如何手动提取易失性数据
2020-08-03 10:46:01 Author: www.4hou.com(查看原文) 阅读量:180 收藏

在本文中,我们将运行几个CLI命令,这些命令可帮助取证调查人员尽可能多地从系统收集易失性数据。注意,我们在本文中使用的命令不是完整的命令列表。

在桌面上创建一个名为“case”的文件夹,并在里面创建另一个名为“case01”的子文件夹,然后使用一个空文件“volatile.txt”,以保存将要提取的输出内容。

在本文的示例中,我将所有输出保存在/SKS19/prac/notes.txt中,它可以帮助我们创建一个调查报告。

什么是易失性数据?

计算机取证中收集的数据有两种类型:持久性数据和易失性数据。持久性数据是储存在本地硬盘上的数据,当电脑关闭时,会保存下来。易失性数据是储存在内存中的数据,当电脑断电或关闭时,这些数据会丢失。

易失性数据驻留在注册表的缓存和随机访问内存(RAM)中,这种对易失性数据的调查称为“实时取证”。

系统信息

它是Microsoft Windows中包含的一个系统分析器,用于显示与操作系统、硬件和软件相关的诊断和故障排除信息。

我们可以借助命令收集这些易失数据,需要的就是输入这个命令。

systeminfo >> notes.txt

它将所有数据保存在此文本文件中,我们检查这个文件是否由[dir]命令创建,以比较每次执行每个命令后文件的大小。

2.png

现在,转到此位置查看此命令的结果,它将显示关于我们的系统软件和硬件的所有系统信息。

3.png

当前可用的网络连接

在路由器、交换机和网关的帮助下,网络连接描述了连接网络的各个部分的广泛过程。

我们可以通过命令行检查所有当前可用的网络连接。

netstat -nao >> notes.txt

我们可以在[dir]命令的帮助下检查它是否被创建,正如你所看到的,现在get的大小增加了。

5.png

现在,打开该文本文件,立即查看系统中的所有活动连接。它还将为我们提供一些额外的细节,如状态、PID、地址、协议。

6.png

路由配置

它指定正确的IP地址和路由器设置,主机配置:通过登录默认的网络设置,如IP地址、代理、网络名称和ID/密码,在主机或笔记本电脑上设置网络连接。

要了解我们网络中的路由器配置,请遵循以下命令。

route print >> notes.txt

我们可以用[dir]命令检查该文件。

8.png

打开txt文件以评估此命令的结果,比如路由器表及其设置。

9.png

日期和时间

要知道系统的日期和时间,我们可以遵循这个命令。我们还可以通过[dir]命令检查文件是否被创建。

echo %date% %time% > notes.txt
dir

10.png

打开该文件,查看用命令收集的数据。

11.png

系统变量

系统变量是一个动态命名值,它可以影响运行进程在计算机上的行为方式。它们是运行进程的系统的一部分。例如,正在运行的进程可以查询TEMP环境变量的值,以发现存储临时文件的合适位置。

我们可以用一个命令检查系统中所有的系统变量集。

set >> notes.txt

我们可以用[dir]命令检查文件是否被创建。

dir

13.png

现在,打开文本文件可以看到系统中设置的系统变量。

14.png

任务列表

任务列表是出现在Microsoft Windows中的一个菜单,它将提供系统中正在运行的应用程序的列表。要获取系统的任务列表及其进程ID和内存使用情况,请遵循以下命令。

asklist >> notes.txt

我们还可以使用[dir]命令检查是否创建了文本文件。

16.png

打开文本文件以计算详细信息。

17.png

带有模块的任务列表

在任务列表模块的帮助下,我们可以看到特定任务中模块的工作情况。我们可以通过下面的命令看到调查的结果。

tasklist /m >> notes.txt

19.png

我们可以通过[dir]命令检查结果文件是否被创建。

打开文本文件计算命令结果。

20.png

带有服务的任务列表

它将显示特定任务为操作其操作而采取的所有服务,我们使用这个命令在我们的取证报告中得到这些结果。

tasklist /svc >> notes.txt

我们使用help [dir]命令检查文本文件是否被创建。

22.png

打开这个文本文件来评估结果,它将展示每个任务使用的服务。

23.png

工作站的信息

工作站是一种专门为技术或科学应用而设计的计算机,主要是一次由一个人使用。它们通常连接到局域网并运行多用户操作系统,按照这些命令获取工作站的详细信息。

net config workstation >> notes.txt

使用[dir]命令检查文件是否已创建。

25.png

现在,打开文本文件查看调查结果。

26.png

MAC地址保存在系统ARP缓存中

ARP条目有两种类型:—静态和动态。大多数时候,我们将使用动态ARP条目。这意味着ARP条目会在设备上保存一段时间,只要它被使用。

与动态相反,如果ARP条目是静态条目,我们需要在以太网MAC地址和IP地址之间输入一个手动链接。因为管理上的一些原因,我们大部分时间都在使用动态。要在调查中获得详细信息,请遵循此命令。

arp -a >> notes.txt

我们可以通过[dir]命令确定文本文件是否被创建。

28.png

现在,打开文本文件查看调查报告。

29.png

系统用户详细信息

用户是使用计算机或网络服务的人,计算机系统和软件产品的用户通常缺乏充分了解其工作原理所需的技术专业知识。要获取该用户的详细信息,请遵循此命令。

net user %username% >> notes.txt

我们可以使用[dir]命令来检查文件是否被创建。

31.png

现在,打开文本文件查看调查报告。

32.png

DNS配置

DNS是用于将字母名称转换为数字IP地址的互联网系统,在浏览器中输入网址后,DNS服务器将返回与该名称关联的Web服务器的IP地址。要了解系统DNS配置,请遵循以下命令。

ipconfig /displaydns >> notes.txt

我们可以通过[dir]命令查看文本报告是否被创建。

34.png

现在打开文本文件来查看文本报告。

35.png

系统网络共享

共享网络意味着公共Wi-Fi或LAN连接,对系统上的另一个文件夹也可以这样做。通过打开网络共享并允许某些或受限权限,这些文件夹可以被同一网络服务上的其他用户/计算机查看。通过执行以下命令,我们可以看到这些详细信息。

net share >> notes.txt

我们还可以用[dir]命令检查创建的文件。

37.png

现在,打开该文本文件查看调查报告。

38.png

网络配置

网络配置是设置网络控制、流程和操作以支持组织或网络所有者的网络通信的过程。这个术语包含了网络硬件、软件和其他支持设备和组件上的多种配置和递增过程。要获得网络详细信息,请遵循以下命令。

ipconfig /all >> notes.txt

通常,我们可以用[dir]命令检查文件是否被创建。

40.png

现在,打开文本文件查看调查报告。

如前所述,这些只是常用的少数命令之一,取证调查员的武器库中还有许多命令。

41.png

本文翻译自:https://www.hackingarticles.in/forensic-investigation-extract-volatile-data-manually/如若转载,请注明原文地址:


文章来源: https://www.4hou.com/posts/AAOl
如有侵权请联系:admin#unsafe.sh