iforensics_researcher的沙龍

Day 5 數位鑑識 Bulk Extractor

iforensics_researcher
iforensics_researcher
閱讀時間約 4 分鐘
前情提要:
市面上有幾款免費開源的記憶體工具,Ex: Volatility、Bulk Extractor等等
有時候在幫客戶分析記憶體時,想看證據映像檔的封包時,可以使用Bulk Extractor提取pcap檔案
是相當方便且建議大家一定要認識的鑑識工具

在安裝Bulk Extractor前,請大家先下載Java,以免於安裝過程中跳出報錯訊息喔!!!

下載網址: https://downloads.digitalcorpora.org/downloads/bulk_extractor/
來簡單介紹一下Bulk Extractor這套記憶體分析工具,它是一個從記憶體提取檔案,進行人工檔案(Artifact)分析的一套工具
它可以呈現記憶體內的 "電子信箱帳號"、"信用卡號碼"、"網址"、"網域域名"、"使用者"等等資訊
簡單來說,可以查看證物本機先前所瀏覽的網頁,下載哪些東西,在數位鑑識中佔重要的一環
這邊節錄 Bulk Extractor詳細定義,資料來源參考 bulk extractor 1.4 - USER MANUAL - March 23, 2015 (https://digitalcorpora.s3.amazonaws.com/downloads/bulk_extractor/BEUsersManual.pdf)
bulk_extractor operates on disk images, files or a directory of files and extracts useful information without parsing the file system or file system structures. The input is
split into pages and processed by one or more scanners. The results are stored in feature files that can be easily inspected, parsed, or processed with other automated tools.
bulk_extractor also creates histograms of features that it finds. This is useful because
features such as email addresses and internet search terms that are more common tend
to be important.
以下操作會於Windows進行,請先安裝bulk extractor
安裝後的執行檔案圖片
開啟Bulk Extractor Viewer
到上方工具列,選擇 "Tools" ,並點選 "Run bulk_extractor..."
選擇 "Scan: Image File",於 "Image file" 欄位,選擇製作好的記憶體檔案(副檔名為:mem),本畫面使用dmp檔案作範例
"Output Feature Directory" 選擇輸出結果資料夾位置(可以於桌面創一個資料夾)選擇完畢後,於視窗下方按下 "Submit Run" 即可進行記憶體分析
選擇完畢後,於視窗下方按下 "Submit Run" 即可進行記憶體分析
bulk extractor跑完結果圖
本畫面的樣本含有惡意程式片段(Ransomware),可以從bulk extractor分析畫面中看出
bulk extractor 分析結果輸出資料夾中,含有分析的pcap檔案
以上就是今天的記憶體鑑識工具分享,大家可多多利用此工具分析!!!
即將進入廣告,捲動後可繼續閱讀
為什麼會看到廣告
iforensics_researcher的沙龍
9會員
5內容數
留言0
查看全部
發表第一個留言支持創作者!
iforensics_researcher的沙龍 的其他內容
Day 4 數位鑑識 分析記憶體檔案
前情提要: 記憶體分析在數位鑑識調查中為其重要,有時候駭客或者「有心人士」想要湮滅證據 or 毀屍滅跡時,會進行目標證據檔案(也就是被害人的電腦或伺服器)硬碟清除,格式化硬碟多次,洗掉整個犯案軌跡,這時候記憶體分析可能是此案找到證據的重要關鍵。 注意:本研究僅供使用自身電腦,伺服器 or 虛擬機
