windows取证分析
2021-07-23 10:54:30 1 举报AI智能生成
windows取证分析导图
作者其他创作
大纲/内容
诺卡德交换原理
易变信息次序
何时进行开机取证
开机取证(live response)
系统时间
当前登录用户
打开的文件
网络信息(缓存NetBIOS名字列表)
网络连接
进程信息
进程到端口的映射
进程内存
网络状态
剪切板内容
服务/驱动信息
命令行驱动器
共享
收集什么数据
注册表设置
事件日志
设备和其他信息
有关怎样挑选工具
非易变信息
本地开机取证方法
远程取证方法
开机取证的方法
开机取证:数据收集
案例1
案例2
敏捷分析
扩大范围
应对
防范
数据分析
开机取证:数据分析
内存分析简史
基于硬件的方案
利用火线接口
崩溃转储
利用虚拟机
休眠文件
DD
获取物理内存镜像
进程基础
分析内存镜像
分析进程内存
提取进程可执行文件镜像
根据内存镜像判断操作系统类型
分析物理内存镜像
获取进程内存
windows内存分析
配置单元文件内注册表结构
注册表作为日志文件
监视注册表变化
注册表内部结构
系统信息
自动启动位置
枚举注册表自动启动位置
US移动存储设备
Mounted Devices
查找用户
追踪用户活动
Windows XP系统还原点
注册表分析
光盘内容
理解事件
事件日志文件格式
事件日志头部
事件记录结构
Vista事件日志
IIS日志
因特网浏览器历史
其他日志文件
回收站
系统还原点
Prefetch文件
Word文件
PDF文件
图像文件
文件特征分析
NTFS分支数据流
文件元数据
其他分析方法
文件分析
记录文件信息
分析可执行文件
静态分析
测试环境
一次性系统
工具
流程
动态分析
可执行文件分析
Rootkits
开机检测
GMER
Helios
MS Strider GhostBuster
F-Secure Blackight
Sophos Ant-Rootkit
AntiRootkit.com
后期检测
预防
Rootkit 检测
Rootkits及其检测
windows取证分析
收藏
0 条评论
回复 删除
下一页
