Windows取证分析 | 如何最大程度提升分析效率

文章预览

本文由安全研究人员Amr Ashraf发表于Cyber5w的官方博客，研究人员在本文中讨论了如何对可疑设备中的内存映像进行安全调查，并利用了Volatility 3和MemProcFS来最大程度提升Windows取证分析的工作效率。 介绍 内存取证是任何计算机取证分析人员的必备技能之一，这种技术允许我们找到很多无法在磁盘上找到的数字证据，例如： 1、建立的网络链接； 2、仅在内存中的恶意软件； 3、加密密钥； 4、用户凭证。 从零开始处理内存映像可能会非常具有挑战性，因为这种处理方式要求分析人员对目标操作系统的内存布局和数据结构有深入的了解，但幸运的是，社区有一些工具可以为我们解析这些数据结构，并为我们提供所需的最终结果。这样一来，我们就可以将注意力放到最重要的部分，即我们实际想要看到的内容，以及如何通过内存取证分析达到我们的最终 ………………………………