写在前面：
此博客仅用于记录个人学习内容，学识浅薄，若有错误观点欢迎评论区指出。欢迎各位前来交流。（部分材料来源网络，若有侵权，立即删除）

取证

01系统运行数据

• 使用工具：Live-Forensicator

• 工具路径：https://github.com/Johnng007/Live-Forensicator

• 使用方式：右键管理员运行，可以拿到系统运行相关数据

02自启动项

• 使用工具：Autoruns - Sysinternals | Microsoft Learn

• 使用方法：右键管理员运行即可

• 数据保留：通过命令行界面，将输出结果转存为csv格式文件。

  autorunsc -accepteula -a * -s -h -c > output.csv
  

03内存提取

• 使用工具：WinPmem M或者DumpIt

• 严格使用要求：收集的文件需要保存在外部存储，避免再次对当前系统存储设备进行读写

• winpmem项目：https://github.com/Velocidex/WinPmem

• Belkasoft Live RAM Capturer

  • 下载地址：https://belkasoft.com/get

• FTK Imager

  • 要提取内存，以管理员运行 FTK Imager.exe:

04磁盘证据收集

01 分类收集

• CylR
  • 项目地址：https://github.com/orlikoski/CyLR
  • 配置文件：https://github.com/orlikoski/CyLR/blob/main/CUSTOM_PATH_TEMPLATE.txt
• 卷影副本
  • vssadmin create shadow /for=C: # 服务器使用vssadmin，工作站使用wmic
  • 创建完成后直接复制需要的文件

02磁盘镜像

• FTK Imager
  • 创建之前需要先检查磁盘是否加密，如加密需要再开机状态制作。
  • 检测加密工具：EDD:MAGNET Encrypted Disk Detector - Magnet Forensics