iforensics_researcher的沙龍

Day 5 數位鑑識 Bulk Extractor

iforensics_researcher-avatar-img
iforensics_researcher
閱讀時間約 4 分鐘
前情提要:
市面上有幾款免費開源的記憶體工具,Ex: Volatility、Bulk Extractor等等
有時候在幫客戶分析記憶體時,想看證據映像檔的封包時,可以使用Bulk Extractor提取pcap檔案
是相當方便且建議大家一定要認識的鑑識工具

在安裝Bulk Extractor前,請大家先下載Java,以免於安裝過程中跳出報錯訊息喔!!!

下載網址: https://downloads.digitalcorpora.org/downloads/bulk_extractor/
來簡單介紹一下Bulk Extractor這套記憶體分析工具,它是一個從記憶體提取檔案,進行人工檔案(Artifact)分析的一套工具
它可以呈現記憶體內的 "電子信箱帳號"、"信用卡號碼"、"網址"、"網域域名"、"使用者"等等資訊
簡單來說,可以查看證物本機先前所瀏覽的網頁,下載哪些東西,在數位鑑識中佔重要的一環
這邊節錄 Bulk Extractor詳細定義,資料來源參考 bulk extractor 1.4 - USER MANUAL - March 23, 2015 (https://digitalcorpora.s3.amazonaws.com/downloads/bulk_extractor/BEUsersManual.pdf)
bulk_extractor operates on disk images, files or a directory of files and extracts useful information without parsing the file system or file system structures. The input is
split into pages and processed by one or more scanners. The results are stored in feature files that can be easily inspected, parsed, or processed with other automated tools.
bulk_extractor also creates histograms of features that it finds. This is useful because
features such as email addresses and internet search terms that are more common tend
to be important.
以下操作會於Windows進行,請先安裝bulk extractor
安裝後的執行檔案圖片
開啟Bulk Extractor Viewer
到上方工具列,選擇 "Tools" ,並點選 "Run bulk_extractor..."
選擇 "Scan: Image File",於 "Image file" 欄位,選擇製作好的記憶體檔案(副檔名為:mem),本畫面使用dmp檔案作範例
"Output Feature Directory" 選擇輸出結果資料夾位置(可以於桌面創一個資料夾)選擇完畢後,於視窗下方按下 "Submit Run" 即可進行記憶體分析
選擇完畢後,於視窗下方按下 "Submit Run" 即可進行記憶體分析
bulk extractor跑完結果圖
本畫面的樣本含有惡意程式片段(Ransomware),可以從bulk extractor分析畫面中看出
bulk extractor 分析結果輸出資料夾中,含有分析的pcap檔案
以上就是今天的記憶體鑑識工具分享,大家可多多利用此工具分析!!!
為什麼會看到廣告
avatar-img
iforensics_researcher的沙龍
9會員
5內容數
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
iforensics_researcher的沙龍 的其他內容
