pc取证-番外篇(2)

简介: pc取证-番外篇(2)

0x01回收站取证


简述


回收站是windos系统的一个文件夹,通常存放一些临时删除文件,删除的文件并不是被完全删除,这些文件删除后会在每个硬盘分区的根目录下的$RECYCLE.BIN文件夹;

$RECYCLE.BIN文件是隐藏的,同样也是受保护的,不建议显示;

回收站一般是占10%的硬盘空间,但可以自定义大小;

u盘删除的文件不会保存到回收站;

SID是WINDOWS用来标志唯一OBJECT(如用户或组)的一串字符,以S-1-5-21-1858328346-1692621842-485598107-500为例 图解如下:


文件删除方式的种类:


1.逻辑删除

1.在删除文件后,在回收站中显示,只是系统通过标记,把被删除文件移到隐藏文件夹中;

2.彻底删除

1.选中被删除文件,然后同时按下【Shift+Delete】组合快捷键,进行永久删除文件/文件夹;

2.当然这种方式并不是永久性删除,可以借用某些工具,进行数据恢复,读取被删除文件;


回收站的机制:


1.删除文件时,系统会在当前用户当前分区的回收站中创建一个文件$IXXXXXX.EXT,同时将删除的文件重命名为$RXXXXXX.EXT并移动至回收站。其中XXXXXX是由系统生成随机字符串,EXT是文件扩展名。删除文件夹与删除文件类似,唯一不同的是没有扩展名。

$I文件保存有删除文件的相关信息,如文件名、文件大小、删除时间等。I代表Information。

$R文件即被删除的文件(文件夹)。R代表Recovery或Rename。


回收站记录文件结构:


数据结构

长度

偏移量

文件头

8

0x00

被删除的文件大小

8

0x08~0xF

文件删除的时间

8

0x10~0x17

被删除文件路径

0~520

0x18~0x21F


0x02 内存取证


简述


内存取证通常指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取有价值的数据,是对传统基于硬盘中数据取证的重要补充,也是取证和打击网络犯罪的有力武器;


内存取证工具:


内存镜像制作工具

DumpIt ---- 可放入u盘的内存dump工具,适合计算机内存取证等场景,一键内存转储,无需其他额外设置Magnet RAM Capture--- 内存取证工具、免费、小巧(300多KB)、操作极简、内存镜像可分段

FTK Imager---镜像文件制作工具

内存镜像分析工具

Volatility---内存分析工具取证大师内存镜像解析工具

Volatility详解---见公众号另一篇文章


恶意代码分析


win下的恶意代码分析成为了取证的难处,很多攻击者使用一些挖矿病毒木马等,使服务器为自己所用;

恶意代码的部分文件类别:.exe、.bat、.cmd、.py等等;

恶意代码分析思路:分别创建常用系统虚拟机,并分别运行恶意代码,分析系统进程及注册表等重要部位信息,或对底层代码进行分析,如:脱壳逆向分析源码等;

相关文章
|
2月前
|
虚拟化 Windows
搬运5款冷门但值得下载的PC软件
本文推荐了五款较为冷门但非常实用的Windows软件:Picasa帮助用户轻松管理和编辑照片;DisplayFusion优化多屏使用体验;燃精灵能检测微信空号;IDM提供高效的下载管理功能;Zogvm则助力磁盘虚拟化管理,这些工具虽小众,却能极大提升工作效率。
35 1
|
缓存 安全 Java
pc取证-番外篇(4)
pc取证-番外篇(4)
85 1
|
存储 Unix 定位技术
pc取证-番外篇(3)
pc取证-番外篇(3)
158 0
|
存储 算法 Linux
pc取证-番外篇(5)
pc取证-番外篇(5)
86 0
|
安全 Linux 数据库
工具推荐:22款最流行的计算机取证工具【2017年更新版】
本文讲的是工具推荐:22款最流行的计算机取证工具【2017年更新版】,计算机取证(Computer Forensics,又名计算机取证技术、计算机鉴识、计算机法医学)是指运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据,并据此提起诉讼。
4898 0