摘要：以前整理的一些东西，拿出来做备忘 PCAP 报文就是抓取实际在网络中传输的图片，视频等数据，然后以PCAP 格式存储形成的文件。工作中对离线的数据包进行回溯分析，有时会遇到将 PCAP 中的码流还原成相应的图片、视频、邮件等原有格式的需求。 从流量中取证文件大部分情况下是为了提取流量中的可执行程序。 阅读全文

摘要：电子取证的基本概念 科学的运用提取和证明方法，对于从电子数据源提取的证据保护(preservation)、收集(collection)、验证(validation)、鉴定(identification)、分析(analysis)、解释(interpetation)、存档(documentation) 阅读全文

摘要：启动一个文本文件 tasklist 查看进程列表 可以看到notepad.exe正在后台运行 procdump -ma notepad.exe notepad.dmp -m memory -a all 意思就是将和notepad.exe程序有关的所有内存dump下来保存为.dmp文件 当前目录下生成 阅读全文

摘要：电子取证 使用dumpit工具将计算机内存镜像保存。并生成raw文件格式文件。 检测镜像文件基本信息 volatility -f 2008.raw imageinfo 检测进程列表及物理内存位置 volatility -f 2008.raw --profile=Win2008R2SP1x64 psl 阅读全文