用户投稿前情提要:
记忆体分析在数位鉴识调查中为其重要,有时候骇客或者「有心人士」想要湮灭证据 or 毁尸灭迹时,会进行目标证据档案(也就是被害人的电脑或伺服器)硬碟清除,格式化硬碟多次,洗掉整个犯案轨迹,这时候记忆体分析可能是此案找到证据的重要关键。
注意:本研究仅供使用自身电脑,伺服器 or 虚拟机 教育研究使用喔
千万不要鉴识家人 or 朋友 or 其他人的电脑(未经授权) ,以免触犯 刑法 妨害电脑使用罪
前一天的单元(Day 3),是使用 AccessData FTK Imager 製作记忆体档案(.mem)
并将製作完的记忆体档案储存至使用者指定的位子
AccessData FTK Imager 除了可以製作记忆体档案(.mem)与硬碟档案(disk),甚至还可以简单作记忆体分析
首先,回到 AccessData FTK Imager 主画面
并选择 Add Evidence Item... 选项
看到 Select Source Windows 视窗,选择 Image File
并按 下一步
看到 Select File Windows 视窗,选择刚刚製作完成的记忆体
并按 Finish
就可以将製作好的mem档案汇入至AccessData FTK Imager
一开始会看到许多00 00 00 00 00 ,不用害怕自己汇入失败xDDD (这边就先不解释作业系统基本概念)
将画面往下滑,就可以看到撷取记忆体的主机残存资讯
按下滑鼠右键,可以利用AccessData FTK Imager 提供的Find 寻找关键字
这边举例来说,以 docx (Microsoft Word) 作为关键字搜寻,并使用Find Next(也可以直接按F3)查看下一个关键字
就可以发现 我们撷取的记忆体主机 有word xDDDD
下一天的单元 我们会用Bulk Extractor (另外一套免费工具) 为大家展示比较深度的记忆体分析呦!!
微信扫一扫打赏
支付宝扫一扫打赏
