Day 5 數位鑑識 Bulk Extractor

iforensics_researcher-avatar-img
iforensics_researcher
更新於 發佈於 閱讀時間約 4 分鐘
前情提要:
市面上有幾款免費開源的記憶體工具,Ex: Volatility、Bulk Extractor等等
有時候在幫客戶分析記憶體時,想看證據映像檔的封包時,可以使用Bulk Extractor提取pcap檔案
是相當方便且建議大家一定要認識的鑑識工具

在安裝Bulk Extractor前,請大家先下載Java,以免於安裝過程中跳出報錯訊息喔!!!

下載網址: https://downloads.digitalcorpora.org/downloads/bulk_extractor/

來簡單介紹一下Bulk Extractor這套記憶體分析工具,它是一個從記憶體提取檔案,進行人工檔案(Artifact)分析的一套工具

它可以呈現記憶體內的 "電子信箱帳號"、"信用卡號碼"、"網址"、"網域域名"、"使用者"等等資訊

簡單來說,可以查看證物本機先前所瀏覽的網頁,下載哪些東西,在數位鑑識中佔重要的一環

這邊節錄 Bulk Extractor詳細定義,資料來源參考 bulk extractor 1.4 - USER MANUAL - March 23, 2015 (https://digitalcorpora.s3.amazonaws.com/downloads/bulk_extractor/BEUsersManual.pdf)

bulk_extractor operates on disk images, files or a directory of files and extracts useful information without parsing the file system or file system structures. The input is
split into pages and processed by one or more scanners. The results are stored in feature files that can be easily inspected, parsed, or processed with other automated tools.
bulk_extractor also creates histograms of features that it finds. This is useful because
features such as email addresses and internet search terms that are more common tend
to be important.

以下操作會於Windows進行,請先安裝bulk extractor

安裝後的執行檔案圖片

raw-image

開啟Bulk Extractor Viewer

raw-image

到上方工具列,選擇 "Tools" ,並點選 "Run bulk_extractor..."

raw-image
raw-image

選擇 "Scan: Image File",於 "Image file" 欄位,選擇製作好的記憶體檔案(副檔名為:mem),本畫面使用dmp檔案作範例

"Output Feature Directory" 選擇輸出結果資料夾位置(可以於桌面創一個資料夾)選擇完畢後,於視窗下方按下 "Submit Run" 即可進行記憶體分析

選擇完畢後,於視窗下方按下 "Submit Run" 即可進行記憶體分析

raw-image
raw-image

bulk extractor跑完結果圖

raw-image

本畫面的樣本含有惡意程式片段(Ransomware),可以從bulk extractor分析畫面中看出


raw-image

bulk extractor 分析結果輸出資料夾中,含有分析的pcap檔案

raw-image

以上就是今天的記憶體鑑識工具分享,大家可多多利用此工具分析!!!


