iforensics_researcher的沙龍

Day 5 數位鑑識 Bulk Extractor

iforensics_researcher-avatar-img
iforensics_researcher
更新 發佈閱讀 4 分鐘
前情提要:
市面上有幾款免費開源的記憶體工具,Ex: Volatility、Bulk Extractor等等
有時候在幫客戶分析記憶體時,想看證據映像檔的封包時,可以使用Bulk Extractor提取pcap檔案
是相當方便且建議大家一定要認識的鑑識工具

在安裝Bulk Extractor前,請大家先下載Java,以免於安裝過程中跳出報錯訊息喔!!!

下載網址: https://downloads.digitalcorpora.org/downloads/bulk_extractor/

來簡單介紹一下Bulk Extractor這套記憶體分析工具,它是一個從記憶體提取檔案,進行人工檔案(Artifact)分析的一套工具

它可以呈現記憶體內的 "電子信箱帳號"、"信用卡號碼"、"網址"、"網域域名"、"使用者"等等資訊

簡單來說,可以查看證物本機先前所瀏覽的網頁,下載哪些東西,在數位鑑識中佔重要的一環

這邊節錄 Bulk Extractor詳細定義,資料來源參考 bulk extractor 1.4 - USER MANUAL - March 23, 2015 (https://digitalcorpora.s3.amazonaws.com/downloads/bulk_extractor/BEUsersManual.pdf)

bulk_extractor operates on disk images, files or a directory of files and extracts useful information without parsing the file system or file system structures. The input is
split into pages and processed by one or more scanners. The results are stored in feature files that can be easily inspected, parsed, or processed with other automated tools.
bulk_extractor also creates histograms of features that it finds. This is useful because
features such as email addresses and internet search terms that are more common tend
to be important.

以下操作會於Windows進行,請先安裝bulk extractor

安裝後的執行檔案圖片

raw-image

開啟Bulk Extractor Viewer

raw-image

到上方工具列,選擇 "Tools" ,並點選 "Run bulk_extractor..."

raw-image
raw-image

選擇 "Scan: Image File",於 "Image file" 欄位,選擇製作好的記憶體檔案(副檔名為:mem),本畫面使用dmp檔案作範例

"Output Feature Directory" 選擇輸出結果資料夾位置(可以於桌面創一個資料夾)選擇完畢後,於視窗下方按下 "Submit Run" 即可進行記憶體分析

選擇完畢後,於視窗下方按下 "Submit Run" 即可進行記憶體分析

raw-image
raw-image

bulk extractor跑完結果圖

raw-image

本畫面的樣本含有惡意程式片段(Ransomware),可以從bulk extractor分析畫面中看出


raw-image

bulk extractor 分析結果輸出資料夾中,含有分析的pcap檔案

raw-image

以上就是今天的記憶體鑑識工具分享,大家可多多利用此工具分析!!!


