网络安全运维-数字取证篇

news2024/11/15 19:46:50

Volatility使用

使用工具:AutopsyVolatilityWireshark

这部分可分为数据分析与取证、内存取证两块内容

一、数据分析与取证

1、wirwshark图形化

wireshark基本操作

过滤器使用

ip.src == x.x.x.x 选择源ip为x.x.x.x的数据包

tcp.port == xx 选择源或目标端口为xx的TCP 数据包

http contains XXX 选择内容含有XXX的http数据包

使用现有数据包进行过滤

选中某一个数据包,在下方的详情中选中某一条,选择“作为过滤器应用(Apply as Filter)”,就可以选中满足这一条件的所有数据包。

追踪TCP流

右键选择一个TCP数据包,选择追踪流->TCP,就可以获取这个TCP会话中的字节流。

搜索功能:显示过滤器、十六进制值、字符串、正则表达式

搜索对象:分组列表、分组详情、分组字节流。

HTTP请求记录

超文本传输协议,位于TCP/IP协议栈的第五层。是Intelnet的数据通信基础,也是http流量分析中最常见的类型之一。

HTTPS请求记录

http为明文、https在http协议的基础上增加了tls层对流量进行加密

FTP请求记录中的FTP与FTP-DATA

一般使用tcp端口中的20、21端口,20用于数据传输FTP,21用于控制信息传输FTP-DATA,会被识别为不同协议

DNS请求记录

將域名转换成ip地址

USB流量分析

usb流量可分为两大类:

1.鼠标流量:包括鼠标移动的方向,距离和是否点击按键

2.键盘流量:包括当前按下的键和已经按下的状态键(例如shift+x)

其流量的明显特征为:

1、都是从某个地址发往host

2、协议类型为USB

3、信息为“URB_INTERRUPT in

鼠标流量分析

第一个字节代表按键按下

0x00 没有按下按键

0x01 按下了左键

0x02 按下了右键

第二个字节代表了鼠标左右移动的偏移,最高位为符号位

值为正,表示鼠标右移动n个像素位

值为负,表示鼠标左移动n个像素位

第三的字节代表了鼠标上下移动的偏移,最高位为符号位

值为正,表示鼠标上移n个像素位

值为负,表示鼠标下移n个像素位

將分析得到的像素位点连接起来即可得出flag

键盘流量分析

键盘流量数据结构:

 

 

 

 

 

2、tshark命令行

 

常用命令
tshark.exe -r C:\Users\asuka\Desktop\test.pcap -Y "ip.addr==192.168.40.1 && ip.addr==192.168.40.129" 
tshark.exe -r C:\Users\asuka\Desktop\test.pcap -Y "ip.addr==192.168.40.1 && ip.addr==192.168.40.129" -V
#-Y表示显示过滤
#-V表示显示详细信息,之后再用grep进行过滤 

获取数据包摘要信息
tshark.exe -r 源文件.pcap
tshark.exe -r 源文件.pcap -V                # 获取更详细的内容,输出的内容很多
tshark.exe -r 源文件.pcap -c5        # 获取指定数量的内容
一些好用的显示过滤器

http.host==magentonotes.com
http.host contains magentonotes.com
//过滤经过指定域名的http数据包,这里的host值不一定是请求中的域名

http.response.code==302
//过滤http响应状态码为302的数据包

http.response==1
//过滤所有的http响应包

http.request==1
//过滤所有的http请求,貌似也可以使用http.request
//测试显示,上面的2条命令和下面的3条命令是等价的(样本有限,未必准确):
//http.host and http.request.uri
//http.host
//http.request.uri

http.request.method==POST
//wireshark过滤所有请求方式为POST的http请求包,注意POST为大写

http.cookie contains guid
//过滤含有指定cookie的http数据包

http.request.uri==”/online/setpoint”
//过滤请求的uri,取值是域名后的部分

http.request.full_uri==” http://task.browser.360.cn/online/setpoint”
//过滤含域名的整个url则需要使用http.request.full_uri

http.server contains “nginx”
//过滤http头中server字段含有nginx字符的数据包

http.content_type == “text/html”
//过滤content_type是text/html的http响应、post包,即根据文件类型过滤http数据包

http.content_encoding == “gzip”
//过滤content_encoding是gzip的http包

http.transfer_encoding == “chunked”
//根据transfer_encoding过滤

http.content_length == 279
http.content_length_header == “279″
//根据content_length的数值过滤

http.server
//过滤所有含有http头中含有server字段的数据包

http.request.version == “HTTP/1.1″
//过滤HTTP/1.1版本的http包,包括请求和响应

http.response.phrase == “OK”
//过滤http响应中的phrase

二、内存取证

内存取证

使用volatility工具

一般拿到镜像文件后先使用imageinfo查看基本信息获取profile

格式:volatility -f 镜像 --profile=镜像系统 命令

进程分析命令:

pstree、psscan、palist、psxview

文件扫描命令:

filescan

数据导出命令:

dumpfile、procdump、dumpfiles、memdump

格式:

volatility -f 镜像 --profile=镜像系统 procdump -p pid进程号 --dump-dir ./dump/

windows命令行历史查看命令:

cmdline、cmdscan、consoles

查看网络套接字与连接信息:

