Win 10 PC 上有一个包含可疑 *.exe 文件的文件夹,并且存在潜在的(外部)协议违法行为来自该 PC 在过去的某个时间。第一个可疑动作是到天坑典型的 IP 地址胡皮贡木马,第二条帖子(几天后)在互联网商务平台上发布了试图诈骗的帖子。 有问题的 PC 已已关闭只需在注意到第二个动作后不久拉动电源线即可。 不久之后,PC扣押当地政府(他们已获悉骗局潜在受害者的第二次行动) A可启动映像PC 的硬关机后,C: 驱动器中存在该映像。该映像已在类似的 PC 上启动。Trendmicro AV 扫描和随后的 Virustotal 检查显示(仅有的) 下列。 T...
尽管虚拟化的主要目的是为每个实例操作系统提供不共享内存空间的“容器化”环境,但是是否有技术可以在在线或离线(暂停)虚拟机上进行取证? 问题偏向于我希望不存在这种可能性的事实,但同样,我担心的是,用非常外行的话来说,当你暂停虚拟机时,内存应该被“转储”到主机上的某个地方,以便稍后恢复它。 在这种情况下,是否有可能从虚拟机访问(只读)敏感信息?如果是,是否有针对此类事件的缓解程序,以及如何正确应用这些程序? 尽我所能, 布鲁诺 ...
当使用托管专用服务(无论是虚拟的还是物理的)时,您可以完全控制安装在您无法物理访问的硬件上的操作系统,有什么好的方法可以测试存储中是否已经适当地擦除了以前客户的任何数据? 我认为,如果我从我的机器上的前一个客户那里获取数据,那么下一个客户也可能会获取我的数据,因此我希望有一种方法可以测试光盘上是否已经适当地清除了任何以前的数据,以了解我要做什么。 一种简单的方法是将dd和 一起使用hexdump -C,fgrep -v但uniq区分哪些数据是你的而哪些不是你的并不容易,因为我们在已经格式化的硬盘上运行它。 是否有任何适用于 Linux、FreeBSD ...
我们最近发生了几起安全事件,我们立即对虚拟机进行了快照,因为我们希望尽可能多地保留数据。现在我们想将其发送给第三方取证团队,以确定入侵程度。 我的问题是,向他们发送快照文件的副本是否足以让他们进行取证分析? 启动虚拟机需要哪些文件? 任何帮助都将不胜感激! ...
我几年前加密过一块硬盘,但我记不起当时用过什么工具。如何才能知道我是否使用 TrueCrypt 或 VeraCrypt 加密过硬盘? 谢谢。 ...
我有来自单个驱动器的多个 dd 映像。其中一个是交换区。除了交换区映像外,我在 Ubuntu 中挂载了所有映像,一切顺利。dd 映像的分解方式如下:hda8 是 /,hda1 是 /boot,hda6 是 /home,hda5 是 /usr,hda7 是 /var,hda9 是交换区。 我使用的命令是:sudo mount -o loop,ro hda1.dd /mnt/Linux 我按照上面列出的顺序安装了每个图像,以便它们全部显示为单个驱动器。 当我尝试安装交换映像时,它失败并显示错误:dev/loop5 看起来像交换空间 - 未安装。您必须指定文...
固态硬盘 (SSD) 具有垃圾收集释放已删除文件空间的功能。它触发 由驱动器自动 通过修剪操作系统发送的命令 有没有办法让 SSD 处于不发生自动垃圾收集的状态? 考虑到取证数据收集,我想确保图像的校验和在收集练习之间不会因为此功能而改变(所有其他预防措施都到位)。 ...
我正在尝试对 Exchange 服务器进行取证分析,我想确定用户阅读特定电子邮件的时间。有没有办法 - 也许使用 mfcmapi 之类的工具或其他可以提供此信息的开源或商业工具? 具体来说,一封机密电子邮件被意外发送给用户,随后立即发送了一封电子邮件,通知用户意外泄露信息,并指示用户删除该邮件,不要共享该邮件。用户声称,他们只是将其发送到自己的帐户,因为泄露的信息包含他们自己的个人信息,并且直到他们已经向自己发送了该邮件的副本后才看到后续消息。我想证明用户在转发第一封(即机密)电子邮件之前阅读了第二封邮件。 在没有已读回执的情况下,有什么方法可以证明...
我有一个不响应的 Rackspace 切片,无法访问。我从中创建了一个紧急映像并将其删除,并将破坏映像的文件下载到本地源。如果可能的话,我仍然希望从该服务器恢复一些文件/资产,但不确定我可以用这些映像文件做什么,如果有的话。 以下是我所拥有的文件,值得一提的是: emergency_########_######_cloudserver########.tar.gz.0 (5gb) emergency_########_######_cloudserver########.tar.gz.1 (5gb) emergency_########_######_...
我有一个运行桌面版 Ubuntu 发行版的家庭服务器。我在 crontab 中发现了这一点 * * * * * /home/username/ /.access.log/y2kupdate >/dev/null 2>&1 当我查看该目录(用户名/后面的空格是目录名)时,我发现很多脚本显然在做一些不该做的事情。 在我清除电脑中的数据并重新安装之前,我想找出导致安全漏洞的原因以及发生的时间。这样我就不会再犯同样的错误。 我应该查看哪些日志文件?据我所知,计算机上运行的唯一服务器是 sshd 和 lighttpd。 如果类似的事情再...
我问过同样的问题superuser,但没能成功。我想了解更多关于法医分析的知识,我正在做以下挑战蜜网计划。我需要检查日志文件并查看远程连接到计算机的 IP。我有dd硬盘驱动器的映像,唯一正在运行的服务是apache。除了 Apache 的日志之外,我还应该查看哪些其他日志文件,以查看谁连接到了计算机?我只对远程连接感兴趣。至于 Linux 系统,我们可以将其视为通用系统,具有 2.4 内核。 ...
Linux 系统被黑客入侵后进行取证分析的主要步骤是什么? 假设它是通用的 Linux 服务器邮件/网络/数据库/ftp/ssh/samba。它开始发送垃圾邮件,扫描其他系统。如何开始寻找黑客攻击的方式以及谁应该对此负责? ...