현장에 가기 전에 사건 동기화, 물증, 증거도구, 현장 증거용 USB 드라이브, 비디오테이프, 물증백, 봉인 등을 준비해야 한다.

　　컴퓨터, 휴대폰, 주변 장치 (CD, 하드 디스크, USB 디스크, 데이터 케이블), 장비 등과 같은 관련 물증을 수집합니다.

　　컴퓨터가 켜져 있는 상태에서 온라인 법의학을 준비해야 하는 경우 컴퓨터에서 실행 중인 중요 데이터, 중요 프로그램, 실행 지침 등을 고정합니다.

　　정상적인 포렌식 프로세스는 전원을 켜서는 안 되기 때문에 컴퓨터가 종료 상태에 있을 경우 오프라인 부팅을 사용해야 합니다. 부트를 사용해야 합니다. 예를 들어, USB 를 삽입한 후 USB 에 있는 시스템을 사용하여 부팅을 유도하는 경우 펌웨어 암호화를 켜면 자체 시스템만 부트할 수 있고 부팅은 할 수 없습니다.

　　Windows 장비는 호스트, 올인원, 노트북, 태블릿, 휴대폰 등이 있습니다. 노트북

　　노트북을 닫고 봉인으로 노트북의 개폐 포트, 데이터 인터페이스 및 하드 드라이브 분리 포트를 밀봉하여 개봉할 때까지 전원을 켤 수 없고, 데이터 인터페이스를 사용할 수 없으며, 하드 드라이브를 제거할 수 없습니다. 데스크탑

　　데스크탑 컴퓨터의 모든 주변 장치의 인터페이스 위치를 기록한 다음 당겨 봉인으로 컴퓨터의 데이터 인터페이스, 전원 커넥터 및 측면판 이음새를 봉인하여 개봉하기 전에 전원이 들어오지 않고 데이터 인터페이스를 사용할 수 없으며 하드 드라이브를 제거할 수 없도록 합니다. 봉한 후 라벨을 붙인다-> 소속, 보관 시간, 상태. 기타 스토리지 미디어 보관 방법

　　하드 드라이브, USB: 물증백으로 직접 봉인하여 개봉하기 전에 사용할 수 없게 합니다. 봉인한 후 라벨-> 번호, 이름, 인출 시간, 서명, 주석을 붙이세요.

　　

　　먼저 컴퓨터에서 실행 중인 프로그램을 살펴보고, 암호화된 파일, 암호화된 컨테이너, 실행 중인 채팅 소프트웨어, 로그인된 사이트 배경 등 중요한 프로그램을 중점적으로 살펴보고, 관련된 중요한 데이터를 찾고, 파일 내용은 암호화 컨테이너의 암호 해독 키일 수 있습니다. 또한 컴퓨터에 원격이 있는지, 원격은 마스터와 피의자로 나뉘며, 컴퓨터가 호스트인 경우 적시에 원격 데이터 고정을 해야 하며, 피의자인 경우 먼저 네트워크 환경을 다른 사람이 원격으로 손상시키지 않도록 보장해야 합니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 컴퓨터명언)

　　컴퓨터가 실행 중인 웹 사이트 백그라운드, 원격 연결, 실행 중인 프로그램 등과 같은 고정 비휘발성 데이터에 우선 순위를 부여하여 적시에 메모리 미러링을 만들어야 합니다. 웹 사이트 긴급 고정

　　먼저 웹 페이지 설정에서 꺼져 있는지 확인하고, 만약 설정하면 이것을 제때에 취소해야 합니다.

　　녹화화면: 관련 컴퓨터에 저장하지 않도록 주의하세요. 카메라, 법 집행 레코더, 휴대폰 등을 빌릴 수 있으니 시간 교정을 하셔야 합니다. 사이트 계정 비밀번호가 고정되어 있습니다: 컴퓨터 바탕 화면의 메모지, 메모장, 노트 등을 주의하세요. 공급업체 웹 사이트 고정 도구 컷오프: 긴 스크린샷 도구가 있으면 긴 스크린샷 도구를 이용할 수 있습니다.