网络套接字:

sockets、sockscan

网络连接信息:

connections、connscan

注册表信息:

列举:

hivelist、hivescan

提取某个hive:

hivedump

提取注册表具体键值:

printkey

NTLM Hash提取

hashdump

注:如果安装了mimikatz插件可以使用mimikatz命令尝试提取明文密码

 autopsy工具使用

从应用程序里面启动Autopsy

访问http://localhost:9999/autopsy

 

 5.1)选择创建一个新的CASE

5.2)然后填入一些信息,比如案件名字,描述等,然后点NEWCASE

 5.3)然后选择"AddHost",然后配置一些信息

 

5.4)然后点ADDIMAGE添加镜像

将镜像路径复制进去(注意路径不能有中文,我这里出现中文所以换了个路径)

粘贴路径到Autopsy里面,类型选Partition(分区),导入方式选Symlink(链接)

 

点下一步,然后设置一些参数,然后点ADD

然后点OK

然后点击IMAGEINTEGRITY进行镜像完整性检查

 

查看md5校验和,应该与之前我们用md5sum命令查看的是一致的,然后点CLOSE

0X06  使用Autopsy分析镜像和恢复文件

1)点击ANALYZE按钮,进行分析

2)查看镜像详情

系统类型是windowsxp

3)使用Autopsy查看文件分析详细情况

3.1)查看所有已删除的文件,点击左下角的AllDeleted Files

可以看到有两个被删除的文件,其中一个是jpg文件:file6.jpg,还有个后缀名hmm的file7是什么呢?

3.2)点击file6.jpg,可以看到FileType为JPEGimage data,然后导出文件

将文件保存到目录

3.3)添加一条记录,点右下角的AddNote

输入你的名字,日期,和一些其他的信息,然后点OK

可以查看记录

3.4)查看已删除文件file7.hmm

点击左下角的 ALLDELETED FILES,然后点击file7.hmm

Autopsy分析出来是JPEG文件,同样选择Export导出保存到目录

然后点AddNote添加一条记录

3.5)再次对镜像进行md5校验

 

然后点击VALIDATE,与原始的进行比较

这样做的目的是证明你在取证过程中没有破坏和修改过镜像,如果被破坏和修改,在法律上,这个证据将会变得无效。

0X07  完成取证

1)关闭FILESYSTEM IMAGES

2)查看取证日志

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/658490.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

WPF开发txt阅读器13:绑定快捷键实现翻页

文章目录 绑定快捷键翻页功能跳转到首尾章节跳转 txt阅读器系列: 需求分析和文件读写目录提取类💎列表控件与目录字体控件绑定💎前景/背景颜色书籍管理系统💎用树形图管理书籍语音播放💎播放进度显示💎快进…

python数据可视化玩转Matplotlib直方图、箱型图、密度图、正态分布、偏度和峰度

目录 1. 直方图、箱线图和密度图 1.1 直方图 1.2 箱线图 1.3 密度图 2. 正态分布 3. 偏度和峰度 结论 1. 直方图、箱线图和密度图 直方图、箱线图和密度图是数据分析中十分常用的图形。它们可以帮助我们更好地理解数据的分布情况,从而更好地进行数据分析和处…

M1和M2的剪刀差是什么意思?

Scissors difference between M1 and M2. 在市场上流通的货币的数量,用金融术语来讲叫货币供应量。 因为市场上的货币流动性各不相同,长期存款的流动性不如短期存款的强,短期存款的流动性不如现金的强。 所以在统计货币量的时候,标…

Linux优化命令之free命令

free 这里写目录标题 一、free命令描述:1.free命令的语法:2.free命令的选项:3.free命令的输出格式: 二、压力测试工具stress:1.工具简介:2.参数详解:3.下载压力测试工具: 三、模拟实…

osg环境搭建与使用

目录 环境安装 案例一: 案例二: 案例三: 案例四: 我的vs2022,window11 环境安装 看这个文章即可,博客很详细,按照这个没问题的 (5条消息) 【OSG】OSG环境部署 OSG3.6.5vs2017win10_x64(超详细&…

STM32F407的介绍

文章目录 芯片STM32F407资源F407总线架构STM32F407系统框图STM32F407地址分配 芯片 STM32F407资源 内核 32位 高性能ARM Cortex-M4处理器时钟: 高达168MHz,实际还可以超频一点点 stm32f407的主频通过PLL倍频后能够达到168MHz,而且芯片内置一…

使用大白菜PE给苹果电脑安装win7ghost

如何安装大白菜苹果电脑?ghost (苹果电脑能用大白菜安装系统吗) 喜欢用苹果Mac电脑,开始后发现不习惯苹果的操作系统,还是习惯用Windows我们可以给苹果系统Mac电脑上安装Windows系统,享受苹果的外观,操作windows系统…

