用户投稿前情提要:
以往于取证流程,皆会撷取目标取证主机/伺服器的磁碟(Disk)、记忆体(Memory)做数位鉴识分析
记忆体撷取基本上是针对挥发性记忆体(Volatile Memory)做证据撷取,建议目标取证主机于取证前 "尽量"不要切断电源,使目标主机没有电力,避免挥发性记忆体资料消失
之前遇过有些客户,中勒索病毒就将目标取证主机电源线拔除,导致主机没电,无法做详细的记忆体分析 QQ
市面上有许多记忆体分析工具:
1.Volatility (免费使用)
2.AccessData FTK Imager (免费使用)
3.Bulk Extractor (免费使用)
4.Magnet AXIOM (需付费使用)
今天单元会来操作AccessData FTK Imager给大家供简单参考:
下方图片是FTK Imager的执行档图示,可以在AccessData官网上下载FTK Imager
如果已经下载完毕,可以点击FTK Imager 执行档(.exe)开启FTK Imager
左上角是功能选单类,可以依据使用者想达到的功能作选择,像是製作一个.mem档案(记忆体档案)或製作disk image(硬碟证据档)
选择Capture Memory... 会产生一个Windows 视窗,可以输入製作完的Memory放置位子(Destination Path),也可以更改你的mem名称,输入完成后按下Capture Memory ,就完成记忆体撷取步骤
进度条跑完(绿色)结束后,会产生一个新的Windows 视窗,告诉使用者製作完的mem Hash值
下一天的单元会跟大家分享拿到记忆体档案,要如何分析记忆体
那我们就下一天的单元作详细说明!
微信扫一扫打赏
支付宝扫一扫打赏