　　웹 사이트 암호 얻기

　　일부 브라우저에는 기록 암호 자동 채우기 기능이 있어 일반 텍스트를 얻기 위해 브라우저 암호가 필요합니다. 브라우저 암호를 모르는 경우 대상 웹 사이트로 가서 자동으로 채울 수 있습니다. 그런 다음 웹 소스 코드 암호 수정 열에서 type 속성 password 를 text 로 수정한 다음 캐리지 리턴으로 변경하면 일반 텍스트 암호를 표시할 수 있습니다.

　　

　　연결 도구 현장 긴급 고정

　　Qq, 위챗, 해외 소프트웨어 등은 안에 상하급과 연락이 있는지, 중요한 데이터가 있는지, 브라우징이 끝나면 고정한다.

　　소프트웨어와 함께 제공되는 기록 백업 및 복구 기능을 사용한 다음 녹화 화면 또는 스크린샷 백업이 필요합니다. 원격 운영 및 유지 보수 관리 도구 탐사

　　해바라기

　　핸드폰 번호 로그인은 소프트웨어에서 업그레이드를 클릭하여 브라우저 인터페이스로 점프한 후 전체 휴대폰 번호를 볼 수 있습니다.

　　위챗 로그인은 해바라기의 로그 파일에서 계정 0 을 검색하면 로그인 마이크로신호에 연결된 휴대폰 번호를 볼 수 있다.

　　

　　원격 운영 및 유지 보수 관리 도구 로그 탐사

　　해바라기

　　일반적으로 파일 이름에 쉘과 서비스가 있는 파일에 초점을 맞추고 있으며, 일반적으로 제어되거나 제어되는 쪽의 IP 주소 (sunlogin_service. 시간-숫자. log) 가 있습니다.

　　검색 키워드: P2Phelper: 제어 측 IP 주소; P2PStream: 제어 측 IP 주소 (공용 네트워크 IP); P2Phelper 및 P2PStream 은 호스트 컴퓨터에만 유효합니다. P2PAccepter 와 service 는 관리 대상 컴퓨터에만 유효합니다. Udpwrapper 와 UDP 는 양쪽 끝에 유효합니다. 가상 동전 지갑 식별 및 고정

　　컴퓨터에 관련된 허위화 거래 절차와 주소를 주의해라. 거래프로그램은 현재 휴대전화가 많고, 컴퓨터는 대부분 웹방식으로, 브라우저 브라우징 기록을 살펴보면서 허위화 주소를 주의해야 한다. 예를 들면 다음과 같다.

　　보조어: 가상 지갑을 만드는 데 사용됩니다. 비밀번호를 잊었을 때 한 개의 비밀번호가 로그인하는 방식은 보통 영어 단어가 12 개이며, 용의자가 소지하고 있는 장치에 12 개의 영어 단어와 비슷한 단어가 있을 경우, 가상 지갑의 보조어일 수 있다는 점에 유의해야 합니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 인터넷명언) 컴퓨터 빠른 액세스 기록

　　빠른 액세스의 데이터 (자주 사용하는 파일/클립), 문서의 최근 열린 기록, 바이두 웹 응용 프로그램, 브라우저의 최근 액세스 기록 등

　　주요 관련 증거를 고정할 때는 기록 작업을 제안하고, 관련 문서를 압축하고, 해시 검증 작업을 수행하고, 조사 필기록에 기록하는 것이 좋습니다. 컴퓨터의 기타 데이터 (휴대폰 주변 장치)

　　휴대폰 백업 컴퓨터에도 존재할 수 있다.

　　IOS 디바이스의 iTunes 백업

　　IOS 장치의 lockdown 파일

　　화웨이 지원 백업 파일

　　다양한 안드로이드 휴대폰 백업 파일

　　안드로이드 시뮬레이터는 모든 작업을 기록하고 검증하는 데 주의를 기울입니다. 비디오와 스크린 샷은 관련 컴퓨터에 저장하지 마십시오.