【Java】Java核心要点总结 66

文章目录 1. 成员变量 和 局部变量 的区别2 . 静态方法 和 实例方法 区别3. 基本数据类型 和 包装类 的区别4. 局部变量一定存储在栈中吗?5. 包装类型的缓存机制 1. 成员变量 和 局部变量 的区别 ● 语法形式 :从语法形式上看,成员变量是属于…

基于opencv与mediapipe的民族舞舞蹈动作识别

需要项目的请关注、私信 基于opencv与mediapipe的民族舞舞蹈动作识别 1、原理介绍1.1 Opencv1.2 Mediapipe 2、实验步骤2.1 导入工具包2.2 中文输入2.4 建立姿态位置信息库2.5 位置信息获取2.6 姿态识别 3 实验结果与评价 1、原理介绍 1.1 Opencv Opencv(Open So…

Android Studio实现知乎日报App

项目目录 一、项目概述二、开发环境三、运行演示 一、项目概述 本系统基于 MVP RxJava Retrofit进行设计和开发,通过 Retrofit 实现了无网缓存,基于 MVP 模式对 Activity 和 Fragment 封装了两个基类,同样适用于非 MVP 的实现。运用 Recyc…

termux中apache+php的安装

如果 ssl.so.3 not found 需要 apk update 更新一下 然后,pkg install php 完成php 8.2安装 使用命令开启 存储 权限 termux-setup-storage apt install phpmyadmin apt install php-apache apache2 配置文件位于 cd $PREFIX/etc/apache2/ cd /data/data/com.te…

【干货】Android系统定制基础篇:第四部分-Android二次构建

背景 有时我们需要使用同一套Android源码编译生成各种差异化产品固件,比如:A产品、B产品、C产品,各产品之间大部分功能是相同的,仅个别功能定义上有差别。 方法一 Android默认的做法是在源码 device 目录下增加A、B、C产品&…

三个领域的微调模型;Meta推出新的生成式AI模型Voicebox

🦉 AI新闻 🚀 Meta推出新的生成式AI模型Voicebox,可执行音频编辑、采样、风格化等语音生成任务 摘要:Meta继推出ImageBind之后,于今天再次推出了全新的生成式AI模型Voicebox。该模型帮助创作者执行音频编辑、采样和风…

2023年6月最新|大屏可视化配置

大屏可视化配置 运行环境:VScode 一、可视化适配 大屏下显示一般都是16:9尺寸 1920*1080 ,做适配也就是在这个比例的基础上进行的 方案一:打开VSCode终端,下载flexible 1、选中要运行的文件,右键–>【在集成终…

使用Apache ShardingSphere简答实现水平分表

1 简介 Apache ShardingSphere 是一款分布式的数据库生态系统, 可以将任意数据库转换为分布式数据库,并通过数据分片、弹性伸缩、加密等能力对原有数据库进行增强。 官方网站 https://shardingsphere.apache.org/document/current/cn/overview/2 创建…

【算法题刷题笔记】华为OD机试 - 农场施肥

样例一: 5 7 5 7 9 15 10>> 9样例二: 3 1 2 3 4>> -1解题思路 题目大概意思: 给你N个数, 还有一个数M, 让你求K, 进行M次减K操作, 令这N个数都小于等于0。 思路: 利用…

frp配置多端口内网穿透?frp多端口怎么配置?

FRP内网穿透应用场景:本地Web服务外网访问、本地开发微信、本地联调支付宝\微信支付、TCP/UDP端口转发 在本机开发好的网站想让客户测试不在需要上传到服务器上面,使用FRP内外网穿透轻松解决;微信开发也不需要在上传到服务器,使用…

拒绝服务攻击

目录 一、初始DOS攻击与防御 1.1 DOS攻击概念 1.2 DOS攻击原因 1.2.1 内因 1.2.2 外因 1.3 DOS攻击原理 1.4 DOS攻击方法 二、DOS常见攻击技术 2.1 SYN Flood 2.1.1 基本思想 2.1.2 方法 2.1.3 防御措施 2.2 ICMP Flood 2.2.1 Smurf Flood 2.2.2 Ping of Death …

【微信小程序开发】第 10 课 - WXML 模版语法 - 数据绑定

欢迎来到博主 Apeiron 的博客,祝您旅程愉快 ! 时止则止,时行则行。动静不失其时,其道光明。 目录 1、缘起 2、数据绑定 2.1、绑定的基本规则 2.2、Mustache 语法的格式 2.2.1动态绑定内容 2.2.2动态绑定属性 2.2.3三元运…

Qqis中采用栅格工具生成XYZ瓦片(目录)简介

目录 前言 一、Qgis的相关功能 1、数据准备 2、将两个xyz图源添加到图层 二、Qgis栅格工具生成 1、生成xyz图块工具在哪里 2、生成xyz图块怎么用 3、下载结果 4、Leaflet加载离线瓦块 总结 前言 在上一篇博客中,介绍了一种在Qgis中基于QMetaTiles插件进行xyz瓦…