Day 4 數位鑑識 分析記憶體檔案
前情提要: 記憶體分析在數位鑑識調查中為其重要,有時候駭客或者「有心人士」想要湮滅證據 or 毀屍滅跡時,會進行目標證據檔案(也就是被害人的電腦或伺服器)硬碟清除,格式化硬碟多次,洗掉整個犯案軌跡,這時候記憶體分析可能是此案找到證據的重要關鍵。 注意:本研究僅供使用自身電腦,伺服器 or 虛擬機
Day 3 數位鑑識 製作記憶體分析檔案(mem)
前情提要: 以往於取證流程,皆會擷取目標取證主機/伺服器的磁碟(Disk)、記憶體(Memory)做數位鑑識分析 記憶體擷取基本上是針對揮發性記憶體(Volatile Memory)做證據擷取,建議目標取證主機於取證前 "盡量"不要切斷電源,使目標主機沒有電力,避免揮發性記憶體資料消失 之前遇過有些
Day 2 數位鑑識 證據能力及證據力 介紹
前情提要 之前於A公司進行調查,從取證-證物分析到產出結果報告皆要符合國際規範與證據監管鏈,避免證據於法庭上被質疑其證據資格(證據能力)今天主題是來談談 什麼是證據力? 什麼是證據能力? 先來談談定義 證據能力 : 指的是可以作為法庭上證據的 資 格 證據力: 證據的證明 程 度 或 也可以說是證據
Day 1 數位鑑識入門 -- 什麼是數位鑑識
鑑於中文數位鑑識文章較少,就來跟大家分享數位鑑識入門需具備的知識與技術 有人會問說,數位鑑識入門門檻會不會很高、一定要有一定懂軟體或底層基礎的人才能入門嗎? 我會說:「數位鑑識入門門檻不會太高,只要你對資訊挖掘、喜愛調查旁人的電腦或手機有興趣,看他晚上都在瀏覽什麼片子(喂~),基本上一步一步學習,還
#數位鑑識
Day 4 數位鑑識 分析記憶體檔案
前情提要: 記憶體分析在數位鑑識調查中為其重要,有時候駭客或者「有心人士」想要湮滅證據 or 毀屍滅跡時,會進行目標證據檔案(也就是被害人的電腦或伺服器)硬碟清除,格式化硬碟多次,洗掉整個犯案軌跡,這時候記憶體分析可能是此案找到證據的重要關鍵。 注意:本研究僅供使用自身電腦,伺服器 or 虛擬機
Day 3 數位鑑識 製作記憶體分析檔案(mem)
前情提要: 以往於取證流程,皆會擷取目標取證主機/伺服器的磁碟(Disk)、記憶體(Memory)做數位鑑識分析 記憶體擷取基本上是針對揮發性記憶體(Volatile Memory)做證據擷取,建議目標取證主機於取證前 "盡量"不要切斷電源,使目標主機沒有電力,避免揮發性記憶體資料消失 之前遇過有些
Day 2 數位鑑識 證據能力及證據力 介紹
前情提要 之前於A公司進行調查,從取證-證物分析到產出結果報告皆要符合國際規範與證據監管鏈,避免證據於法庭上被質疑其證據資格(證據能力)今天主題是來談談 什麼是證據力? 什麼是證據能力? 先來談談定義 證據能力 : 指的是可以作為法庭上證據的 資 格 證據力: 證據的證明 程 度 或 也可以說是證據
Day 1 數位鑑識入門 -- 什麼是數位鑑識
鑑於中文數位鑑識文章較少,就來跟大家分享數位鑑識入門需具備的知識與技術 有人會問說,數位鑑識入門門檻會不會很高、一定要有一定懂軟體或底層基礎的人才能入門嗎? 我會說:「數位鑑識入門門檻不會太高,只要你對資訊挖掘、喜愛調查旁人的電腦或手機有興趣,看他晚上都在瀏覽什麼片子(喂~),基本上一步一步學習,還
#數位鑑識
你可能也想看
Google News 追蹤
avatar-avatar
方格子 vocus 官方沙龍
2024/10/21
Thumbnail
「天天秋嗨嗨」:vocus 秋季徵文,五大主題 & 獎品登場!
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
#天天秋嗨嗨#秋季旅遊#秋季穿搭
avatar-avatar
MimiVsJames的美股投資分享
2024/11/13
Thumbnail
11/20 NVDA財報前Preview, 財報前股價波動走勢觀察
11/20日NVDA即將公布最新一期的財報, 今天Sell Side的分析師, 開始調高目標價, 市場的股價也開始反應, 未來一週NVDA將重新回到美股市場的焦點, 今天我們要分析NVDA Sell Side怎麼看待這次NVDA的財報預測, 以及實際上Buy Side的倉位及操作, 從
#美股#美股投資#投資理財
avatar-avatar
Ethan的沙龍