Day 3 數位鑑識 製作記憶體分析檔案(mem)
前情提要: 以往於取證流程,皆會擷取目標取證主機/伺服器的磁碟(Disk)、記憶體(Memory)做數位鑑識分析 記憶體擷取基本上是針對揮發性記憶體(Volatile Memory)做證據擷取,建議目標取證主機於取證前 "盡量"不要切斷電源,使目標主機沒有電力,避免揮發性記憶體資料消失 之前遇過有些
Day 2 數位鑑識 證據能力及證據力 介紹
前情提要 之前於A公司進行調查,從取證-證物分析到產出結果報告皆要符合國際規範與證據監管鏈,避免證據於法庭上被質疑其證據資格(證據能力)今天主題是來談談 什麼是證據力? 什麼是證據能力? 先來談談定義 證據能力 : 指的是可以作為法庭上證據的 資 格 證據力: 證據的證明 程 度 或 也可以說是證據
Day 1 數位鑑識入門 -- 什麼是數位鑑識
鑑於中文數位鑑識文章較少,就來跟大家分享數位鑑識入門需具備的知識與技術 有人會問說,數位鑑識入門門檻會不會很高、一定要有一定懂軟體或底層基礎的人才能入門嗎? 我會說:「數位鑑識入門門檻不會太高,只要你對資訊挖掘、喜愛調查旁人的電腦或手機有興趣,看他晚上都在瀏覽什麼片子(喂~),基本上一步一步學習,還
#數位鑑識
Day 4 數位鑑識 分析記憶體檔案
前情提要: 記憶體分析在數位鑑識調查中為其重要,有時候駭客或者「有心人士」想要湮滅證據 or 毀屍滅跡時,會進行目標證據檔案(也就是被害人的電腦或伺服器)硬碟清除,格式化硬碟多次,洗掉整個犯案軌跡,這時候記憶體分析可能是此案找到證據的重要關鍵。 注意:本研究僅供使用自身電腦,伺服器 or 虛擬機
Day 3 數位鑑識 製作記憶體分析檔案(mem)
前情提要: 以往於取證流程,皆會擷取目標取證主機/伺服器的磁碟(Disk)、記憶體(Memory)做數位鑑識分析 記憶體擷取基本上是針對揮發性記憶體(Volatile Memory)做證據擷取,建議目標取證主機於取證前 "盡量"不要切斷電源,使目標主機沒有電力,避免揮發性記憶體資料消失 之前遇過有些
Day 2 數位鑑識 證據能力及證據力 介紹
前情提要 之前於A公司進行調查,從取證-證物分析到產出結果報告皆要符合國際規範與證據監管鏈,避免證據於法庭上被質疑其證據資格(證據能力)今天主題是來談談 什麼是證據力? 什麼是證據能力? 先來談談定義 證據能力 : 指的是可以作為法庭上證據的 資 格 證據力: 證據的證明 程 度 或 也可以說是證據
Day 1 數位鑑識入門 -- 什麼是數位鑑識
鑑於中文數位鑑識文章較少,就來跟大家分享數位鑑識入門需具備的知識與技術 有人會問說,數位鑑識入門門檻會不會很高、一定要有一定懂軟體或底層基礎的人才能入門嗎? 我會說:「數位鑑識入門門檻不會太高,只要你對資訊挖掘、喜愛調查旁人的電腦或手機有興趣,看他晚上都在瀏覽什麼片子(喂~),基本上一步一步學習,還
#數位鑑識
你可能也想看
Google News 追蹤
avatar
方格子 vocus 官方沙龍
2024/10/21
Thumbnail
「天天秋嗨嗨」:vocus 秋季徵文,五大主題 & 獎品登場!
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
#天天秋嗨嗨#秋季旅遊#秋季穿搭
avatar
MimiVsJames的美股投資分享
2024/11/03
Thumbnail
美國大選『終局之戰』(Endgame)即將展開, 美股將迎來新世紀?(上篇:模型推導寶座花落誰家?)
美國總統大選只剩下三天, 我們觀察一整週民調與金融市場的變化(包含賭局), 到本週五下午3:00前為止, 誰是美國總統幾乎大概可以猜到60-70%的機率, 本篇文章就是以大選結局為主軸來討論近期甚至到未來四年美股可能的改變
#美股#美國大選#投資理財
avatar
矮袋鼠律師的沙龍
2024/11/03
Thumbnail
如果這個世界有神,那祂一定姓李名相赫|矮袋鼠律師
Faker昨天真的太扯了,中國主播王多多點評的話更是精妙,分享給各位 王多多的點評 「Faker是我們的處境,他是LPL永遠繞不開的一個人和話題,所以我們特別渴望在決賽跟他相遇,去直面我們的處境。 我們曾經稱他為最高的山,最長的河,以為山海就是盡頭,可是Faker用他28歲的年齡...
