欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

如何手动提取易失性数据

admin2020-08-0364技术

在本文中,我们将运行几个CLI命令,这些命令可帮助取证调查人员尽可能多地从系统收集易失性数据。注意,我们在本文中使用的命令不是完整的命令列表。

在桌面上创建一个名为“case”的文件夹,并在里面创建另一个名为“case01”的子文件夹,然后使用一个空文件“volatile.txt”,以保存将要提取的输出内容。

在本文的示例中,我将所有输出保存在/SKS19/prac/notes.txt中,它可以帮助我们创建一个调查报告。

什么是易失性数据?

计算机取证中收集的数据有两种类型:持久性数据和易失性数据。持久性数据是储存在本地硬盘上的数据,当电脑关闭时,会保存下来。易失性数据是储存在内存中的数据,当电脑断电或关闭时,这些数据会丢失。

易失性数据驻留在注册表的缓存和随机访问内存(RAM)中,这种对易失性数据的调查称为“实时取证”。

系统信息

它是Microsoft Windows中包含的一个系统分析器,用于显示与操作系统、硬件和软件相关的诊断和故障排除信息。

我们可以借助命令收集这些易失数据,需要的就是输入这个命令。

systeminfo >> notes.txt

它将所有数据保存在此文本文件中,我们检查这个文件是否由[dir]命令创建,以比较每次执行每个命令后文件的大小。


现在,转到此位置查看此命令的结果,它将显示关于我们的系统软件和硬件的所有系统信息。

如何手动提取易失性数据  技术 第1张

当前可用的网络连接

在路由器、交换机和网关的帮助下,网络连接描述了连接网络的各个部分的广泛过程。

我们可以通过命令行检查所有当前可用的网络连接。

netstat -nao >> notes.txt

我们可以在[dir]命令的帮助下检查它是否被创建,正如你所看到的,现在get的大小增加了。

如何手动提取易失性数据  技术 第2张

现在,打开该文本文件,立即查看系统中的所有活动连接。它还将为我们提供一些额外的细节,如状态、PID、地址、协议。


路由配置

它指定正确的IP地址和路由器设置,主机配置:通过登录默认的网络设置,如IP地址、代理、网络名称和ID/密码,在主机或笔记本电脑上设置网络连接。

要了解我们网络中的路由器配置,请遵循以下命令。

route print >> notes.txt

我们可以用[dir]命令检查该文件。

如何手动提取易失性数据  技术 第3张

打开txt文件以评估此命令的结果,比如路由器表及其设置。


日期和时间

要知道系统的日期和时间,我们可以遵循这个命令。我们还可以通过[dir]命令检查文件是否被创建。

echo %date% %time% > notes.txt
dir

如何手动提取易失性数据  技术 第4张

打开该文件,查看用命令收集的数据。

如何手动提取易失性数据  技术 第5张

系统变量

系统变量是一个动态命名值,它可以影响运行进程在计算机上的行为方式。它们是运行进程的系统的一部分。例如,正在运行的进程可以查询TEMP环境变量的值,以发现存储临时文件的合适位置。

我们可以用一个命令检查系统中所有的系统变量集。

set >> notes.txt

我们可以用[dir]命令检查文件是否被创建。

dir

如何手动提取易失性数据  技术 第6张

现在,打开文本文件可以看到系统中设置的系统变量。


任务列表

任务列表是出现在Microsoft Windows中的一个菜单,它将提供系统中正在运行的应用程序的列表。要获取系统的任务列表及其进程ID和内存使用情况,请遵循以下命令。

