Day 4 數位鑑識 分析記憶體檔案
更新於 發佈於 閱讀時間約 2 分鐘
前情提要:
記憶體分析在數位鑑識調查中為其重要,有時候駭客或者「有心人士」想要湮滅證據 or 毀屍滅跡時,會進行目標證據檔案(也就是被害人的電腦或伺服器)硬碟清除,格式化硬碟多次,洗掉整個犯案軌跡,這時候記憶體分析可能是此案找到證據的重要關鍵。
注意:本研究僅供使用自身電腦,伺服器 or 虛擬機 教育研究使用喔
千萬不要鑑識家人 or 朋友 or 其他人的電腦(未經授權) ,以免觸犯 刑法 妨害電腦使用罪 (講3遍 很重要)
千萬不要鑑識家人 or 朋友 or 其他人的電腦(未經授權) ,以免觸犯 刑法 妨害電腦使用罪 (講3遍 很重要)
-----------------------------------------------------------------------------
前一天的單元(Day 3),是使用 AccessData FTK Imager 製作記憶體檔案(.mem)
並將製作完的記憶體檔案儲存至使用者指定的位子
AccessData FTK Imager 除了可以製作記憶體檔案(.mem)與硬碟檔案(disk),甚至還可以簡單作記憶體分析
首先,回到 AccessData FTK Imager 主畫面
並選擇 Add Evidence Item... 選項
看到 Select Source Windows 視窗,選擇 Image File
並按 下一步
看到 Select File Windows 視窗,選擇剛剛製作完成的記憶體
並按 Finish
就可以將製作好的mem檔案匯入至AccessData FTK Imager
一開始會看到許多00 00 00 00 00 ,不用害怕自己匯入失敗xDDD (這邊就先不解釋作業系統基本概念)
將畫面往下滑,就可以看到擷取記憶體的主機殘存資訊
按下滑鼠右鍵,可以利用AccessData FTK Imager 提供的Find 尋找關鍵字
這邊舉例來說,以 docx (Microsoft Word) 作為關鍵字搜尋,並使用Find Next(也可以直接按F3)查看下一個關鍵字
就可以發現 我們擷取的記憶體主機 有word xDDDD
下一天的單元 我們會用Bulk Extractor (另外一套免費工具) 為大家展示比較深度的記憶體分析呦!!
為什麼會看到廣告
9會員
5內容數
留言0
查看全部
你可能也想看
Google News 追蹤
嘿,大家新年快樂~ 新年大家都在做什麼呢?
跨年夜的我趕工製作某個外包設計案,在工作告一段落時趕上倒數。
然後和兩個小孩過了一個忙亂的元旦。在深夜時刻,看到朋友傳來的解籤網站,興致勃勃熬夜體驗了一下,覺得非常好玩,或許有人玩過了,但還是想寫上來分享紀錄一下~
這篇文章描述了作者對於生活中遺留的習慣、記憶和物品的反思和回憶。作者選擇以網路書寫的方式來重新梳理和分享這些記憶。從筆記的撕下到數位工具的使用,都展現了作者對於記憶整理的執著和努力。
本文介紹瞭如何使用BAT腳本和CMD指令來自動執行檔案和空目錄的刪除作業。通過設定各種參數和指令,可以快速、有效地執行定期刪除作業,節省硬體空間並提升工作效率。
電腦跟手機是我們每天不可或缺的工具,大家一定都有過這種經驗,那就是「電腦或手機中毒」!病毒會把我們設備中的重要資料刪除或竄改,甚至會讓整個作業系統癱瘓!
為了防止這種情況,各種防毒軟體也因應而生,幾乎每台電腦都會安裝防毒軟體或「防火牆」,避免病毒入侵我們倚賴的重要工具
工具功能
(1) 彈性任意查詢檔案,如對來源目錄設定,檔案修改日期 設定,檔名特定字串或副檔名設定後,自動查出明細,並可展開至各階子目錄處理
(2) 依查詢後結果,可產出 LIST ,提供查詢結果之確認,再依此對檔案作複
(3) 可對檔案作移動,複製至別處,刪除處理,使電腦可騰出硬碟空間
在數位的時代裡,電腦、手機、相機幾乎已是現代人不可或缺的生活必需品,各種3C的儲存單位也從GB來到TB,文檔、照片、影片和各式各樣的程式、APP,海量的資料佔據每個人的資料庫,混亂的資料庫不僅影響工作效率,也容易打亂思緒,那麼我們該如何開始做數位整理呢?