留言
avatar-img
留言分享你的想法!
avatar-img
iforensics_researcher的沙龍
10會員
5內容數
iforensics_researcher的沙龍的其他內容
2023/03/20
Day 4 數位鑑識 分析記憶體檔案
前情提要: 記憶體分析在數位鑑識調查中為其重要,有時候駭客或者「有心人士」想要湮滅證據 or 毀屍滅跡時,會進行目標證據檔案(也就是被害人的電腦或伺服器)硬碟清除,格式化硬碟多次,洗掉整個犯案軌跡,這時候記憶體分析可能是此案找到證據的重要關鍵。 注意:本研究僅供使用自身電腦,伺服器 or 虛擬機
Thumbnail
2023/03/20
Day 4 數位鑑識 分析記憶體檔案
前情提要: 記憶體分析在數位鑑識調查中為其重要,有時候駭客或者「有心人士」想要湮滅證據 or 毀屍滅跡時,會進行目標證據檔案(也就是被害人的電腦或伺服器)硬碟清除,格式化硬碟多次,洗掉整個犯案軌跡,這時候記憶體分析可能是此案找到證據的重要關鍵。 注意:本研究僅供使用自身電腦,伺服器 or 虛擬機
Thumbnail
2023/03/19
Day 3 數位鑑識 製作記憶體分析檔案(mem)
前情提要: 以往於取證流程,皆會擷取目標取證主機/伺服器的磁碟(Disk)、記憶體(Memory)做數位鑑識分析 記憶體擷取基本上是針對揮發性記憶體(Volatile Memory)做證據擷取,建議目標取證主機於取證前 "盡量"不要切斷電源,使目標主機沒有電力,避免揮發性記憶體資料消失 之前遇過有些
Thumbnail
2023/03/19
Day 3 數位鑑識 製作記憶體分析檔案(mem)
前情提要: 以往於取證流程,皆會擷取目標取證主機/伺服器的磁碟(Disk)、記憶體(Memory)做數位鑑識分析 記憶體擷取基本上是針對揮發性記憶體(Volatile Memory)做證據擷取,建議目標取證主機於取證前 "盡量"不要切斷電源,使目標主機沒有電力,避免揮發性記憶體資料消失 之前遇過有些
Thumbnail
2023/03/19
Day 2 數位鑑識 證據能力及證據力 介紹
前情提要 之前於A公司進行調查,從取證-證物分析到產出結果報告皆要符合國際規範與證據監管鏈,避免證據於法庭上被質疑其證據資格(證據能力)今天主題是來談談 什麼是證據力? 什麼是證據能力? 先來談談定義 證據能力 : 指的是可以作為法庭上證據的 資 格 證據力: 證據的證明 程 度 或 也可以說是證據
2023/03/19
Day 2 數位鑑識 證據能力及證據力 介紹
前情提要 之前於A公司進行調查,從取證-證物分析到產出結果報告皆要符合國際規範與證據監管鏈,避免證據於法庭上被質疑其證據資格(證據能力)今天主題是來談談 什麼是證據力? 什麼是證據能力? 先來談談定義 證據能力 : 指的是可以作為法庭上證據的 資 格 證據力: 證據的證明 程 度 或 也可以說是證據
看更多
你可能也想看
Thumbnail
avatar-avatar
好好宅在家
設計師也蝦皮購-前陣子為工地買什麼?
家中修繕或裝潢想要找各種小零件時,直接上網採買可以省去不少煩惱~看看Sylvia這回為了工地買了些什麼吧~
#開箱#蝦皮分潤計畫#裝修工程
Thumbnail
avatar-avatar
好好宅在家
設計師也蝦皮購-前陣子為工地買什麼?
家中修繕或裝潢想要找各種小零件時,直接上網採買可以省去不少煩惱~看看Sylvia這回為了工地買了些什麼吧~
#開箱#蝦皮分潤計畫#裝修工程
Thumbnail
avatar-avatar
Chloe小窩
我的簡單生活練習:三款包包與日常小物開箱分享
👜簡單生活,從整理包包開始!我的三款愛用包+隨身小物清單開箱,一起來看看我每天都帶些什麼吧🌿✨
#蝦皮#開箱#蝦皮分潤計畫
Thumbnail
avatar-avatar
Chloe小窩
我的簡單生活練習:三款包包與日常小物開箱分享
👜簡單生活,從整理包包開始!我的三款愛用包+隨身小物清單開箱,一起來看看我每天都帶些什麼吧🌿✨
#蝦皮#開箱#蝦皮分潤計畫
Thumbnail
avatar-avatar
方格子 vocus 官方沙龍
徵才:創作者營運專員/經理(Operations Specialist)|Creator Partnership 部門
創作者營運專員/經理(Operations Specialist/Manager)將負責對平台成長及收入至關重要的 Partnership 夥伴創作者開發及營運。你將發揮對知識與內容變現、影響力變現的精準判斷力,找到你心中的潛力新星或有聲量的中大型創作者加入 vocus。
#vocus#方格子#求職
Thumbnail
avatar-avatar
方格子 vocus 官方沙龍
徵才:創作者營運專員/經理(Operations Specialist)|Creator Partnership 部門