留言
avatar-img
留言分享你的想法!
avatar-img
iforensics_researcher的沙龍
10會員
5內容數
iforensics_researcher的沙龍的其他內容
2023/03/20
Day 4 數位鑑識 分析記憶體檔案
前情提要: 記憶體分析在數位鑑識調查中為其重要,有時候駭客或者「有心人士」想要湮滅證據 or 毀屍滅跡時,會進行目標證據檔案(也就是被害人的電腦或伺服器)硬碟清除,格式化硬碟多次,洗掉整個犯案軌跡,這時候記憶體分析可能是此案找到證據的重要關鍵。 注意:本研究僅供使用自身電腦,伺服器 or 虛擬機
Thumbnail
2023/03/20
Day 4 數位鑑識 分析記憶體檔案
前情提要: 記憶體分析在數位鑑識調查中為其重要,有時候駭客或者「有心人士」想要湮滅證據 or 毀屍滅跡時,會進行目標證據檔案(也就是被害人的電腦或伺服器)硬碟清除,格式化硬碟多次,洗掉整個犯案軌跡,這時候記憶體分析可能是此案找到證據的重要關鍵。 注意:本研究僅供使用自身電腦,伺服器 or 虛擬機
Thumbnail
2023/03/19
Day 3 數位鑑識 製作記憶體分析檔案(mem)
前情提要: 以往於取證流程,皆會擷取目標取證主機/伺服器的磁碟(Disk)、記憶體(Memory)做數位鑑識分析 記憶體擷取基本上是針對揮發性記憶體(Volatile Memory)做證據擷取,建議目標取證主機於取證前 "盡量"不要切斷電源,使目標主機沒有電力,避免揮發性記憶體資料消失 之前遇過有些
Thumbnail
2023/03/19
Day 3 數位鑑識 製作記憶體分析檔案(mem)
前情提要: 以往於取證流程,皆會擷取目標取證主機/伺服器的磁碟(Disk)、記憶體(Memory)做數位鑑識分析 記憶體擷取基本上是針對揮發性記憶體(Volatile Memory)做證據擷取,建議目標取證主機於取證前 "盡量"不要切斷電源,使目標主機沒有電力,避免揮發性記憶體資料消失 之前遇過有些
Thumbnail
2023/03/19
Day 2 數位鑑識 證據能力及證據力 介紹
前情提要 之前於A公司進行調查,從取證-證物分析到產出結果報告皆要符合國際規範與證據監管鏈,避免證據於法庭上被質疑其證據資格(證據能力)今天主題是來談談 什麼是證據力? 什麼是證據能力? 先來談談定義 證據能力 : 指的是可以作為法庭上證據的 資 格 證據力: 證據的證明 程 度 或 也可以說是證據
2023/03/19
Day 2 數位鑑識 證據能力及證據力 介紹
前情提要 之前於A公司進行調查,從取證-證物分析到產出結果報告皆要符合國際規範與證據監管鏈,避免證據於法庭上被質疑其證據資格(證據能力)今天主題是來談談 什麼是證據力? 什麼是證據能力? 先來談談定義 證據能力 : 指的是可以作為法庭上證據的 資 格 證據力: 證據的證明 程 度 或 也可以說是證據
看更多
你可能也想看
Thumbnail
avatar-avatar
Emma 的意識界。
輕鬆賺零用金的祕密 | 蝦皮分潤計畫賺零用金實測成果開箱 +近期敗家好物開箱 😁
透過蝦皮分潤計畫,輕鬆賺取零用金!本文分享5-6月實測心得,包含數據流程、實際收入、平臺優點及注意事項,並推薦高分潤商品,教你如何運用空閒時間創造被動收入。
#蝦皮#行動電源#測試
Thumbnail
avatar-avatar
Emma 的意識界。
輕鬆賺零用金的祕密 | 蝦皮分潤計畫賺零用金實測成果開箱 +近期敗家好物開箱 😁
透過蝦皮分潤計畫,輕鬆賺取零用金!本文分享5-6月實測心得,包含數據流程、實際收入、平臺優點及注意事項,並推薦高分潤商品,教你如何運用空閒時間創造被動收入。
