取证:提取易失性数据[手动]

取证:提取易失性数据[手动]

本文价值不大,新手看看即可掠过

在本文中,我们将运行几个CLI命令,这些命令可帮助法医研究人员尽可能多地从系统收集易失性数据。我们在本文中使用的命令不是完整的命令列表,而是最常用的一次。

根据法医调查人员,在桌面名称“ case”上创建一个文件夹,并在内部创建另一个名为“ case01”的子文件夹,然后使用空文档“ volatile.txt”保存要提取的输出。

在这里,我将所有输出保存在/SKS19/prac/notes.txt中,这有助于我们创建调查报告。

什么是易失数据?

在计算机取证的持久性数据和易失性数据中收集了两种类型的数据。永久数据是指存储在本地硬盘驱动器上的数据,并且在计算机关闭时会保留这些数据。易失性数据是存储在内存中的任何类型的数据,当计算机电源关闭时,这些数据将丢失。

易失数据驻留在注册表的缓存和随机存取存储器(RAM)中。对易失性数据的调查称为“实时取证”。

系统信息

它是Microsoft Windows附带的系统分析器,用于显示与操作系统,硬件和软件有关的诊断和故障排除信息。

我们可以借助命令收集这些易失数据。我们所需要做的就是键入此命令。

systeminfo >> notes.txt

它将所有数据保存在此文本文件中。我们检查是否通过[dir]命令创建了该文件,以在每次执行每个命令后比较文件的大小。

现在,转到此位置以查看此命令的结果。它将显示有关我们系统软件和硬件的所有系统信息。

当前可用的网络连接

网络连接描述了连接网络各个部分的广泛过程。借助路由器,交换机和网关。

我们可以通过命令行检查所有当前可用的网络连接。

netstat -nao >> notes.txt

如您所见,我们可以使用[dir]命令检查是否创建了它,现在notes.txt的大小改变了。[雨苁:印度人真的是啰嗦]

现在,打开该文本文件以立即查看系统中的所有活动连接。它还将为我们提供一些其他详细信息,例如状态,PID,地址,协议。

路由配置

它指定正确的IP地址和路由器设置。主机配置:通过记录默认网络设置(例如IP地址,代理,网络名称和ID /密码)在主机或便携式计算机上建立网络连接。

要了解我们网络中的路由器配置,请遵循以下命令。

route print >> notes.txt

日期和时间

要知道系统的日期和时间,我们可以遵循以下命令。我们也可以在[dir]命令的帮助下检查文件是否创建。

echo %date% %time% > notes.txt

系统变量[环境变量]

系统变量是一个动态的命名值,可能会影响正在运行的进程在计算机上的行为方式。它们是运行进程的系统的一部分。例如,正在运行的进程可以查询TEMP环境变量的值以发现合适的位置来存储临时文件。

我们可以用一个命令检查系统中所有的系统变量集。

set >> notes.txt

任务列表

任务列表是出现在Microsoft Windows中的菜单,它将提供系统中正在运行的应用程序的列表。要获取系统的任务列表及其进程ID和内存使用情况,请遵循以下命令。

tasklist >> notes.txt

带模块的任务清单

借助任务列表模块,我们可以根据特定任务查看模块的工作情况。在以下命令的帮助下,我们可以在调查中看到结果。

tasklist /m >> notes.txt

带有服务的任务清单

它将展示特定任务为执行其操作而采取的所有服务。通过使用此命令,我们可以在取证报告中获得这些结果。

tasklist /svc >> notes.txt

工作站信息

工作站被称为专为技术或科学应用而设计的专用计算机,主要打算一次由一个人使用。它们通常连接到LAN并运行多用户操作系统。请按照以下命令获取我们的工作站详细信息。

net config workstation >> notes.txt

MAC地址保存在系统ARP缓存中

ARP条目有两种类型:静态和动态。大多数时候,我们将使用动态ARP条目。这意味着ARP条目会在设备上保留一段时间,只要它一直在使用。

与动态(如果ARP条目是静态条目)相反,我们需要在以太网MAC地址和IP地址之间输入手动链接。由于管理上的头痛和缺乏重大负面影响。我们大多数时候都使用动态的。要在调查中获取详细信息,请遵循以下命令。

arp -a >> notes.txt

系统用户详细信息

用户是指正在使用计算机或网络服务的人。计算机系统和软件产品的用户通常缺乏充分了解其工作原理所需的技术专业知识。要获取该用户的详细信息,请遵循此命令

net user %username% >> notes.txt

NS配置

DNS是用于将字母名称转换为数字IP地址的互联网系统。在浏览器中输入网址后,DNS服务器将返回与该名称关联的Web服务器的IP地址。要了解系统DNS配置,请遵循以下命令。

ipconfig /displaydns >> notes.txt

系统网络共享

共享网络将意味着通用的Wi-Fi或LAN连接。对于系统上的另一个文件夹也可以这样做。通过打开网络共享并允许某些或受限制的权限,这些文件夹可以被同一网络服务上的其他用户/计算机查看。通过执行以下命令,我们可以看到这些详细信息。

net share >> notes.txt

网络配置

网络配置是设置网络的控制,流程和操作以支持组织和/或网络所有者的网络通信的过程。该术语结合了网络硬件,软件以及其他支持设备和组件上的多种配置并加快了过程。要获取网络详细信息,请遵循以下命令。

ipconfig /all >> notes.txt

from