#Faker#電競#運動
avatar
Yu の隨意說沙龍
2024/02/02
Thumbnail
Day 5 Plan: Movie Marathon
#電影#老狐狸#BIG
avatar
自由豐盛社群
2023/11/15
Thumbnail
【Day 5】如何在一週內創建一門暢銷的線上課程,幫助你在任何地方工作賺錢
如果你已經完成了這一步,那就非常出色了。此時,你應該準備好發布所有內容。 第一步是弄清楚要在哪些平台上發佈內容。每個平台對於創作者都有不同的佣金制度,因此你需要在提交之前了解這一點。
#如何在一週內創建一門暢銷的線上課程#課程發布#線上課程平台
avatar
無名山裡的寂寞之景
2023/09/24
Thumbnail
Day 5:9/24|達成率 60 %
量體重:73 KG 椰子油:2 匙 喝水3000:1000 CC😰 廁所:有 記錄飲食[斷食 23 小時]:9/23 21:40-9/24 16:40 / 20小時 😰 紀錄作息[6:00 起 11:00 睡]:10:00 起 2:00睡 😰 閱讀:10 頁 p200-210 筆
#感謝#日記#閱讀
avatar
金蟬的耽美國度
2023/07/28
Thumbnail
Day 5:2023.07.17 畫了一個全身大衣小受 #100天練畫挑戰|練畫的耽美小說家—金蟬童子
Day 5:2023.07.17 畫了一個全身大衣小受 #100天練畫挑戰|練畫的耽美小說家—金蟬童子 金蟬童子(Kingzen),原創耽美作者,資深腐女,腐齡20+年。  從峰倉老師的最遊記入腐坑。 想將小說寫得像漫畫一樣。 喜歡攻舒服的喘息聲。  小說專欄:https://www.ka
#挑戰#耽美#BL
avatar
玲仔的沙龍
2023/04/24
結束/Brand new day
結束一段七年的伴侶關係 那結束的那一天開始 千頭萬緒 各種想法在頭腦裡飄來飄去 帶來眼淚 痛楚 委屈 憤怒 忌妒或感謝 我近乎殘忍的要自己面對 感受每一樣思緒所帶來的情緒 也在每一日一日的進程裡 看見自己慢慢安穩下來 眼光開始能看見生活中其他人、事、物 開始能感受生活純粹的快樂 會因為臉書
#感謝#愛你#分手
avatar
和你一樣都是媽的沙龍
2022/08/29
Thumbnail
環島之旅Day5【結束,是為了下一次的開始】
帶著孩子旅行雖然很累,卻也從你們身上學到很多東西。結束,是為了下一次的開始。雖然已經是第三次環島,但每次環島都有不同的體驗與樂趣。與其說是陪伴你們,帶著你們環島看台灣,不如說是你們陪伴著我們,用你們的視野,帶著我們環島看世界,謝謝你們一路相陪。
avatar
半透明偏光鏡的沙龍
2022/06/03
Thumbnail
研究所鬼故事(學術交流篇)Day 5~6
「計畫有變,學姊剛才傳訊息來說,另一個參訪的實驗要延後幾天,所以我們又可以放風一天了。」同學一手拿著剛買好的早餐,一手拿著手機向我們展示。 「我們這麼早起來,結果可以多睡一會了嗎?」同學指著七點多的手錶說道。 「好不容易有一天放假,當然是去買伴手禮啊。」
#碩士班#隨筆#小說
avatar
Janis Chen的沙龍
2022/05/30
Thumbnail
5/8/22 6th day-沒有終點,因為我們從未結束
如果我們在過程、內心、行動時感受到的快樂中,就永遠不會在終點線前卡住。為什麼?因為我們沒有想終點線,沒有看時鐘,沒有觀看在巨型螢幕上表演的自己。我們在真實時間中行動,而其中的過程就是終點,裡頭也沒有終點線,因為我們從未結束。— 馬修麥康納 《綠燈》
avatar
方格子 vocus 官方沙龍
2024/10/21
Thumbnail
「天天秋嗨嗨」:vocus 秋季徵文,五大主題 & 獎品登場!
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
#天天秋嗨嗨#秋季旅遊#秋季穿搭
avatar
MimiVsJames的美股投資分享
2024/11/03
Thumbnail
美國大選『終局之戰』(Endgame)即將展開, 美股將迎來新世紀?(上篇:模型推導寶座花落誰家?)