#蝦皮#行動電源#測試
Thumbnail
avatar-avatar
好好宅在家
【單身實驗室.蝦皮分潤計畫】藏身蝦皮的植系青屬,為我的北向陽台增添家人。
單身的人有些會養寵物,而我養植物。畢竟寵物離世會傷心,植物沒養好再接再厲就好了~(笑)
#開箱#蝦皮分潤計畫#單身實驗室
Thumbnail
avatar-avatar
好好宅在家
【單身實驗室.蝦皮分潤計畫】藏身蝦皮的植系青屬,為我的北向陽台增添家人。
單身的人有些會養寵物,而我養植物。畢竟寵物離世會傷心,植物沒養好再接再厲就好了~(笑)
#開箱#蝦皮分潤計畫#單身實驗室
Thumbnail
avatar-avatar
翰墨飄香的沙龍
補貨小日常|居家生活用品實測分享,還順便開啟蝦皮分潤計畫小驚喜!
不知你有沒有過這種經驗?衛生紙只剩最後一包、洗衣精倒不出來,或電池突然沒電。這次一次補貨,從電池、衛生紙到洗衣精,還順便分享使用心得。更棒的是,搭配蝦皮分潤計畫,愛用品不僅自己用得安心,分享給朋友還能賺回饋。立即使用推薦碼 X5Q344E,輕鬆上手,隨時隨地賺取分潤!
#衛生紙#洗衣精#居家生活
Thumbnail
avatar-avatar
翰墨飄香的沙龍
補貨小日常|居家生活用品實測分享,還順便開啟蝦皮分潤計畫小驚喜!
不知你有沒有過這種經驗?衛生紙只剩最後一包、洗衣精倒不出來,或電池突然沒電。這次一次補貨,從電池、衛生紙到洗衣精,還順便分享使用心得。更棒的是,搭配蝦皮分潤計畫,愛用品不僅自己用得安心,分享給朋友還能賺回饋。立即使用推薦碼 X5Q344E,輕鬆上手,隨時隨地賺取分潤!
#衛生紙#洗衣精#居家生活
Thumbnail
avatar-avatar
阿Mo的murmur小天地🪄
開箱+分潤分享|社畜的療癒小樹洞 🧑‍🎨 iPad 殼 × 蝦皮分潤計畫
身為一個典型的社畜,上班時間被會議、進度、KPI 塞得滿滿,下班後只想要找一個能夠安靜喘口氣的小角落。對我來說,畫畫就是那個屬於自己的小樹洞。無論是胡亂塗鴉,還是慢慢描繪喜歡的插畫人物,那個專注在筆觸和色彩的過程,就像在幫心靈按摩一樣,讓緊繃的神經慢慢鬆開。
#小確幸#iPad#樹洞
Thumbnail
avatar-avatar
阿Mo的murmur小天地🪄
開箱+分潤分享|社畜的療癒小樹洞 🧑‍🎨 iPad 殼 × 蝦皮分潤計畫
身為一個典型的社畜,上班時間被會議、進度、KPI 塞得滿滿,下班後只想要找一個能夠安靜喘口氣的小角落。對我來說,畫畫就是那個屬於自己的小樹洞。無論是胡亂塗鴉,還是慢慢描繪喜歡的插畫人物,那個專注在筆觸和色彩的過程,就像在幫心靈按摩一樣,讓緊繃的神經慢慢鬆開。
#小確幸#iPad#樹洞
Thumbnail
avatar-avatar
Jetmedia的沙龍
硬碟清除大解密-3種資料清除工具守護您的資訊安全
科技力 硬碟清除大解密-3種資料清除工具守護您的資訊安全 當您計畫處理或售出您的舊硬碟或電腦時,您必須確保您的個人資料得以妥善處理,以免敏感資料不慎流落至不當之處。本文將深入介紹如何有效進行硬碟資料清除,確保您的資訊永久無法恢復。我們將探討各種不同的硬碟清除方式、選擇適合的工具和軟體,並提供清除
#資訊安全#專業#檔案
Thumbnail
avatar-avatar
Jetmedia的沙龍
硬碟清除大解密-3種資料清除工具守護您的資訊安全
科技力 硬碟清除大解密-3種資料清除工具守護您的資訊安全 當您計畫處理或售出您的舊硬碟或電腦時,您必須確保您的個人資料得以妥善處理,以免敏感資料不慎流落至不當之處。本文將深入介紹如何有效進行硬碟資料清除,確保您的資訊永久無法恢復。我們將探討各種不同的硬碟清除方式、選擇適合的工具和軟體,並提供清除
