Day 3 數位鑑識 製作記憶體分析檔案(mem)
前情提要: 以往於取證流程,皆會擷取目標取證主機/伺服器的磁碟(Disk)、記憶體(Memory)做數位鑑識分析 記憶體擷取基本上是針對揮發性記憶體(Volatile Memory)做證據擷取,建議目標取證主機於取證前 "盡量"不要切斷電源,使目標主機沒有電力,避免揮發性記憶體資料消失 之前遇過有些客戶,中勒索病毒就將目標取證主機電源線拔除,導致主機沒電,無法做詳細的記憶體分析 QQ
市面上有許多記憶體分析工具:
1.Volatility (免費使用)
2.AccessData FTK Imager (免費使用)
3.Bulk Extractor (免費使用)
4.Magnet AXIOM (需付費使用)
今天單元會來操作AccessData FTK Imager給大家供簡單參考:
下方圖片是FTK Imager的執行檔圖示,可以在AccessData官網上下載FTK Imager
如果已經下載完畢,可以點擊FTK Imager 執行檔(.exe)開啟FTK Imager
左上角是功能選單類,可以依據使用者想達到的功能作選擇,像是製作一個.mem檔案(記憶體檔案)或製作disk image(硬碟證據檔)
選擇Capture Memory... 會產生一個Windows 視窗,可以輸入製作完的Memory放置位子(Destination Path),也可以更改你的mem名稱,輸入完成後按下Capture Memory ,就完成記憶體擷取步驟
進度條跑完(綠色)結束後,會產生一個新的Windows 視窗,告訴使用者製作完的mem Hash值
下一天的單元會跟大家分享拿到記憶體檔案,要如何分析記憶體
那我們就下一天的單元作詳細說明!
分享至
成為作者繼續創作的動力吧!
作者的相關文章
iforensics_researcher的沙龍 的其他內容
你可能也想看
- Fed 9月會議:傳達「不想要落後給曲線」的正向信號,著手管理市場的衰退預期
- 「相簿裡最捨不得刪的 N 張照片!」:完成任務抽富士即可拍!
- 岡岡好獨旅—Day3 直島、安藤忠雄、地中美術館、一日旅伴
- Day 3_Stanford校園參觀_1
- Day 3 Plan: Find the next good place for something
- Day 3:9/22|達成率 70 %
- Day -3 to Lhasa
- [數學]3/14圓周率日(Pi Day),π 到底有什麼迷人之處?(入選即時精選&編輯嚴選)
- Day 3. 巴勒摩的計程車
- 【城市散步】現地創作|Must die of something──跨界藝術工作坊|Day 3 轉變
- 研究所鬼故事(學術交流篇) Day 3~4
- 不間斷 Python 挑戰 Day 3 - 基本數學運算
發表回應
成為會員 後即可發表留言
© 2024 vocus All rights reserved.