asklist >> notes.txt

我们还可以使用[dir]命令检查是否创建了文本文件。

如何手动提取易失性数据  技术 第7张

打开文本文件以计算详细信息。


带有模块的任务列表

在任务列表模块的帮助下,我们可以看到特定任务中模块的工作情况。我们可以通过下面的命令看到调查的结果。

tasklist /m >> notes.txt


我们可以通过[dir]命令检查结果文件是否被创建。

打开文本文件计算命令结果。


带有服务的任务列表

它将显示特定任务为操作其操作而采取的所有服务,我们使用这个命令在我们的取证报告中得到这些结果。

tasklist /svc >> notes.txt

我们使用help [dir]命令检查文本文件是否被创建。

如何手动提取易失性数据  技术 第8张

打开这个文本文件来评估结果,它将展示每个任务使用的服务


工作站的信息

工作站是一种专门为技术或科学应用而设计的计算机,主要是一次由一个人使用。它们通常连接到局域网并运行多用户操作系统,按照这些命令获取工作站的详细信息。

net config workstation >> notes.txt

使用[dir]命令检查文件是否已创建。

如何手动提取易失性数据  技术 第9张

现在,打开文本文件查看调查结果。


MAC地址保存在系统ARP缓存中

ARP条目有两种类型:—静态和动态。大多数时候,我们将使用动态ARP条目。这意味着ARP条目会在设备上保存一段时间,只要它被使用。

与动态相反,如果ARP条目是静态条目,我们需要在以太网MAC地址和IP地址之间输入一个手动链接。因为管理上的一些原因,我们大部分时间都在使用动态。要在调查中获得详细信息,请遵循此命令。

arp -a >> notes.txt

我们可以通过[dir]命令确定文本文件是否被创建。

如何手动提取易失性数据  技术 第10张

现在,打开文本文件查看调查报告。

如何手动提取易失性数据  技术 第11张

系统用户详细信息

用户是使用计算机或网络服务的人,计算机系统和软件产品的用户通常缺乏充分了解其工作原理所需的技术专业知识。要获取该用户的详细信息,请遵循此命令。

net user %username% >> notes.txt

我们可以使用[dir]命令来检查文件是否被创建。

如何手动提取易失性数据  技术 第12张

现在,打开文本文件查看调查报告。

如何手动提取易失性数据  技术 第13张

DNS配置

DNS是用于将字母名称转换为数字IP地址的互联网系统,在浏览器中输入网址后,DNS服务器将返回与该名称关联的Web服务器的IP地址。要了解系统DNS配置,请遵循以下命令。

ipconfig /displaydns >> notes.txt

我们可以通过[dir]命令查看文本报告是否被创建。


现在打开文本文件来查看文本报告。

如何手动提取易失性数据  技术 第14张

系统网络共享

共享网络意味着公共Wi-Fi或LAN连接,对系统上的另一个文件夹也可以这样做。通过打开网络共享并允许某些或受限权限,这些文件夹可以被同一网络服务上的其他用户/计算机查看。通过执行以下命令,我们可以看到这些详细信息。

net share >> notes.txt

我们还可以用[dir]命令检查创建的文件。


现在,打开该文本文件查看调查报告。

如何手动提取易失性数据  技术 第15张

网络配置

网络配置是设置网络控制、流程和操作以支持组织或网络所有者的网络通信的过程。这个术语包含了网络硬件、软件和其他支持设备和组件上的多种配置和递增过程。要获得网络详细信息,请遵循以下命令。

ipconfig /all >> notes.txt

通常,我们可以用[dir]命令检查文件是否被创建。


现在,打开文本文件查看调查报告。

如前所述,这些只是常用的少数命令之一,取证调查员的武器库中还有许多命令。

如何手动提取易失性数据  技术 第16张

本文翻译自:https://www.hackingarticles.in/forensic-investigation-extract-volatile-data-manually/:

适用于Android设备的十大应用程序锁

现如今的智能手机非常个人化,其中的应用程序确实会携带不同形式的个人数据,例如图片,消息,银行应用程序等。 应用锁也称为隐私锁,它是所有移动用户最关注的隐私问题之一。可以保护应用程序免受陌生人或在智能手机中寻找信息的攻击者的侵害。 智能手机上一些数据的安全性和隐私性通常受到用户的重视,但要做到这一点,他们需要为他们的设备和应用程序使用移动锁应用程序采取适当的安全措施。 应用程序锁有什么作用? Android手机提供了安装大量应用程序的兼容性,有时甚至是不受信任的第三方应用程序或安卓恶意软件都可能有权读取个人数据,而防范这些攻击需要大量工作。 个人应用程序(如:WhatsApp、Instagram、Facebook、邮件)和金融应用程序(如:Gpay、Paytm)和银行应用程序应使用应用程序锁来保护我们的信

网友评论