2024/02/27
Thumbnail
維持皮膚健康與活力|6款超人氣保濕、舒緩敏感化妝水評比
Hi 大家好,我是Ethan😊 相近大家都知道保濕是皮膚保養中最基本,也是最重要的一步。無論是在畫室裡長時間對著畫布,還是在旅途中面對各種氣候變化,保持皮膚的水分平衡對我來說至關重要。保濕化妝水不僅能迅速為皮膚補水,還能提升後續保養品的吸收效率。 曾經,我的保養程序簡單到只包括清潔和隨意上乳液
#保養#產品#分享
avatar-avatar
Yu の隨意說沙龍
2024/02/02
Thumbnail
Day 5 Plan: Movie Marathon
#電影#老狐狸#BIG
avatar-avatar
自由豐盛社群
2023/11/15
Thumbnail
【Day 5】如何在一週內創建一門暢銷的線上課程,幫助你在任何地方工作賺錢
如果你已經完成了這一步,那就非常出色了。此時,你應該準備好發布所有內容。 第一步是弄清楚要在哪些平台上發佈內容。每個平台對於創作者都有不同的佣金制度,因此你需要在提交之前了解這一點。
#如何在一週內創建一門暢銷的線上課程#課程發布#線上課程平台
avatar-avatar
無名山裡的寂寞之景
2023/09/24
Thumbnail
Day 5:9/24|達成率 60 %
量體重:73 KG 椰子油:2 匙 喝水3000:1000 CC😰 廁所:有 記錄飲食[斷食 23 小時]:9/23 21:40-9/24 16:40 / 20小時 😰 紀錄作息[6:00 起 11:00 睡]:10:00 起 2:00睡 😰 閱讀:10 頁 p200-210 筆
#感謝#日記#閱讀
avatar-avatar
金蟬的耽美國度
2023/07/28
Thumbnail
Day 5:2023.07.17 畫了一個全身大衣小受 #100天練畫挑戰|練畫的耽美小說家—金蟬童子
Day 5:2023.07.17 畫了一個全身大衣小受 #100天練畫挑戰|練畫的耽美小說家—金蟬童子 金蟬童子(Kingzen),原創耽美作者,資深腐女,腐齡20+年。  從峰倉老師的最遊記入腐坑。 想將小說寫得像漫畫一樣。 喜歡攻舒服的喘息聲。  小說專欄:https://www.ka
#挑戰#耽美#BL
avatar-avatar
玲仔的沙龍
2023/04/24
結束/Brand new day
結束一段七年的伴侶關係 那結束的那一天開始 千頭萬緒 各種想法在頭腦裡飄來飄去 帶來眼淚 痛楚 委屈 憤怒 忌妒或感謝 我近乎殘忍的要自己面對 感受每一樣思緒所帶來的情緒 也在每一日一日的進程裡 看見自己慢慢安穩下來 眼光開始能看見生活中其他人、事、物 開始能感受生活純粹的快樂 會因為臉書
#感謝#愛你#分手
avatar-avatar
和你一樣都是媽的沙龍
2022/08/29
Thumbnail
環島之旅Day5【結束,是為了下一次的開始】
帶著孩子旅行雖然很累,卻也從你們身上學到很多東西。結束,是為了下一次的開始。雖然已經是第三次環島,但每次環島都有不同的體驗與樂趣。與其說是陪伴你們,帶著你們環島看台灣,不如說是你們陪伴著我們,用你們的視野,帶著我們環島看世界,謝謝你們一路相陪。
avatar-avatar
半透明偏光鏡的沙龍
2022/06/03
Thumbnail
研究所鬼故事(學術交流篇)Day 5~6
「計畫有變,學姊剛才傳訊息來說,另一個參訪的實驗要延後幾天,所以我們又可以放風一天了。」同學一手拿著剛買好的早餐,一手拿著手機向我們展示。 「我們這麼早起來,結果可以多睡一會了嗎?」同學指著七點多的手錶說道。 「好不容易有一天放假,當然是去買伴手禮啊。」
#碩士班#隨筆#小說
avatar-avatar
Janis Chen的沙龍
2022/05/30
Thumbnail
5/8/22 6th day-沒有終點,因為我們從未結束
如果我們在過程、內心、行動時感受到的快樂中,就永遠不會在終點線前卡住。為什麼?因為我們沒有想終點線,沒有看時鐘,沒有觀看在巨型螢幕上表演的自己。我們在真實時間中行動,而其中的過程就是終點,裡頭也沒有終點線,因為我們從未結束。— 馬修麥康納 《綠燈》
avatar-avatar
方格子 vocus 官方沙龍
2024/10/21
Thumbnail
「天天秋嗨嗨」:vocus 秋季徵文,五大主題 & 獎品登場!