美國總統大選只剩下三天, 我們觀察一整週民調與金融市場的變化(包含賭局), 到本週五下午3:00前為止, 誰是美國總統幾乎大概可以猜到60-70%的機率, 本篇文章就是以大選結局為主軸來討論近期甚至到未來四年美股可能的改變
#美股#美國大選#投資理財
avatar
矮袋鼠律師的沙龍
2024/11/03
Thumbnail
如果這個世界有神,那祂一定姓李名相赫|矮袋鼠律師
Faker昨天真的太扯了,中國主播王多多點評的話更是精妙,分享給各位 王多多的點評 「Faker是我們的處境,他是LPL永遠繞不開的一個人和話題,所以我們特別渴望在決賽跟他相遇,去直面我們的處境。 我們曾經稱他為最高的山,最長的河,以為山海就是盡頭,可是Faker用他28歲的年齡...
#Faker#電競#運動
avatar
Yu の隨意說沙龍
2024/02/02
Thumbnail
Day 5 Plan: Movie Marathon
#電影#老狐狸#BIG
avatar
自由豐盛社群
2023/11/15
Thumbnail
【Day 5】如何在一週內創建一門暢銷的線上課程,幫助你在任何地方工作賺錢
如果你已經完成了這一步,那就非常出色了。此時,你應該準備好發布所有內容。 第一步是弄清楚要在哪些平台上發佈內容。每個平台對於創作者都有不同的佣金制度,因此你需要在提交之前了解這一點。
#如何在一週內創建一門暢銷的線上課程#課程發布#線上課程平台
avatar
無名山裡的寂寞之景
2023/09/24
Thumbnail
Day 5:9/24|達成率 60 %
量體重:73 KG 椰子油:2 匙 喝水3000:1000 CC😰 廁所:有 記錄飲食[斷食 23 小時]:9/23 21:40-9/24 16:40 / 20小時 😰 紀錄作息[6:00 起 11:00 睡]:10:00 起 2:00睡 😰 閱讀:10 頁 p200-210 筆
#感謝#日記#閱讀
avatar
金蟬的耽美國度
2023/07/28
Thumbnail
Day 5:2023.07.17 畫了一個全身大衣小受 #100天練畫挑戰|練畫的耽美小說家—金蟬童子
Day 5:2023.07.17 畫了一個全身大衣小受 #100天練畫挑戰|練畫的耽美小說家—金蟬童子 金蟬童子(Kingzen),原創耽美作者,資深腐女,腐齡20+年。  從峰倉老師的最遊記入腐坑。 想將小說寫得像漫畫一樣。 喜歡攻舒服的喘息聲。  小說專欄:https://www.ka
#挑戰#耽美#BL
avatar
玲仔的沙龍
2023/04/24
結束/Brand new day
結束一段七年的伴侶關係 那結束的那一天開始 千頭萬緒 各種想法在頭腦裡飄來飄去 帶來眼淚 痛楚 委屈 憤怒 忌妒或感謝 我近乎殘忍的要自己面對 感受每一樣思緒所帶來的情緒 也在每一日一日的進程裡 看見自己慢慢安穩下來 眼光開始能看見生活中其他人、事、物 開始能感受生活純粹的快樂 會因為臉書
#感謝#愛你#分手
avatar
和你一樣都是媽的沙龍
2022/08/29
Thumbnail
環島之旅Day5【結束,是為了下一次的開始】
帶著孩子旅行雖然很累,卻也從你們身上學到很多東西。結束,是為了下一次的開始。雖然已經是第三次環島,但每次環島都有不同的體驗與樂趣。與其說是陪伴你們,帶著你們環島看台灣,不如說是你們陪伴著我們,用你們的視野,帶著我們環島看世界,謝謝你們一路相陪。
avatar
半透明偏光鏡的沙龍
2022/06/03
Thumbnail
研究所鬼故事(學術交流篇)Day 5~6
「計畫有變,學姊剛才傳訊息來說,另一個參訪的實驗要延後幾天,所以我們又可以放風一天了。」同學一手拿著剛買好的早餐,一手拿著手機向我們展示。 「我們這麼早起來,結果可以多睡一會了嗎?」同學指著七點多的手錶說道。 「好不容易有一天放假,當然是去買伴手禮啊。」
#碩士班#隨筆#小說
avatar
Janis Chen的沙龍
2022/05/30
Thumbnail
5/8/22 6th day-沒有終點,因為我們從未結束
如果我們在過程、內心、行動時感受到的快樂中,就永遠不會在終點線前卡住。為什麼?因為我們沒有想終點線,沒有看時鐘,沒有觀看在巨型螢幕上表演的自己。我們在真實時間中行動,而其中的過程就是終點,裡頭也沒有終點線,因為我們從未結束。— 馬修麥康納 《綠燈》