mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
83 lines
1.7 KiB
Markdown
83 lines
1.7 KiB
Markdown
# 基本取证方法论
|
||
|
||
{{#include ../../banners/hacktricks-training.md}}
|
||
|
||
## 创建和挂载镜像
|
||
|
||
{{#ref}}
|
||
../../generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md
|
||
{{#endref}}
|
||
|
||
## 恶意软件分析
|
||
|
||
这**并不是在获得镜像后必须执行的第一步**。但是如果你有一个文件、文件系统镜像、内存镜像、pcap...你可以独立使用这些恶意软件分析技术,因此**记住这些操作是很好的**:
|
||
|
||
{{#ref}}
|
||
malware-analysis.md
|
||
{{#endref}}
|
||
|
||
## 检查镜像
|
||
|
||
如果你获得了设备的**取证镜像**,你可以开始**分析分区、文件系统**并**恢复**潜在的**有趣文件**(甚至是已删除的文件)。了解如何进行:
|
||
|
||
{{#ref}}
|
||
partitions-file-systems-carving/
|
||
{{#endref}}
|
||
|
||
根据使用的操作系统甚至平台,应该搜索不同的有趣文物:
|
||
|
||
{{#ref}}
|
||
windows-forensics/
|
||
{{#endref}}
|
||
|
||
{{#ref}}
|
||
linux-forensics.md
|
||
{{#endref}}
|
||
|
||
{{#ref}}
|
||
docker-forensics.md
|
||
{{#endref}}
|
||
|
||
## 深入检查特定文件类型和软件
|
||
|
||
如果你有非常**可疑的****文件**,那么**根据文件类型和创建它的软件**,可能会有几种**技巧**是有用的。\
|
||
阅读以下页面以了解一些有趣的技巧:
|
||
|
||
{{#ref}}
|
||
specific-software-file-type-tricks/
|
||
{{#endref}}
|
||
|
||
我想特别提到以下页面:
|
||
|
||
{{#ref}}
|
||
specific-software-file-type-tricks/browser-artifacts.md
|
||
{{#endref}}
|
||
|
||
## 内存转储检查
|
||
|
||
{{#ref}}
|
||
memory-dump-analysis/
|
||
{{#endref}}
|
||
|
||
## Pcap 检查
|
||
|
||
{{#ref}}
|
||
pcap-inspection/
|
||
{{#endref}}
|
||
|
||
## **反取证技术**
|
||
|
||
请记住可能使用反取证技术:
|
||
|
||
{{#ref}}
|
||
anti-forensic-techniques.md
|
||
{{#endref}}
|
||
|
||
## 威胁狩猎
|
||
|
||
{{#ref}}
|
||
file-integrity-monitoring.md
|
||
{{#endref}}
|
||
|
||
{{#include ../../banners/hacktricks-training.md}}
|