創作者營運專員/經理(Operations Specialist/Manager)將負責對平台成長及收入至關重要的 Partnership 夥伴創作者開發及營運。你將發揮對知識與內容變現、影響力變現的精準判斷力,找到你心中的潛力新星或有聲量的中大型創作者加入 vocus。
#vocus#方格子#求職
Thumbnail
avatar-avatar
Jetmedia的沙龍
硬碟清除大解密-3種資料清除工具守護您的資訊安全
科技力 硬碟清除大解密-3種資料清除工具守護您的資訊安全 當您計畫處理或售出您的舊硬碟或電腦時,您必須確保您的個人資料得以妥善處理,以免敏感資料不慎流落至不當之處。本文將深入介紹如何有效進行硬碟資料清除,確保您的資訊永久無法恢復。我們將探討各種不同的硬碟清除方式、選擇適合的工具和軟體,並提供清除
#資訊安全#專業#檔案
Thumbnail
avatar-avatar
Jetmedia的沙龍
硬碟清除大解密-3種資料清除工具守護您的資訊安全
科技力 硬碟清除大解密-3種資料清除工具守護您的資訊安全 當您計畫處理或售出您的舊硬碟或電腦時,您必須確保您的個人資料得以妥善處理,以免敏感資料不慎流落至不當之處。本文將深入介紹如何有效進行硬碟資料清除,確保您的資訊永久無法恢復。我們將探討各種不同的硬碟清除方式、選擇適合的工具和軟體,並提供清除
#資訊安全#專業#檔案
Thumbnail
avatar-avatar
編織者的星空
續傳軟體是什麼?
這裡說的續傳軟體不是那種下載電影、或不知名的檔案,所用的軟體哦 ! 那種病毒很多的,又會有不知放了什麼東西(放了個餌)想竊取你電腦的資料,又或者是把你的電腦也當成串流的一個中繼站。 不知道你是否有想過,當你在下載的很開心時,這些來源點是怎麼串接的 ? 是否合法,是否你也變成了共犯呢 ? (這是題外話
#綜合軟體#軟體
Thumbnail
avatar-avatar
編織者的星空
續傳軟體是什麼?
這裡說的續傳軟體不是那種下載電影、或不知名的檔案,所用的軟體哦 ! 那種病毒很多的,又會有不知放了什麼東西(放了個餌)想竊取你電腦的資料,又或者是把你的電腦也當成串流的一個中繼站。 不知道你是否有想過,當你在下載的很開心時,這些來源點是怎麼串接的 ? 是否合法,是否你也變成了共犯呢 ? (這是題外話
#綜合軟體#軟體
Thumbnail
avatar-avatar
iforensics_researcher的沙龍
Day 5 數位鑑識 Bulk Extractor
前情提要: 市面上有幾款免費開源的記憶體工具,Ex: Volatility、Bulk Extractor等等 有時候在幫客戶分析記憶體時,想看證據映像檔的封包時,可以使用Bulk Extractor提取pcap檔案 是相當方便且建議大家一定要認識的鑑識工具
#數位鑑識
Thumbnail
avatar-avatar
iforensics_researcher的沙龍
Day 5 數位鑑識 Bulk Extractor
前情提要: 市面上有幾款免費開源的記憶體工具,Ex: Volatility、Bulk Extractor等等 有時候在幫客戶分析記憶體時,想看證據映像檔的封包時,可以使用Bulk Extractor提取pcap檔案 是相當方便且建議大家一定要認識的鑑識工具
#數位鑑識
Thumbnail
avatar-avatar
Meiko微課頻道的沙龍
Excel_02 | 如何解除被封鎖的巨集檔案 | Meiko微課頻道
巨集檔案為什麼會被紅標 從網路上下載的巨集檔案xlsm,大多時候都會遇到紅標:出現安全性風險警告 Microsoft 已封鎖巨集執行,因為此檔案的來源不受信任 巨集可以讓Excel突破功能上的限制,加快處理的速度,但巨集也常常成為惡意攻擊的目標,用來散佈惡意程式碼,所以微軟近期對於線上下載下來的巨集
#巨集活頁簿#Excel教學#封鎖檔案
Thumbnail
avatar-avatar
Meiko微課頻道的沙龍
Excel_02 | 如何解除被封鎖的巨集檔案 | Meiko微課頻道
巨集檔案為什麼會被紅標 從網路上下載的巨集檔案xlsm,大多時候都會遇到紅標:出現安全性風險警告 Microsoft 已封鎖巨集執行,因為此檔案的來源不受信任 巨集可以讓Excel突破功能上的限制,加快處理的速度,但巨集也常常成為惡意攻擊的目標,用來散佈惡意程式碼,所以微軟近期對於線上下載下來的巨集
#巨集活頁簿#Excel教學#封鎖檔案
Thumbnail
avatar-avatar
iforensics_researcher的沙龍
Day 4 數位鑑識 分析記憶體檔案
前情提要: 記憶體分析在數位鑑識調查中為其重要,有時候駭客或者「有心人士」想要湮滅證據 or 毀屍滅跡時,會進行目標證據檔案(也就是被害人的電腦或伺服器)硬碟清除,格式化硬碟多次,洗掉整個犯案軌跡,這時候記憶體分析可能是此案找到證據的重要關鍵。 注意:本研究僅供使用自身電腦,伺服器 or 虛擬機
