Skip to content

Latest commit

 

History

History
47 lines (41 loc) · 1.56 KB

取证.md

File metadata and controls

47 lines (41 loc) · 1.56 KB
Raw

Windows提取内存

DumpIt提取内存信息
https://www.toolwar.com/search?q=dumpit

Linux提取内存

https://github.com/504ensicsLabs/LiME

## 编译
make
## 进入内核模式抓取内存
insmod ./lime-4.15.0-200-generic.ko "path=/home/ubuntu.mem format=lime"
## 再次抓取内存前要先运行以下命令退出内核模式
rmmod lime

## 导出内存文件
nc localhost 4444 > ram.lime

分析

https://fireeye.market/apps/211364
https://www.volatilityfoundation.org/26

使用Volatility分析linux内存文件需要自己制作Profile文件,因为Volatility自带只有windows的Profile

https://code.google.com/archive/p/volatility/wikis/LinuxMemoryForensics.wiki
https://github.com/KDPryor/LinuxVolProfiles

硬盘取证

Linux

准备新磁盘
将/dev/sda完整的复制,dd命令时需要包含if=表示源磁盘,和of=表示目标磁盘

复制磁盘

dd if=/dev/sda1  of=/dev/sdb

磁盘镜像

 dd if=/dev/sda of=/home/sdadisk.img

还原镜像

dd if=sdadisk.img of=/dev/sdb

Windows

PE,磁盘克隆,磁盘精灵,GHOST的Disk-To Disk硬盘对拷功能,DiskGenius克隆磁盘,傲梅