Day 5 數位鑑識 Bulk Extractor
閱讀時間約 4 分鐘
前情提要:
市面上有幾款免費開源的記憶體工具,Ex: Volatility、Bulk Extractor等等
有時候在幫客戶分析記憶體時,想看證據映像檔的封包時,可以使用Bulk Extractor提取pcap檔案
是相當方便且建議大家一定要認識的鑑識工具
在安裝Bulk Extractor前,請大家先下載Java,以免於安裝過程中跳出報錯訊息喔!!!
下載網址: https://downloads.digitalcorpora.org/downloads/bulk_extractor/
來簡單介紹一下Bulk Extractor這套記憶體分析工具,它是一個從記憶體提取檔案,進行人工檔案(Artifact)分析的一套工具
它可以呈現記憶體內的 "電子信箱帳號"、"信用卡號碼"、"網址"、"網域域名"、"使用者"等等資訊
簡單來說,可以查看證物本機先前所瀏覽的網頁,下載哪些東西,在數位鑑識中佔重要的一環
這邊節錄 Bulk Extractor詳細定義,資料來源參考 bulk extractor 1.4 - USER MANUAL - March 23, 2015 (https://digitalcorpora.s3.amazonaws.com/downloads/bulk_extractor/BEUsersManual.pdf)
bulk_extractor operates on disk images, files or a directory of files and extracts useful information without parsing the file system or file system structures. The input is
split into pages and processed by one or more scanners. The results are stored in feature files that can be easily inspected, parsed, or processed with other automated tools.
bulk_extractor also creates histograms of features that it finds. This is useful because
features such as email addresses and internet search terms that are more common tend
to be important.
以下操作會於Windows進行,請先安裝bulk extractor
安裝後的執行檔案圖片
開啟Bulk Extractor Viewer
到上方工具列,選擇 "Tools" ,並點選 "Run bulk_extractor..."
選擇 "Scan: Image File",於 "Image file" 欄位,選擇製作好的記憶體檔案(副檔名為:mem),本畫面使用dmp檔案作範例
"Output Feature Directory" 選擇輸出結果資料夾位置(可以於桌面創一個資料夾)選擇完畢後,於視窗下方按下 "Submit Run" 即可進行記憶體分析
選擇完畢後,於視窗下方按下 "Submit Run" 即可進行記憶體分析
bulk extractor跑完結果圖
本畫面的樣本含有惡意程式片段(Ransomware),可以從bulk extractor分析畫面中看出
bulk extractor 分析結果輸出資料夾中,含有分析的pcap檔案
以上就是今天的記憶體鑑識工具分享,大家可多多利用此工具分析!!!
為什麼會看到廣告
9會員
5內容數
留言0
查看全部
你可能也想看
Google News 追蹤
徵的就是你 🫵 超ㄅㄧㄤˋ 獎品搭配超瞎趴的四大主題,等你踹共啦!還有機會獲得經典的「偉士牌樂高」喔!馬上來參加本次的活動吧!
隨著理財資訊的普及,越來越多台灣人不再將資產侷限於台股,而是將視野拓展到國際市場。特別是美國市場,其豐富的理財選擇,讓不少人開始思考將資金配置於海外市場的可能性。
然而,要參與美國市場並不只是盲目跟隨標的這麼簡單,而是需要策略和方式,尤其對新手而言,除了選股以外還會遇到語言、開戶流程、Ap
對於移除軟體這件事,最讓人困擾的可能遇到的就是會有移除不乾淨的問題。表面上看似移除完畢,但實際上部份軟體會有遺留的檔案佔用系統空間,此時一個好用的軟體管理工具可以很好的解決這個問題。
Microsoft Azure AI 900 證照,把準備資料整理分享給大家。
AI 是可模仿人類行為與能力的軟體,主要的工作包含:
機器學習:這通常是 AI 系統的基礎,且是「指導」電腦模型進行預測並從資料中得出結論的方式
電腦視覺:透過相機、影片和影像,以視覺方式解譯世界的 AI 功能
透過簡單的舉例,分享從原始資料到洞察發現的完整過程,包括資料清洗、特徵工程、探索性資料分析,以及如何根據分析結果提出具體建議。
今天要講一個比較進階的專利檢索項目,為了確認商品在預計販售的地區,沒有侵權疑慮,可以自由販賣,所以要針對商品的主要特徵去檢索,包含單一特徵、組合特徵,都要在選定區域逐一排查,才能避免商品技術遭控侵權而無法順利銷售。
工具功能
(1) 彈性任意查詢檔案,如對來源目錄設定,檔案修改日期 設定,檔名特定字串或副檔名設定後,自動查出明細,並可展開至各階子目錄處理
(2) 依查詢後結果,可產出 LIST ,提供查詢結果之確認,再依此對檔案作複
(3) 可對檔案作移動,複製至別處,刪除處理,使電腦可騰出硬碟空間
你是不是經常找不到電腦裡的檔案呢?不知道該如何分類檔案或資料?Everything 是一個私有的免費 Windows 桌面搜尋引擎,可以在 NTFS 捲上快速地根據名稱尋找檔案和目錄。Everything的索引過程和搜尋過程執行非常快速,佔用資源極低,同時能即時更新索引資料庫和搜尋結果。
ETL是資料倉儲領域中一個重要的概念,全稱為Extract-Transform-Load,中文可譯為"抽取-轉換-載入"。ETL的作用是將來自不同來源的資料抽取出來,經過清理、轉換、整合等處理後,最終將處理好的資料載入到資料倉儲或其他單一的資料存放區
資訊輸入輸出就像攝影,每個人接受資訊,吸收理解程度都有所不同。如今資訊爆炸,隨時隨地都可以取得的時代,要學習將吸收的資訊轉化有用的產出,如此對我們的人生將更有幫助。資訊吸收還要整理才有用,整理心智,就可以進入心流。
本次推薦兩個線上工具:Notion電子筆記、 Xmindmap
在Dcard有人求救一個問題:想要將layer與panel的資料提出出來,如下圖。
這個題目是很經典的需求,就是多條件查找,多條件查找有蠻多種不同的解決方法,甚至版本不同解法也是天壤之別哦。
準備動作
在寫函數之前,記得要先觀察一下我們想要提取的資料有什麼樣的規則,可以發現A欄中只
前言
現代人的數位資料真的是非~常多,為了增加容量,常得付費升級手機、雲端、硬碟...等規格,但這真是必要的花費嗎?如果今天有個課程能讓你省下這筆費用且終身受用,你願不願意嘗試呢?