我最近在思考關於記憶體的最佳存放,在哪裡會最好
得出來的答案 就是...必須用笨方法
但笨方法最為安全
1.定期刪除信箱和手機裡無用影片和截圖或垃圾訊息
2.定期分類自己的文件和圖檔
3.定期備份資料-放在自己常用的電腦裡或另外買隨身碟和硬碟
4.可以暫時存在雲端或GOOGLE文件
隨著電腦的普及,大大改變了我們的日常行為,食物上桌前要先拍照、打卡、上傳;路見不平報警前先錄影、直播;資料下載後先存檔、備份,至於資料有沒有被閱讀則完全不重要了。而這些紀錄甚或記憶我某段過去的資料,皆反射了我的一部分,因為那些資料保存了我過去部分的時間,保存了我成為現在的我的部分痕跡。但是如
在企業IT環境,系統和數據的備份的重要性相信是不用解說,亦不用懷疑的。
但很時時候,企業忽略的並不是備份,而是Drill test的重要性。
引言
在現今迅速發展的科技環境下,資料克隆技術已成為數據管理中不可或缺的一環。在日常生活和商業運營中,我們經常需要處理大量數據的複製、備份和遷移,而SSD克隆技術應運而生,提供了高效、快速和方便的解決方案。
目錄
SSD克隆的原理
SSD克隆的方法
SSD克隆機器的運作
軟體 vs. 專
嘿,大家新年快樂~ 新年大家都在做什麼呢?
跨年夜的我趕工製作某個外包設計案,在工作告一段落時趕上倒數。
然後和兩個小孩過了一個忙亂的元旦。在深夜時刻,看到朋友傳來的解籤網站,興致勃勃熬夜體驗了一下,覺得非常好玩,或許有人玩過了,但還是想寫上來分享紀錄一下~
這篇文章描述了作者對於生活中遺留的習慣、記憶和物品的反思和回憶。作者選擇以網路書寫的方式來重新梳理和分享這些記憶。從筆記的撕下到數位工具的使用,都展現了作者對於記憶整理的執著和努力。
本文介紹瞭如何使用BAT腳本和CMD指令來自動執行檔案和空目錄的刪除作業。通過設定各種參數和指令,可以快速、有效地執行定期刪除作業,節省硬體空間並提升工作效率。
電腦跟手機是我們每天不可或缺的工具,大家一定都有過這種經驗,那就是「電腦或手機中毒」!病毒會把我們設備中的重要資料刪除或竄改,甚至會讓整個作業系統癱瘓!
為了防止這種情況,各種防毒軟體也因應而生,幾乎每台電腦都會安裝防毒軟體或「防火牆」,避免病毒入侵我們倚賴的重要工具
工具功能
(1) 彈性任意查詢檔案,如對來源目錄設定,檔案修改日期 設定,檔名特定字串或副檔名設定後,自動查出明細,並可展開至各階子目錄處理
(2) 依查詢後結果,可產出 LIST ,提供查詢結果之確認,再依此對檔案作複
(3) 可對檔案作移動,複製至別處,刪除處理,使電腦可騰出硬碟空間
在數位的時代裡,電腦、手機、相機幾乎已是現代人不可或缺的生活必需品,各種3C的儲存單位也從GB來到TB,文檔、照片、影片和各式各樣的程式、APP,海量的資料佔據每個人的資料庫,混亂的資料庫不僅影響工作效率,也容易打亂思緒,那麼我們該如何開始做數位整理呢?
我最近在思考關於記憶體的最佳存放,在哪裡會最好
得出來的答案 就是...必須用笨方法
但笨方法最為安全
1.定期刪除信箱和手機裡無用影片和截圖或垃圾訊息
2.定期分類自己的文件和圖檔
3.定期備份資料-放在自己常用的電腦裡或另外買隨身碟和硬碟
4.可以暫時存在雲端或GOOGLE文件
隨著電腦的普及,大大改變了我們的日常行為,食物上桌前要先拍照、打卡、上傳;路見不平報警前先錄影、直播;資料下載後先存檔、備份,至於資料有沒有被閱讀則完全不重要了。而這些紀錄甚或記憶我某段過去的資料,皆反射了我的一部分,因為那些資料保存了我過去部分的時間,保存了我成為現在的我的部分痕跡。但是如
在企業IT環境,系統和數據的備份的重要性相信是不用解說,亦不用懷疑的。
但很時時候,企業忽略的並不是備份,而是Drill test的重要性。
引言
在現今迅速發展的科技環境下,資料克隆技術已成為數據管理中不可或缺的一環。在日常生活和商業運營中,我們經常需要處理大量數據的複製、備份和遷移,而SSD克隆技術應運而生,提供了高效、快速和方便的解決方案。
目錄
SSD克隆的原理
SSD克隆的方法
SSD克隆機器的運作
軟體 vs. 專