查数据源

    攻击者确认

    1. 确认攻击者并不是首要任务,首要任务是确定攻击已经停止,恢复关键数据
    2. 如果攻击正在进行,就要确定攻击者的ip地址,进行阻止

    确定ip地址方法

    1. 联系ip地址所有者
    2. 调查ip地址使用历史
    展开全文
  • 取证与蜜罐(计算机取证技术部分
  • 计算机取证及网络行为取证技术,包括取证学研究背景及现状
  • 取证工具 取证分析工具的集合。 仍在进行中... 免责声明 仅用于教育用途。 作者不对恶意使用负责! 依存关系: lxml: : olefile: ://pypi.python.org/pypi/olefile/0.44 PyPDF2: ://pypi.python.org/pypi/...
  • 网络取证技术研究

    2020-10-26 12:22:21
    介绍了网络取证的概念、网络证据的特点、与传统静态取证的比较及研究现状,详细分析了数据捕获、数据分析技术、专家系统和数据挖掘技术等在网络取证中的应用,并分析了目前网络取证存在的问题和发展趋势。
  • 计算机取证Winhex取证

    2009-04-01 16:44:15
    关于计算机取证以及数据恢复方面 又助与初步了解这方面知识
  • 取证包含linux/unix、Encase等

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 16,600
精华内容 6,640
关键字:

如何取证