Post on 12-Apr-2017
自我介紹• 姜尚德 aka John Thunder
• UCCU 戰隊• 高應大 - 資訊工程系 - 大四
• 聯絡資訊:John@johnthunder.one
你可以從記憶體找到以下資訊: 運行的程序 ( process ) 帳號、密碼與其他有用的資訊 Live Registry Key Malware 運行的痕跡 。。。 任何跑在 process 上的資訊
Why
Local Acquisition to Removable Media 不可把 dump 出來的記憶體放在 C: or /root 底下,以免影響取證資料 注意不要交叉感染
Remote Acquisition 可用 psexec 遠端取證 windows( 但只支援 SMB 協定傳輸 ) 某些軟體可以用 TLS/SSL 傳輸
Runtime Interrogation 可以指定某一個記憶體區塊做取證,不用全部 dump
Hardware Acquisition 用 1394 取證 python vol.py –l firewire://forensic1394/<devno> plugin [options]
取證方法