iforensics_researcher的沙龍

Day 3 數位鑑識 製作記憶體分析檔案(mem)

iforensics_researcher-avatar-img
iforensics_researcher
更新於 發佈於 閱讀時間約 1 分鐘
前情提要:
以往於取證流程,皆會擷取目標取證主機/伺服器的磁碟(Disk)、記憶體(Memory)做數位鑑識分析
記憶體擷取基本上是針對揮發性記憶體(Volatile Memory)做證據擷取,建議目標取證主機於取證前 "盡量"不要切斷電源,使目標主機沒有電力,避免揮發性記憶體資料消失
之前遇過有些客戶,中勒索病毒就將目標取證主機電源線拔除,導致主機沒電,無法做詳細的記憶體分析 QQ
市面上有許多記憶體分析工具:
1.Volatility (免費使用)
2.AccessData FTK Imager (免費使用)
3.Bulk Extractor (免費使用)
4.Magnet AXIOM (需付費使用)
今天單元會來操作AccessData FTK Imager給大家供簡單參考:
下方圖片是FTK Imager的執行檔圖示,可以在AccessData官網上下載FTK Imager
如果已經下載完畢,可以點擊FTK Imager 執行檔(.exe)開啟FTK Imager
左上角是功能選單類,可以依據使用者想達到的功能作選擇,像是製作一個.mem檔案(記憶體檔案)或製作disk image(硬碟證據檔)
選擇Capture Memory... 會產生一個Windows 視窗,可以輸入製作完的Memory放置位子(Destination Path),也可以更改你的mem名稱,輸入完成後按下Capture Memory ,就完成記憶體擷取步驟
進度條跑完(綠色)結束後,會產生一個新的Windows 視窗,告訴使用者製作完的mem Hash值
下一天的單元會跟大家分享拿到記憶體檔案,要如何分析記憶體
那我們就下一天的單元作詳細說明!
為什麼會看到廣告
avatar-img
iforensics_researcher的沙龍
9會員
5內容數
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
iforensics_researcher的沙龍 的其他內容
Day 2 數位鑑識 證據能力及證據力 介紹
前情提要 之前於A公司進行調查,從取證-證物分析到產出結果報告皆要符合國際規範與證據監管鏈,避免證據於法庭上被質疑其證據資格(證據能力)今天主題是來談談 什麼是證據力? 什麼是證據能力? 先來談談定義 證據能力 : 指的是可以作為法庭上證據的 資 格 證據力: 證據的證明 程 度 或 也可以說是證據
Day 1 數位鑑識入門 -- 什麼是數位鑑識
鑑於中文數位鑑識文章較少,就來跟大家分享數位鑑識入門需具備的知識與技術 有人會問說,數位鑑識入門門檻會不會很高、一定要有一定懂軟體或底層基礎的人才能入門嗎? 我會說:「數位鑑識入門門檻不會太高,只要你對資訊挖掘、喜愛調查旁人的電腦或手機有興趣,看他晚上都在瀏覽什麼片子(喂~),基本上一步一步學習,還
#數位鑑識
Day 2 數位鑑識 證據能力及證據力 介紹
前情提要 之前於A公司進行調查,從取證-證物分析到產出結果報告皆要符合國際規範與證據監管鏈,避免證據於法庭上被質疑其證據資格(證據能力)今天主題是來談談 什麼是證據力? 什麼是證據能力? 先來談談定義 證據能力 : 指的是可以作為法庭上證據的 資 格 證據力: 證據的證明 程 度 或 也可以說是證據
Day 1 數位鑑識入門 -- 什麼是數位鑑識
鑑於中文數位鑑識文章較少,就來跟大家分享數位鑑識入門需具備的知識與技術 有人會問說,數位鑑識入門門檻會不會很高、一定要有一定懂軟體或底層基礎的人才能入門嗎? 我會說:「數位鑑識入門門檻不會太高,只要你對資訊挖掘、喜愛調查旁人的電腦或手機有興趣,看他晚上都在瀏覽什麼片子(喂~),基本上一步一步學習,還
#數位鑑識
你可能也想看
Google News 追蹤
avatar-avatar
♡ 後沙發的會客廳 ♡