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
#天天秋嗨嗨#秋季旅遊#秋季穿搭
avatar-avatar
MimiVsJames的美股投資分享
2024/11/13
Thumbnail
11/20 NVDA財報前Preview, 財報前股價波動走勢觀察
11/20日NVDA即將公布最新一期的財報, 今天Sell Side的分析師, 開始調高目標價, 市場的股價也開始反應, 未來一週NVDA將重新回到美股市場的焦點, 今天我們要分析NVDA Sell Side怎麼看待這次NVDA的財報預測, 以及實際上Buy Side的倉位及操作, 從
#美股#美股投資#投資理財
avatar-avatar
Ethan的沙龍
2024/02/27
Thumbnail
維持皮膚健康與活力|6款超人氣保濕、舒緩敏感化妝水評比
Hi 大家好,我是Ethan😊 相近大家都知道保濕是皮膚保養中最基本,也是最重要的一步。無論是在畫室裡長時間對著畫布,還是在旅途中面對各種氣候變化,保持皮膚的水分平衡對我來說至關重要。保濕化妝水不僅能迅速為皮膚補水,還能提升後續保養品的吸收效率。 曾經,我的保養程序簡單到只包括清潔和隨意上乳液
#保養#產品#分享
avatar-avatar
Yu の隨意說沙龍
2024/02/02
Thumbnail
Day 5 Plan: Movie Marathon
#電影#老狐狸#BIG
avatar-avatar
自由豐盛社群
2023/11/15
Thumbnail
【Day 5】如何在一週內創建一門暢銷的線上課程,幫助你在任何地方工作賺錢
如果你已經完成了這一步,那就非常出色了。此時,你應該準備好發布所有內容。 第一步是弄清楚要在哪些平台上發佈內容。每個平台對於創作者都有不同的佣金制度,因此你需要在提交之前了解這一點。
#如何在一週內創建一門暢銷的線上課程#課程發布#線上課程平台
avatar-avatar
無名山裡的寂寞之景
2023/09/24
Thumbnail
Day 5:9/24|達成率 60 %
量體重:73 KG 椰子油:2 匙 喝水3000:1000 CC😰 廁所:有 記錄飲食[斷食 23 小時]:9/23 21:40-9/24 16:40 / 20小時 😰 紀錄作息[6:00 起 11:00 睡]:10:00 起 2:00睡 😰 閱讀:10 頁 p200-210 筆
#感謝#日記#閱讀
avatar-avatar
金蟬的耽美國度
2023/07/28
Thumbnail
Day 5:2023.07.17 畫了一個全身大衣小受 #100天練畫挑戰|練畫的耽美小說家—金蟬童子
Day 5:2023.07.17 畫了一個全身大衣小受 #100天練畫挑戰|練畫的耽美小說家—金蟬童子 金蟬童子(Kingzen),原創耽美作者,資深腐女,腐齡20+年。  從峰倉老師的最遊記入腐坑。 想將小說寫得像漫畫一樣。 喜歡攻舒服的喘息聲。  小說專欄:https://www.ka
#挑戰#耽美#BL
avatar-avatar
玲仔的沙龍
2023/04/24
結束/Brand new day
結束一段七年的伴侶關係 那結束的那一天開始 千頭萬緒 各種想法在頭腦裡飄來飄去 帶來眼淚 痛楚 委屈 憤怒 忌妒或感謝 我近乎殘忍的要自己面對 感受每一樣思緒所帶來的情緒 也在每一日一日的進程裡 看見自己慢慢安穩下來 眼光開始能看見生活中其他人、事、物 開始能感受生活純粹的快樂 會因為臉書
#感謝#愛你#分手
avatar-avatar
和你一樣都是媽的沙龍
2022/08/29
Thumbnail
環島之旅Day5【結束,是為了下一次的開始】
帶著孩子旅行雖然很累,卻也從你們身上學到很多東西。結束,是為了下一次的開始。雖然已經是第三次環島,但每次環島都有不同的體驗與樂趣。與其說是陪伴你們,帶著你們環島看台灣,不如說是你們陪伴著我們,用你們的視野,帶著我們環島看世界,謝謝你們一路相陪。
avatar-avatar
半透明偏光鏡的沙龍
2022/06/03
Thumbnail
研究所鬼故事(學術交流篇)Day 5~6
「計畫有變,學姊剛才傳訊息來說,另一個參訪的實驗要延後幾天,所以我們又可以放風一天了。」同學一手拿著剛買好的早餐,一手拿著手機向我們展示。 「我們這麼早起來,結果可以多睡一會了嗎?」同學指著七點多的手錶說道。 「好不容易有一天放假,當然是去買伴手禮啊。」
#碩士班#隨筆#小說
avatar-avatar
Janis Chen的沙龍
2022/05/30
Thumbnail
5/8/22 6th day-沒有終點,因為我們從未結束
如果我們在過程、內心、行動時感受到的快樂中,就永遠不會在終點線前卡住。為什麼?因為我們沒有想終點線,沒有看時鐘,沒有觀看在巨型螢幕上表演的自己。我們在真實時間中行動,而其中的過程就是終點,裡頭也沒有終點線,因為我們從未結束。— 馬修麥康納 《綠燈》