Thumbnail
avatar-avatar
iforensics_researcher的沙龍
Day 4 數位鑑識 分析記憶體檔案
前情提要: 記憶體分析在數位鑑識調查中為其重要,有時候駭客或者「有心人士」想要湮滅證據 or 毀屍滅跡時,會進行目標證據檔案(也就是被害人的電腦或伺服器)硬碟清除,格式化硬碟多次,洗掉整個犯案軌跡,這時候記憶體分析可能是此案找到證據的重要關鍵。 注意:本研究僅供使用自身電腦,伺服器 or 虛擬機
Thumbnail
avatar-avatar
iforensics_researcher的沙龍
Day 3 數位鑑識 製作記憶體分析檔案(mem)
前情提要: 以往於取證流程,皆會擷取目標取證主機/伺服器的磁碟(Disk)、記憶體(Memory)做數位鑑識分析 記憶體擷取基本上是針對揮發性記憶體(Volatile Memory)做證據擷取,建議目標取證主機於取證前 "盡量"不要切斷電源,使目標主機沒有電力,避免揮發性記憶體資料消失 之前遇過有些
Thumbnail
avatar-avatar
iforensics_researcher的沙龍
Day 3 數位鑑識 製作記憶體分析檔案(mem)
前情提要: 以往於取證流程,皆會擷取目標取證主機/伺服器的磁碟(Disk)、記憶體(Memory)做數位鑑識分析 記憶體擷取基本上是針對揮發性記憶體(Volatile Memory)做證據擷取,建議目標取證主機於取證前 "盡量"不要切斷電源,使目標主機沒有電力,避免揮發性記憶體資料消失 之前遇過有些
Thumbnail
avatar-avatar
一代軍師
玩轉C#之【爬蟲】
介紹 基礎概念 爬蟲其實就是一個自動提取網頁的程式 程式基本運作:Url開始-->分析獲取數據&找到Url-->遞迴下去-->結束 分析獲取數據運作:下載html--解析獲取數據--數據保存 爬蟲可以做哪些事情? 數據為王:抓小說數據,做個內容站; 電影/動漫下載站 抓圖片 政府的公開招標數據,每天
#IT鐵人賽#爬蟲#Chsarp
Thumbnail
avatar-avatar
一代軍師
玩轉C#之【爬蟲】
介紹 基礎概念 爬蟲其實就是一個自動提取網頁的程式 程式基本運作:Url開始-->分析獲取數據&找到Url-->遞迴下去-->結束 分析獲取數據運作:下載html--解析獲取數據--數據保存 爬蟲可以做哪些事情? 數據為王:抓小說數據,做個內容站; 電影/動漫下載站 抓圖片 政府的公開招標數據,每天
#IT鐵人賽#爬蟲#Chsarp
Thumbnail
avatar-avatar
橘貓的沙龍
如何安全使用電腦-軟體篇(二)
這篇分享的內容,主要以上網習慣、軟體安裝、電腦桌面資料...等方面,所需要注意的事項,以下為經驗談,也歡迎大家留言分享自己覺得在使用電腦上需要注意的地方~! 1.上網習慣 【搜尋結果】 【惡意網頁、網頁綁架】 2.軟體下載安裝 【下載平台】 【免費軟體、試用版軟體】 3.減少放在電腦桌面的資料
#數位創作者百寶箱#電腦#軟體
Thumbnail
avatar-avatar
橘貓的沙龍
如何安全使用電腦-軟體篇(二)
這篇分享的內容,主要以上網習慣、軟體安裝、電腦桌面資料...等方面,所需要注意的事項,以下為經驗談,也歡迎大家留言分享自己覺得在使用電腦上需要注意的地方~! 1.上網習慣 【搜尋結果】 【惡意網頁、網頁綁架】 2.軟體下載安裝 【下載平台】 【免費軟體、試用版軟體】 3.減少放在電腦桌面的資料
#數位創作者百寶箱#電腦#軟體
Thumbnail
avatar-avatar
有溫度的科技的沙龍
蒐證需要那些技巧?你需要好的蒐證器材!
蒐證器材在徵信社是非常重要的角色,有許多功能都是市售產品無法取代的,加上職業的特殊性質,一旦被目標發現就會引起對方的防備,蒐證任務會變得更加困難,所以為了確保任務執行的過程能夠滴水不漏、毫無破綻,平時就必須勤於保養檢查,值勤之前都要反覆進行測試,以確保顧客的利益及任務的順利! 情報專線:0800
#外遇蒐證#GPS#追蹤器
Thumbnail
avatar-avatar
有溫度的科技的沙龍
蒐證需要那些技巧?你需要好的蒐證器材!
蒐證器材在徵信社是非常重要的角色,有許多功能都是市售產品無法取代的,加上職業的特殊性質,一旦被目標發現就會引起對方的防備,蒐證任務會變得更加困難,所以為了確保任務執行的過程能夠滴水不漏、毫無破綻,平時就必須勤於保養檢查,值勤之前都要反覆進行測試,以確保顧客的利益及任務的順利! 情報專線:0800
#外遇蒐證#GPS#追蹤器
追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News