《表達與社交學》95 抱怨者嚇走強者,提問者吸引強者,所以貴人運天差地遠
提問的內容越是清晰,強者、聰明人越能在短時間內做判斷、給出精準的建議,他們會對你產生「好印象」,認定你是「積極」的人,有機會、好人脈會不自覺地想引薦給你
#後沙發#貴人#人脈
avatar-avatar
linct的沙龍
Thumbnail
批次刪除檔案與空目錄
本文介紹瞭如何使用BAT腳本和CMD指令來自動執行檔案和空目錄的刪除作業。通過設定各種參數和指令,可以快速、有效地執行定期刪除作業,節省硬體空間並提升工作效率。
#檔案#刪除#執行
avatar-avatar
立立子的沙龍
Thumbnail
《七月日記》2024.07.05 | 在刪與不刪之間
逐一檢視它們,我好像看見自己多年來到底累積了什麽。
#七月日記#生活札記#生活隨筆
avatar-avatar
linct的沙龍
Thumbnail
檔案操作處理工具
工具功能 (1) 彈性任意查詢檔案,如對來源目錄設定,檔案修改日期 設定,檔名特定字串或副檔名設定後,自動查出明細,並可展開至各階子目錄處理     (2) 依查詢後結果,可產出 LIST ,提供查詢結果之確認,再依此對檔案作複 (3) 可對檔案作移動,複製至別處,刪除處理,使電腦可騰出硬碟空間
#windows#cmd#bat
avatar-avatar
Rose | 生活的留白練習 的沙龍
Thumbnail
數位整理|電腦桌面及資料庫整理分享
在數位的時代裡,電腦、手機、相機幾乎已是現代人不可或缺的生活必需品,各種3C的儲存單位也從GB來到TB,文檔、照片、影片和各式各樣的程式、APP,海量的資料佔據每個人的資料庫,混亂的資料庫不僅影響工作效率,也容易打亂思緒,那麼我們該如何開始做數位整理呢?
#數位整理#整理收納#資料整理
avatar-avatar
甯水小姐聊天式
Thumbnail
KEEP終止的最佳替代方案-關於記憶體儲存空間
我最近在思考關於記憶體的最佳存放,在哪裡會最好 得出來的答案 就是...必須用笨方法 但笨方法最為安全 1.定期刪除信箱和手機裡無用影片和截圖或垃圾訊息 2.定期分類自己的文件和圖檔 3.定期備份資料-放在自己常用的電腦裡或另外買隨身碟和硬碟 4.可以暫時存在雲端或GOOGLE文件
#自我介紹
avatar-avatar
辯證人生
Thumbnail
如果電腦資料消失了,談什麼是無法失去的東西
隨著電腦的普及,大大改變了我們的日常行為,食物上桌前要先拍照、打卡、上傳;路見不平報警前先錄影、直播;資料下載後先存檔、備份,至於資料有沒有被閱讀則完全不重要了。而這些紀錄甚或記憶我某段過去的資料,皆反射了我的一部分,因為那些資料保存了我過去部分的時間,保存了我成為現在的我的部分痕跡。但是如
avatar-avatar
linct的沙龍
Thumbnail
程式執行結果之自動檢查
資料庫之備份工作大都是自動執行,但是執行結果是否成功,需要安排人員去檢查,有時疏忽忘記確認作業,致備份工作失敗仍不知道,等到有一天需要回復舊有資料的場合時,才發現找不到過去某段期間的備份資料,造成無法彌補之後果。   2.    改善: 2.1 設計一執行檔,功能為打開備
#cmd#windows#bat
avatar-avatar
左先生的沙龍
Thumbnail
2024-01-22 Drill test的重要性
在企業IT環境,系統和數據的備份的重要性相信是不用解說,亦不用懷疑的。 但很時時候,企業忽略的並不是備份,而是Drill test的重要性。
#審計#資安#備份
avatar-avatar
Jetmedia的沙龍
Thumbnail
SSD克隆工具:軟硬體一應俱全的全方位比較與推薦
引言 在現今迅速發展的科技環境下,資料克隆技術已成為數據管理中不可或缺的一環。在日常生活和商業運營中,我們經常需要處理大量數據的複製、備份和遷移,而SSD克隆技術應運而生,提供了高效、快速和方便的解決方案。 目錄 SSD克隆的原理 SSD克隆的方法 SSD克隆機器的運作 軟體 vs. 專
#SSD#軟體#專業
avatar-avatar