　　Autopsy 는 강력하고 사용하기 쉬운 디지털 포렌식 도구로서 디스크 이미지에서 문자열 추출, 파일 복구, 타임라인 분석, 크롬, Firefox 등 과거 기록 분석 찾아보기, 키워드 검색, 메일 분석 등의 기능을 제공하여 포렌식 전문가가 증거를 빠르고 정확하게 분석하고 추출할 수 있도록 지원합니다.

　　기초 사용을 시연하는 실험을 한 번 해보겠습니다. Autopsy 구성

　　Nev Case 를 선택하여 새 환경을 엽니다.

　　

　　새 시나리오의 이름과 시나리오를 배치할 디렉토리를 요청합니다.

　　

　　해당 번호, 이름, 휴대폰 번호, 설명 등과 같은 정보를 입력하고 Finish 를 클릭합니다.

　　

　　

　　

　　

　　인덱스가 분석을 위해 이 이미지 이미지를 완료할 때까지 기다립니다. 키워드 검색

　　오른쪽 위에 있는 검색 창에 키워드를 입력하여 조회할 수 있습니다. 그러면 Autopsy 가 각 파일에서 키워드 검색을 시작합니다. 실제 조사에서 이 키워드는 조사에만 국한된 것이다.

　　

　　특수 검색 유형

　　화면 오른쪽 상단 모서리에 있는 눈 아이콘을 클릭하면 드롭다운 창이 열립니다. 여기서 우리는 매우 전문적인 유형 검색을 할 수 있는데, 이것이 아마도 우리 조사의 관건일 것이다.

　　전화번호, IP 주소, 이메일 주소, URL, 신용카드 번호

　　

　　예를 들어, 이러한 파일에서 일부 웹 사이트를 찾으려면 시스템이 봉인되기 전에 용의자가 무엇을 하고 있는지 확인하는 데 도움이 될 수 있습니다.

　　드롭다운 창에서 URL 옆에 있는 확인란을 클릭합니다. URL 을 찾는 정규 표현식으로 채워집니다.

　　

　　"검색" 버튼을 클릭하면 Autopsy 는 각 파일에서 지정된 텍스트 패턴을 찾기 시작합니다.

　　

　　또한 찾고자 하는 텍스트 패턴을 검색하기 위해 사용자 정의 정규식을 만들 수 있습니다. 이 기능을 통해 목표를 보다 효율적으로 검색하고 디지털 법의학의 효율성을 높일 수 있습니다. "삭제" 된 파일 복구

　　디지털 포렌식 연구원의 기본 기술 중 삭제된 파일을 복구하는 것이 가장 기본적일 수 있습니다. 아시다시피, 대부분의 경우, 시스템은 파일의 위치 정보를 삭제하거나 삭제됨으로 표시했을 뿐, 실제로 이러한 "삭제된" 파일은 덮어쓸 때까지 스토리지 미디어에 남아 있습니다. 즉, 용의자가 증거 파일을 삭제하면 파일 시스템을 덮어쓰기 전에 조치를 취하면 해당 파일을 복구할 수 있습니다.

　　객체 탐색기에서 삭제된 파일이라는 파일 유형을 볼 수 있습니다. 삭제된 모든 파일이 표시됩니다.

　　

　　삭제된 파일을 클릭하면 오른쪽 아래 구석에 있는 창에서 몇 가지 분석을 할 수 있습니다. 레이블 이름이 Hex, 문자열, 파일 메타데이터, 결과 및 색인 텍스트인 옵션이 표시됩니다. 파일 메타데이터 탭을 클릭하면 이름, 유형, 크기, 수정, 액세스, 작성 등의 정보를 포함한 파일의 메타데이터가 표시됩니다.

