pc取证-番外篇(2)

简介: pc取证-番外篇(2)

0x01回收站取证


简述


回收站是windos系统的一个文件夹,通常存放一些临时删除文件,删除的文件并不是被完全删除,这些文件删除后会在每个硬盘分区的根目录下的$RECYCLE.BIN文件夹;

$RECYCLE.BIN文件是隐藏的,同样也是受保护的,不建议显示;

回收站一般是占10%的硬盘空间,但可以自定义大小;

u盘删除的文件不会保存到回收站;

SID是WINDOWS用来标志唯一OBJECT(如用户或组)的一串字符,以S-1-5-21-1858328346-1692621842-485598107-500为例 图解如下:


文件删除方式的种类:


1.逻辑删除

1.在删除文件后,在回收站中显示,只是系统通过标记,把被删除文件移到隐藏文件夹中;

2.彻底删除

1.选中被删除文件,然后同时按下【Shift+Delete】组合快捷键,进行永久删除文件/文件夹;

2.当然这种方式并不是永久性删除,可以借用某些工具,进行数据恢复,读取被删除文件;


回收站的机制:


1.删除文件时,系统会在当前用户当前分区的回收站中创建一个文件$IXXXXXX.EXT,同时将删除的文件重命名为$RXXXXXX.EXT并移动至回收站。其中XXXXXX是由系统生成随机字符串,EXT是文件扩展名。删除文件夹与删除文件类似,唯一不同的是没有扩展名。

$I文件保存有删除文件的相关信息,如文件名、文件大小、删除时间等。I代表Information。

$R文件即被删除的文件(文件夹)。R代表Recovery或Rename。


回收站记录文件结构:


数据结构

长度

偏移量

文件头

8

0x00

被删除的文件大小

8

0x08~0xF

文件删除的时间

8

0x10~0x17

被删除文件路径

0~520

0x18~0x21F


0x02 内存取证


简述


内存取证通常指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取有价值的数据,是对传统基于硬盘中数据取证的重要补充,也是取证和打击网络犯罪的有力武器;


内存取证工具:


内存镜像制作工具

DumpIt ---- 可放入u盘的内存dump工具,适合计算机内存取证等场景,一键内存转储,无需其他额外设置Magnet RAM Capture--- 内存取证工具、免费、小巧(300多KB)、操作极简、内存镜像可分段

FTK Imager---镜像文件制作工具

内存镜像分析工具

Volatility---内存分析工具取证大师内存镜像解析工具

Volatility详解---见公众号另一篇文章


恶意代码分析


win下的恶意代码分析成为了取证的难处,很多攻击者使用一些挖矿病毒木马等,使服务器为自己所用;

恶意代码的部分文件类别:.exe、.bat、.cmd、.py等等;

恶意代码分析思路:分别创建常用系统虚拟机,并分别运行恶意代码,分析系统进程及注册表等重要部位信息,或对底层代码进行分析,如:脱壳逆向分析源码等;

相关文章
|
2月前
|
虚拟化 Windows
搬运5款冷门但值得下载的PC软件
本文推荐了五款较为冷门但非常实用的Windows软件:Picasa帮助用户轻松管理和编辑照片;DisplayFusion优化多屏使用体验;燃精灵能检测微信空号;IDM提供高效的下载管理功能;Zogvm则助力磁盘虚拟化管理,这些工具虽小众,却能极大提升工作效率。
37 1
|
2月前
|
安全 JavaScript 前端开发
某论坛新游试玩区被植入利用ANI漏洞传播 Trojan.Mnless.kip 的代码
某论坛新游试玩区被植入利用ANI漏洞传播 Trojan.Mnless.kip 的代码
|
缓存 安全 Java
pc取证-番外篇(4)
pc取证-番外篇(4)
92 1
|
存储 算法 Linux
pc取证-番外篇(5)
pc取证-番外篇(5)
87 0
|
存储 Unix 定位技术
pc取证-番外篇(3)
pc取证-番外篇(3)
159 0
|
索引 Windows
Win系统 - 如何评价Vista在PC史上的历史地位?
Win系统 - 如何评价Vista在PC史上的历史地位?
245 0
Win系统 - 如何评价Vista在PC史上的历史地位?
|
小程序
微信这项功能太流氓了!
经过10年的发展,微信已经成了名副其实的国民应用。 无论是大人小孩,从事何种职业,微信已经成为了手机必备软件。
微信这项功能太流氓了!
|
监控 安全
Adobe两款软件存在缺陷 黑客可控制用户PC
据国外媒体报道,多家安全公司日前提醒用户警惕Adobe Reader 9和8.x版本及Acrobat中存在安全漏洞,该漏洞可能引发黑客攻击,不过攻击行动并没有大范围展开。 Adobe公司表示,上诉漏洞可能导致软件崩溃,并允许黑客控制受影响的电脑。
765 0
|
安全 数据安全/隐私保护
下一篇
无影云桌面