实验5死取证活取证
实验目的
1.理解“活取证”和“死取证”两类技术的差别和应用场合
2.掌握“活取证”和“死取证”基本工具的使用方法
实验内容
一、活取证:
1.从内存还原文字
2.从内存还原图片
3.从内存中提取明文密码
二、死取证:
1.使用Kalilive制作光盘镜像
2.使用Autopsy对硬盘镜像进行分析
实验步骤
实验1)Win7系统下进行实验,以记事本程序为例。打开一个记事本,tasklist命令可以查看该程序(notepad.exe)的映像名和PID等信息。
使用procdump工具提取notepad程序在内存中的镜像:
命令:procdump64.exe-manotepad.exenotepad.dmp
使用strings工具提取出其中的字符串,找到有用信息。
命令:strings.exe notepad.dmp>notepad.txt
打开notepad.txt:
实验2:从内存还原图片
用画图工具打开一幅图片,画图工具程序名是“mspaint.exe”
用procdump提取图片镜像信息
分析处理mspaint.dmp文件还是需要在kali系统中进行,将其拷贝到kali系统:
然后用gimp打开mspaint.data,打开后显示的图片是一团混乱的像素点,通过调节宽度、高度以及位移三个参数,从混乱中寻找可能的图像:(如果我们知道元素图片的宽度和高度信息(作弊),可以先设定好这两个参数,
调节位移一个参数就可以了)
实验3:从内存中提取明文密码
Windows系统中当用户登陆后,系统会启动一个叫做lsass.exe的程序,管理用户令牌,在lsass程序中会存储有用户的明文密码,我们现在尝试使用procdump从这个程序的内存中提取用户的密码。
注意要以管理员权限打开终端程序,命令与前面实验相同:
procdump64.exe-malsass.exelsass.dmp
需要使用mimikatz工具:把lsass.dmp文件拷贝到mimikatz.exe所在文件夹,双击打开mimikatz.exe程序。
输入::回车,可以查看mimikatz所有的模块,我们需要使用的模块是sekurlsa。
在依次使用命令:sekurlsa::minidumplsass.dmp和sekurlsa::logonPasswords就
可以将用户密码提取出来。
实验4:死取证
1.使用Live版Kali系统中的Guymager来创建一台Win7虚拟机的硬盘镜像
首先要将Live版Kali的iso文件装载到Win7虚拟机,启动虚拟机,让电脑从光
盘启动,进入Live版的Kali系统。
打开 guymager 程序:
右键,选择acquire image
选择start开始取证进程。
- 使用 Autopsy 对硬盘镜像进行分析
该服务器在端口 9999 进行侦听,可以使用浏览器访问。在浏览器地址栏输入上面网址,可以看到下面操作界面:
这款软件是按照网络犯罪取证的过程来设计的,所有操作都是以case作为基本
单元,首先要先创建一个新的case:
点击new case
点击add host,完善这些信息,但不是必要的
本文来自博客园,作者:CLLWA,转载请注明原文链接:https://www.cnblogs.com/cll-wlaq/p/17873981.html
本文仅做交流学习,不可用于一切非法行为,否则后果自负!