　　

　　삭제된 파일을 복구하려면 삭제된 파일을 마우스 오른쪽 버튼으로 클릭하고 extract file 을 선택하여 파일을 추출합니다.세계 랭킹 1 위오피스타 홈페이지 입구가 어떻게 돼요

　　

　　

　　용의자는 종종 핵심 증거 문서를 삭제하여 그들의 종적을 감추려고 시도한다. 법의학 연구원으로서, 우리는 이 파일들이 파일 시스템에 의해 덮어쓰여지기 전에 복구할 수 있다는 것을 알고 있다. Autopsy 및 거의 모든 다른 포렌식 키트 (case, ProDiscover, FTK, Oxygen 등) 와 같은 도구를 사용하여 삭제된 파일을 쉽게 복구할 수 있습니다.

　　메모리 포렌식은 기존의 디스크 기반 포렌식을 보완하는 중요한 수단이자 컴퓨터 포렌식 조사에서 중요한 수단 중 하나로 임시 캐시 (텍스트, 그림, 채팅 기록, e-메일), 암호 해독 키 (예: Bitlocker, TrueCrypt, PGP 등 전체 암호화

　　메모리는 유실성이며, 컴퓨터가 꺼지면 RAM 의 정보가 모두 손실될 수 있으므로 시스템을 종료하기 전에 캡처해야 합니다. 한편, 맬웨어 공격과 관련된 경우, 비휘발성 메모리는 이러한 공격을 조사하는 유일한 원천이기도 합니다. 대부분의 맬웨어는 메모리에만 있기 때문입니다. 이것은 비휘발성 증거에 대한 분석이 맬웨어의 존재에 대한 설득력 있는 단서를 전혀 제공하지 않는다는 것을 의미한다. 따라서 메모리 법의학은 컴퓨터 포렌식 조사에서 대체불가의 중요성을 가지고 있다. 메모리 미러 가져오기 Windows 시스템 미러 가져오기 사용자 로그인 상태를 기반으로 메모리 가져오기 방법을 가져옵니다

　　Windows 시스템이 켜져 있고 사용자가 로그인된 상태에서 메모리 미러링을 만드는 소프트웨어를 통해 메모리 미러링을 얻을 수 있으며 관리자 권한이 아닌 경우에도 메모리 내 미러를 얻을 수 있습니다. 일반적으로 사용되는 도구는 AccessData FTK lmager, Dumplt, Magnet RAM Capture 등입니다.

　　다음은 AccessData FTK lmager 를 사용하여 미러를 가져옵니다.

　　File 드롭다운 메뉴를 클릭하고 Capture Memory … 를 클릭하여 메모리 옵션을 확인합니다.

　　

　　Memdump.mem 이라는 "memory" 라는 디렉토리를 작성하고 페이지 파일을 포함하지만 AD1 파일을 작성하지 않았습니다.

　　완료되면 "Capture Memory" 버튼을 클릭하십시오.

　　

　　

　　시스템 휴면 파일을 기반으로 한 획득 방법

　　Windows 시스템이 최대 절전 모드로 전환되면 Windows 시스템은 메모리의 모든 데이터를 하드 드라이브의 최대 절전 모드 파일로 자동 내보냅니다. (Hiberfil.sys) 이 파일은 기본적으로 시스템 디스크의 루트 디렉토리에 생성되며 데이터 내보내기가 완료되면 하드웨어에 전원을 공급하지 않습니다.

　　정상 상태로 돌아오면 이전에 저장된 휴면 파일의 정보가 하드 드라이브에서 메모리로 읽혀집니다. 시스템이 휴면 모드로 들어갈 때는 절전이 가능하지만, 휴면 모드로 들어가는 전제는 컴퓨터의 하드 드라이브에 남아 있는 용량이 컴퓨터의 메모리 크기보다 크다는 것입니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 절전 모드명언) 휴면 파일을 얻는 것은 시스템의 휴면 전 순간의 메모리 파일을 얻는 것과 같습니다. 리눅스 및 Mac OS 시스템 미러 획득

　　Linux 및 Mac OS 시스템에서는 다음과 같은 방법으로 메모리 미러 가져오기를 수행할 수 있습니다.