#資訊安全#專業#檔案
Thumbnail
avatar-avatar
編織者的星空
續傳軟體是什麼?
這裡說的續傳軟體不是那種下載電影、或不知名的檔案,所用的軟體哦 ! 那種病毒很多的,又會有不知放了什麼東西(放了個餌)想竊取你電腦的資料,又或者是把你的電腦也當成串流的一個中繼站。 不知道你是否有想過,當你在下載的很開心時,這些來源點是怎麼串接的 ? 是否合法,是否你也變成了共犯呢 ? (這是題外話
#綜合軟體#軟體
Thumbnail
avatar-avatar
編織者的星空
續傳軟體是什麼?
這裡說的續傳軟體不是那種下載電影、或不知名的檔案,所用的軟體哦 ! 那種病毒很多的,又會有不知放了什麼東西(放了個餌)想竊取你電腦的資料,又或者是把你的電腦也當成串流的一個中繼站。 不知道你是否有想過,當你在下載的很開心時,這些來源點是怎麼串接的 ? 是否合法,是否你也變成了共犯呢 ? (這是題外話
#綜合軟體#軟體
Thumbnail
avatar-avatar
iforensics_researcher的沙龍
Day 5 數位鑑識 Bulk Extractor
前情提要: 市面上有幾款免費開源的記憶體工具,Ex: Volatility、Bulk Extractor等等 有時候在幫客戶分析記憶體時,想看證據映像檔的封包時,可以使用Bulk Extractor提取pcap檔案 是相當方便且建議大家一定要認識的鑑識工具
#數位鑑識
Thumbnail
avatar-avatar
iforensics_researcher的沙龍
Day 5 數位鑑識 Bulk Extractor
前情提要: 市面上有幾款免費開源的記憶體工具,Ex: Volatility、Bulk Extractor等等 有時候在幫客戶分析記憶體時,想看證據映像檔的封包時,可以使用Bulk Extractor提取pcap檔案 是相當方便且建議大家一定要認識的鑑識工具
#數位鑑識
Thumbnail
avatar-avatar
Meiko微課頻道的沙龍
Excel_02 | 如何解除被封鎖的巨集檔案 | Meiko微課頻道
巨集檔案為什麼會被紅標 從網路上下載的巨集檔案xlsm,大多時候都會遇到紅標:出現安全性風險警告 Microsoft 已封鎖巨集執行,因為此檔案的來源不受信任 巨集可以讓Excel突破功能上的限制,加快處理的速度,但巨集也常常成為惡意攻擊的目標,用來散佈惡意程式碼,所以微軟近期對於線上下載下來的巨集
#巨集活頁簿#Excel教學#封鎖檔案
Thumbnail
avatar-avatar
Meiko微課頻道的沙龍
Excel_02 | 如何解除被封鎖的巨集檔案 | Meiko微課頻道
巨集檔案為什麼會被紅標 從網路上下載的巨集檔案xlsm,大多時候都會遇到紅標:出現安全性風險警告 Microsoft 已封鎖巨集執行,因為此檔案的來源不受信任 巨集可以讓Excel突破功能上的限制,加快處理的速度,但巨集也常常成為惡意攻擊的目標,用來散佈惡意程式碼,所以微軟近期對於線上下載下來的巨集
#巨集活頁簿#Excel教學#封鎖檔案
Thumbnail
avatar-avatar
iforensics_researcher的沙龍
Day 4 數位鑑識 分析記憶體檔案
前情提要: 記憶體分析在數位鑑識調查中為其重要,有時候駭客或者「有心人士」想要湮滅證據 or 毀屍滅跡時,會進行目標證據檔案(也就是被害人的電腦或伺服器)硬碟清除,格式化硬碟多次,洗掉整個犯案軌跡,這時候記憶體分析可能是此案找到證據的重要關鍵。 注意:本研究僅供使用自身電腦,伺服器 or 虛擬機
