Kali linux 学习笔记（八十八）计算机取证——活取证和死取证 2020.4.22

前言

本节学习活取证和死取证

1、活取证

从内存还原文字

windows下
procdump软件
https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

C:\> procdump64.exe -ma notepad.exe notepad.dmp

strings软件
https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings

C:\> strings notepad.dmp > notepad.txt

从内存还原图片

windows下

C:\>tasklist
C:\>procdump.exe -ma mstsc.exe mstsc.dmp
C:\>procdump.exe -ma mspaint.exe mspaint.dmp

kali下

mv mstsc.dmp mstsc.data
mv mspaint.dmp mspaint.data

用Gimp打开data
open -> Raw Image Data -> 调整参数

从内存中提取明文密码

procdump -ma lsass.exe lsass.dmp

使用 mimikatz.exe，在kali的/usr/share/mimikatz
拷贝到windows下打开

sekurlsa
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords

Firefox 浏览器审计工具

dumpzilla /root/.mozilla/firefox/ef5pz3gn.default/ --All
#所有firefox浏览信息

2、死取证

硬盘镜像

• 使用 kali 光盘启动计算机创建硬盘镜像文件，留足存储文件的存储空间
• 几个数据集：dc3dd（来自美国空军计算机犯罪中心）、dcfldd、guymager
• 计算机取证技术参考数据集http://www.cfreds.nist.gov/

DFF（Digital Forensics Framework）

要注册下载，就没去试

autopsy

非常流行的硬盘镜像分析文件
webserver + 客户端架构

extundelete

适用于 ext3、ext4 文件系统的反删除工具

extundelete [device-file] --restore-file [restore location]

foremost （美国政府开发）

从内存 dump 中恢复图片，支持 raw、dd、iso、vmem等格式

foremost -t jpeg,gif,png,doc -i xp.raw

结语

至此取证算是做了个简单了解

最后贴上个应急响应大合集
https://github.com/meirwah/awesome-incident-response