♡ 後沙發的會客廳 ♡
《表達與社交學》95 抱怨者嚇走強者,提問者吸引強者,所以貴人運天差地遠
提問的內容越是清晰,強者、聰明人越能在短時間內做判斷、給出精準的建議,他們會對你產生「好印象」,認定你是「積極」的人,有機會、好人脈會不自覺地想引薦給你
#後沙發#貴人#人脈
avatar-avatar
linct的沙龍
Thumbnail
批次刪除檔案與空目錄
本文介紹瞭如何使用BAT腳本和CMD指令來自動執行檔案和空目錄的刪除作業。通過設定各種參數和指令,可以快速、有效地執行定期刪除作業,節省硬體空間並提升工作效率。
#檔案#刪除#執行
avatar-avatar
立立子的沙龍
Thumbnail
《七月日記》2024.07.05 | 在刪與不刪之間
逐一檢視它們,我好像看見自己多年來到底累積了什麽。
#七月日記#生活札記#生活隨筆
avatar-avatar
linct的沙龍
Thumbnail
檔案操作處理工具
工具功能 (1) 彈性任意查詢檔案,如對來源目錄設定,檔案修改日期 設定,檔名特定字串或副檔名設定後,自動查出明細,並可展開至各階子目錄處理     (2) 依查詢後結果,可產出 LIST ,提供查詢結果之確認,再依此對檔案作複 (3) 可對檔案作移動,複製至別處,刪除處理,使電腦可騰出硬碟空間
#windows#cmd#bat
avatar-avatar
Rose | 生活的留白練習 的沙龍
Thumbnail
數位整理|電腦桌面及資料庫整理分享
在數位的時代裡,電腦、手機、相機幾乎已是現代人不可或缺的生活必需品,各種3C的儲存單位也從GB來到TB,文檔、照片、影片和各式各樣的程式、APP,海量的資料佔據每個人的資料庫,混亂的資料庫不僅影響工作效率,也容易打亂思緒,那麼我們該如何開始做數位整理呢?
#數位整理#整理收納#資料整理
avatar-avatar
甯水小姐聊天式
Thumbnail
KEEP終止的最佳替代方案-關於記憶體儲存空間
我最近在思考關於記憶體的最佳存放,在哪裡會最好 得出來的答案 就是...必須用笨方法 但笨方法最為安全 1.定期刪除信箱和手機裡無用影片和截圖或垃圾訊息 2.定期分類自己的文件和圖檔 3.定期備份資料-放在自己常用的電腦裡或另外買隨身碟和硬碟 4.可以暫時存在雲端或GOOGLE文件
#自我介紹
avatar-avatar
辯證人生
Thumbnail
如果電腦資料消失了,談什麼是無法失去的東西
隨著電腦的普及,大大改變了我們的日常行為,食物上桌前要先拍照、打卡、上傳;路見不平報警前先錄影、直播;資料下載後先存檔、備份,至於資料有沒有被閱讀則完全不重要了。而這些紀錄甚或記憶我某段過去的資料,皆反射了我的一部分,因為那些資料保存了我過去部分的時間,保存了我成為現在的我的部分痕跡。但是如
avatar-avatar
linct的沙龍
Thumbnail
程式執行結果之自動檢查
資料庫之備份工作大都是自動執行,但是執行結果是否成功,需要安排人員去檢查,有時疏忽忘記確認作業,致備份工作失敗仍不知道,等到有一天需要回復舊有資料的場合時,才發現找不到過去某段期間的備份資料,造成無法彌補之後果。   2.    改善: 2.1 設計一執行檔,功能為打開備
#cmd#windows#bat
avatar-avatar
左先生的沙龍
Thumbnail
2024-01-22 Drill test的重要性
在企業IT環境,系統和數據的備份的重要性相信是不用解說,亦不用懷疑的。 但很時時候,企業忽略的並不是備份,而是Drill test的重要性。
#審計#資安#備份
avatar-avatar
Jetmedia的沙龍
Thumbnail
SSD克隆工具:軟硬體一應俱全的全方位比較與推薦
引言 在現今迅速發展的科技環境下,資料克隆技術已成為數據管理中不可或缺的一環。在日常生活和商業運營中,我們經常需要處理大量數據的複製、備份和遷移,而SSD克隆技術應運而生,提供了高效、快速和方便的解決方案。 目錄 SSD克隆的原理 SSD克隆的方法 SSD克隆機器的運作 軟體 vs. 專
#SSD#軟體#專業