随笔分类 - 计算机取证
摘要:因为要做一个取证项目,需要用到volatility这款软件,网上很多教程已经是很多年以前的东西了,导致很多人在制作profile这一步就卡住了,今天解决了这个问题,记录在此,分享给大家共同学习 1、安装: 这个很简单,我这里用Debian8 2、安装好后,需要开始制作profile Windows的
阅读全文
摘要:0×1 简介 随着计算机犯罪个案数字不断上升和犯罪手段的数字化,搜集电子证据的工作成为提供重要线索及破案的关键。恢复已被破坏的计算机数据及提供相关的电子资料证据就是电子取证。NSTRT也曾协助进行过电子取证的工作,本期NSTRT将以一个假定的案例对基于磁盘的电子取证的过程进行一次讲解。 在一般的数据
阅读全文
摘要:1、取证前务必要对证据所在载体进行备份并计算哈希(MD5,SHA)留作完整性校验时使用,同时,备份方式要采用位级别的备份而不是文件级备份。 位备份可以保证载体被完整备份,包括逻辑上已删除的数据和slack数据。这些数据在文件级别不可见所以往往会被忽略,而“被删除”的数据能为案件提供关键证据 取证过程
阅读全文