購買課程原因
撰寫文章整理資料時,發現查找照片、檔案不易,即便用搜索功能也因為命名方式沒有系統,跑出結果還是得在耗時篩
徵的就是你 🫵 超ㄅㄧㄤˋ 獎品搭配超瞎趴的四大主題,等你踹共啦!還有機會獲得經典的「偉士牌樂高」喔!馬上來參加本次的活動吧!
隨著理財資訊的普及,越來越多台灣人不再將資產侷限於台股,而是將視野拓展到國際市場。特別是美國市場,其豐富的理財選擇,讓不少人開始思考將資金配置於海外市場的可能性。
然而,要參與美國市場並不只是盲目跟隨標的這麼簡單,而是需要策略和方式,尤其對新手而言,除了選股以外還會遇到語言、開戶流程、Ap
對於移除軟體這件事,最讓人困擾的可能遇到的就是會有移除不乾淨的問題。表面上看似移除完畢,但實際上部份軟體會有遺留的檔案佔用系統空間,此時一個好用的軟體管理工具可以很好的解決這個問題。
Microsoft Azure AI 900 證照,把準備資料整理分享給大家。
AI 是可模仿人類行為與能力的軟體,主要的工作包含:
機器學習:這通常是 AI 系統的基礎,且是「指導」電腦模型進行預測並從資料中得出結論的方式
電腦視覺:透過相機、影片和影像,以視覺方式解譯世界的 AI 功能
透過簡單的舉例,分享從原始資料到洞察發現的完整過程,包括資料清洗、特徵工程、探索性資料分析,以及如何根據分析結果提出具體建議。
今天要講一個比較進階的專利檢索項目,為了確認商品在預計販售的地區,沒有侵權疑慮,可以自由販賣,所以要針對商品的主要特徵去檢索,包含單一特徵、組合特徵,都要在選定區域逐一排查,才能避免商品技術遭控侵權而無法順利銷售。
工具功能
(1) 彈性任意查詢檔案,如對來源目錄設定,檔案修改日期 設定,檔名特定字串或副檔名設定後,自動查出明細,並可展開至各階子目錄處理
(2) 依查詢後結果,可產出 LIST ,提供查詢結果之確認,再依此對檔案作複
(3) 可對檔案作移動,複製至別處,刪除處理,使電腦可騰出硬碟空間
你是不是經常找不到電腦裡的檔案呢?不知道該如何分類檔案或資料?Everything 是一個私有的免費 Windows 桌面搜尋引擎,可以在 NTFS 捲上快速地根據名稱尋找檔案和目錄。Everything的索引過程和搜尋過程執行非常快速,佔用資源極低,同時能即時更新索引資料庫和搜尋結果。
ETL是資料倉儲領域中一個重要的概念,全稱為Extract-Transform-Load,中文可譯為"抽取-轉換-載入"。ETL的作用是將來自不同來源的資料抽取出來,經過清理、轉換、整合等處理後,最終將處理好的資料載入到資料倉儲或其他單一的資料存放區
資訊輸入輸出就像攝影,每個人接受資訊,吸收理解程度都有所不同。如今資訊爆炸,隨時隨地都可以取得的時代,要學習將吸收的資訊轉化有用的產出,如此對我們的人生將更有幫助。資訊吸收還要整理才有用,整理心智,就可以進入心流。
本次推薦兩個線上工具:Notion電子筆記、 Xmindmap
在Dcard有人求救一個問題:想要將layer與panel的資料提出出來,如下圖。
這個題目是很經典的需求,就是多條件查找,多條件查找有蠻多種不同的解決方法,甚至版本不同解法也是天壤之別哦。
準備動作
在寫函數之前,記得要先觀察一下我們想要提取的資料有什麼樣的規則,可以發現A欄中只
前言
現代人的數位資料真的是非~常多,為了增加容量,常得付費升級手機、雲端、硬碟...等規格,但這真是必要的花費嗎?如果今天有個課程能讓你省下這筆費用且終身受用,你願不願意嘗試呢?
購買課程原因
撰寫文章整理資料時,發現查找照片、檔案不易,即便用搜索功能也因為命名方式沒有系統,跑出結果還是得在耗時篩