　　LiME(Linux Memory Extractor) 도구는 Linux 시스템 메모리 미러링을 얻을 수 있습니다.

　　Mac Memory Reader 도구를 사용하면 Mac OS 시스템 메모리 미러링을 얻을 수 있습니다. Hibernation File 도구;

　　시스템의 메모리 미러링이 포함된 휴면 파일을 추출하여 메모리 미러링을 얻을 수도 있습니다.

　　Linux 시스템에서 휴면 파일은 일반적으로’ /var/lib/systemd/hibernate/’ 및’ /var/lib/systemd/sleep/’ 디렉토리에 있습니다.

　　Mac OS 시스템에서 휴면 파일은 일반적으로’ /private/var/vm/’ 디렉토리에 있으며 일반적으로 sleepimage 로 시작합니다.

　　또 다른 방법은 /dev/mem 을 통해 얻는 것입니다.

　　/dev/mem 은 운영 체제에서 제공하는 물리적 메모리 매핑입니다. Linux 시스템의 가상 문자 디바이스인’ /dev/mem’ 은 표준 Linux 시스템과 임베디드 Linux 시스템 모두에서 지원됩니다. 먼저 open 함수를 사용하여 /dev/mem 장치를 연 다음 mmap 을 사용하여 사용자 공간에 매핑하여 응용 프로그램에서 메모리 정보를 읽을 수 있도록 합니다. Volatility 메모리 분석 도구

　　메모리 분석에서 가장 널리 사용되는 도구는 Volatility 라는 오픈 소스 도구입니다. Volatility 는 www.volatilityfoundation.org 에서 다운로드할 수 있습니다. Window, Linux, Mac OS X 버전이 있습니다.

　　다음은 Volatility 3 버전 기본 사용, 2 버전 제가 이전에 쓴 문장 좀 보세요. 개인적으로 2 ~ 3 버전과 함께 사용할 수 있다고 느껴요. 어떤 경우에는 vol 2 가 더 편리합니다.

　　명령 형식: volatility-f [이미지] [플러그인]

　　Volatility 2 버전 사용 방법과 비슷하지만 volatility 3 버전은 profile 을 지정할 필요가 없습니다. 다만 플러그인 호출 방식이 변경되고 플러그인은 운영 체제에 해당합니다.

　　명령 옵션 목록과 플러그인을 표시하는 도움말을 봅니다.

　　 종이비행기의 중국판 다운로드 주소는 어떻게 되나요실제 운영 시스템 기본 정보

　　

　　SystemTime 을 통해 미러 생성 시간을 확인할 수 있습니다. 프로세스 목록 가져오기

　　

　　Windows.pstree.PsTree 를 사용하여 모든 프로세스와 종속성을 보고 PPID 가 PID 보다 큰 프로세스를 찾고 프로세스 종속성을 보고 의심스러운 프로세스를 찾을 수 있습니다. 실행 중인 DLL 가져오기

　　

　　Volatility 가 실행 중인 모든 DLL 목록을 구문 분석합니다. 이벤트의 타임라인을 가져옵니다

　　 Telegram 이 공식적으로 다운로드한 주소는 어떻게 되나요?

　　일반적으로, 용의자가 그들이 기소된 행동을 실제로 이행했는지 여부를 증명하기 위해, 우리는 그 시스템에서 이미 발생한 사건의 시간표를 알아야 할 필요가 있다.

　　다음 타임라인 플러그인을 사용하여 메모리 미러에서 타임라인 정보를 검색할 수 있습니다. 맬웨어를 찾다

　　

　　주요 용도는 주입 코드를 포함할 수 있는 프로세스 메모리 범위를 나열하여 의심스러운 시스템 메모리에서 실행되는 맬웨어를 찾을 수 있도록 하는 것입니다.