Thumbnail
avatar-avatar
iforensics_researcher的沙龍
Day 4 數位鑑識 分析記憶體檔案
前情提要: 記憶體分析在數位鑑識調查中為其重要,有時候駭客或者「有心人士」想要湮滅證據 or 毀屍滅跡時,會進行目標證據檔案(也就是被害人的電腦或伺服器)硬碟清除,格式化硬碟多次,洗掉整個犯案軌跡,這時候記憶體分析可能是此案找到證據的重要關鍵。 注意:本研究僅供使用自身電腦,伺服器 or 虛擬機
Thumbnail
avatar-avatar
iforensics_researcher的沙龍
Day 3 數位鑑識 製作記憶體分析檔案(mem)
前情提要: 以往於取證流程,皆會擷取目標取證主機/伺服器的磁碟(Disk)、記憶體(Memory)做數位鑑識分析 記憶體擷取基本上是針對揮發性記憶體(Volatile Memory)做證據擷取,建議目標取證主機於取證前 "盡量"不要切斷電源,使目標主機沒有電力,避免揮發性記憶體資料消失 之前遇過有些
Thumbnail
avatar-avatar
iforensics_researcher的沙龍
Day 3 數位鑑識 製作記憶體分析檔案(mem)
前情提要: 以往於取證流程,皆會擷取目標取證主機/伺服器的磁碟(Disk)、記憶體(Memory)做數位鑑識分析 記憶體擷取基本上是針對揮發性記憶體(Volatile Memory)做證據擷取,建議目標取證主機於取證前 "盡量"不要切斷電源,使目標主機沒有電力,避免揮發性記憶體資料消失 之前遇過有些
Thumbnail
avatar-avatar
一代軍師
玩轉C#之【爬蟲】
介紹 基礎概念 爬蟲其實就是一個自動提取網頁的程式 程式基本運作:Url開始-->分析獲取數據&找到Url-->遞迴下去-->結束 分析獲取數據運作:下載html--解析獲取數據--數據保存 爬蟲可以做哪些事情? 數據為王:抓小說數據,做個內容站; 電影/動漫下載站 抓圖片 政府的公開招標數據,每天
#IT鐵人賽#爬蟲#Chsarp
Thumbnail
avatar-avatar
一代軍師
玩轉C#之【爬蟲】
介紹 基礎概念 爬蟲其實就是一個自動提取網頁的程式 程式基本運作:Url開始-->分析獲取數據&找到Url-->遞迴下去-->結束 分析獲取數據運作:下載html--解析獲取數據--數據保存 爬蟲可以做哪些事情? 數據為王:抓小說數據,做個內容站; 電影/動漫下載站 抓圖片 政府的公開招標數據,每天
#IT鐵人賽#爬蟲#Chsarp
Thumbnail
avatar-avatar
橘貓的沙龍
如何安全使用電腦-軟體篇(二)
這篇分享的內容,主要以上網習慣、軟體安裝、電腦桌面資料...等方面,所需要注意的事項,以下為經驗談,也歡迎大家留言分享自己覺得在使用電腦上需要注意的地方~! 1.上網習慣 【搜尋結果】 【惡意網頁、網頁綁架】 2.軟體下載安裝 【下載平台】 【免費軟體、試用版軟體】 3.減少放在電腦桌面的資料
#數位創作者百寶箱#電腦#軟體
Thumbnail
avatar-avatar
橘貓的沙龍
如何安全使用電腦-軟體篇(二)
這篇分享的內容,主要以上網習慣、軟體安裝、電腦桌面資料...等方面,所需要注意的事項,以下為經驗談,也歡迎大家留言分享自己覺得在使用電腦上需要注意的地方~! 1.上網習慣 【搜尋結果】 【惡意網頁、網頁綁架】 2.軟體下載安裝 【下載平台】 【免費軟體、試用版軟體】 3.減少放在電腦桌面的資料
#數位創作者百寶箱#電腦#軟體
追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News