[Misc] 取证分析/隐写学习

• 文件file
• 磁盘disk
• 网络数据包pcap
• 内存dump
• 镜像image

file/identify/strings

常见文件特征串

https://en.wikipedia.org/wiki/List_of_file_signatures

很好很全

音频探测 Audacity软件查看波形 声音频谱

在线拨号音探测软件

http://dialabc.com/sound/detect/

---

磁盘分区格式

Windows FAT12->FAT16->FAT32->NTFS

LInux  EXT2->EXT3->EXT4

删除文件目录表中文件第一个字节填充为E5

EasyRecovery、MedAnalyze、FTK

FTK Imager恢复linux镜像

网络数据包

最常见的就是pcap取证

Wireshark

待补充

内存dump

vloatility内存镜像分析工具 支持解析 #kali linux自带工具

解析windows/linux/mac os内存结构

分析当前运行进程列表、进程内存数据等。

Image镜像取证

binwalk

根据hint提取镜像中需要关注的文件

分析提取文件中的应用层数据