电子取证通用原则:
1、维护证据完整性:
数字取证比物理取证好的多,可以进行无数次的拷贝进行分析
数字HASH值验证数据完整性
2、维护监管链
物理证物保存在证物袋中,每次取出使用严格记录,避免破坏污染
数字证物原始版本写保护,使用拷贝进行分析
3、标准的操作步骤
证物使用严格按照规范流程,即使事后证明流程有误(免责)
4、取证分析全部过程记录文档
5、数字取证者的座右铭
不要破坏数据现场(看似简单,实际几乎无法实现)
寄存器、CPU缓存、I/O设备缓存等易失性数据几乎无法获取
系统内存是主要的非易失性存储介质取证对象,不修改无法获取其中数据
非易失性存储介质通常使用完整镜像拷贝保存
正常关机还是直接拔掉电源(数据丢失破坏)
取证工具:
dump:将内存中数据保存为raw格式的文件,内存文件与内存大小接近或者稍微大一点。
直接yes回车,即可进行保存内存地址,在真实取证的时候,放在外部存储介质中进行。
保存成功
将保存的.raw文件保存在kali 中,使用volatility进行分析。
volatility工具:
volatility -f KALI-PC-20220509-090249.raw imageinfo //-f指定文件名,imageinfo用来查看镜像文件是什么系统
vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 hivelist // --profile用来指定系统类别,hivelist打印注册表配置单元列表
vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 hivedump -o 0xfffff8a000024010 //按虚内存地址查看注册表内容
vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names" //查看用户账号
vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" //用来查看最后登录的用户
vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 userassist
//正在运行的程序、运行过多少次、最后一次运行时间等
vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 pslist //进程列表及物理内存位置
vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 memdump -p 2296 -D mem/
vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 cmdscan
//查看命令行的历史
vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 netscan
//查看网络连接的情况,看是否有不正常的网络连接
vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 iehistory
//查看ie浏览器的历史记录
未完待续。。。。。。。