电子取证

电子取证通用原则:

1、维护证据完整性:

  数字取证比物理取证好的多，可以进行无数次的拷贝进行分析

  数字HASH值验证数据完整性

2、维护监管链

 物理证物保存在证物袋中，每次取出使用严格记录，避免破坏污染

数字证物原始版本写保护，使用拷贝进行分析

3、标准的操作步骤

证物使用严格按照规范流程，即使事后证明流程有误(免责)

4、取证分析全部过程记录文档

5、数字取证者的座右铭

不要破坏数据现场(看似简单，实际几乎无法实现)

寄存器、CPU缓存、I/O设备缓存等易失性数据几乎无法获取

系统内存是主要的非易失性存储介质取证对象，不修改无法获取其中数据

非易失性存储介质通常使用完整镜像拷贝保存

正常关机还是直接拔掉电源(数据丢失破坏)

取证工具：

dump:将内存中数据保存为raw格式的文件，内存文件与内存大小接近或者稍微大一点。

直接yes回车，即可进行保存内存地址，在真实取证的时候，放在外部存储介质中进行。

保存成功

将保存的.raw文件保存在kali 中，使用volatility进行分析。

volatility工具:

volatility -f KALI-PC-20220509-090249.raw imageinfo //-f指定文件名,imageinfo用来查看镜像文件是什么系统

vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 hivelist // --profile用来指定系统类别，hivelist打印注册表配置单元列表

vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 hivedump -o 0xfffff8a000024010 //按虚内存地址查看注册表内容

vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 printkey -K "SAM\Domains\Account\Users\Names" //查看用户账号

vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 printkey -K "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" //用来查看最后登录的用户

vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 userassist

//正在运行的程序、运行过多少次、最后一次运行时间等

vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 pslist //进程列表及物理内存位置

vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 memdump -p 2296 -D mem/

vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 cmdscan

//查看命令行的历史

vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 netscan

//查看网络连接的情况，看是否有不正常的网络连接

vol.py -f KALI-PC-20220509-090249.raw --profile=Win7SP1x64 iehistory

//查看ie浏览器的历史记录

未完待续。。。。。。。