原创力文档- 2
- 0
- 约6.42千字
- 约 14页
- 2026-05-22 发布于浙江
- 举报
应急响应之取证篇
笔记本:应急
创建时间:2022/11/29:33
1、简述
2、windows系统
2.1内存取证
2.1.1DumpIt提取内存信息
2.2硬盘取证
3、linux系统
3.1内存取证
3.2硬盘取证
1、简述
在用户遭受到攻击时,除了进行快速响应,可能还会进行取证,主要是对内存、硬盘、入
侵流量、浏览器历史等方面内容进行取证。针对vmware虚拟环境,取证相对比较简单,直
接拷贝相关目录下虚拟机目录即可,本文主要是对非虚拟环境系统进行取证,分别介绍常
见的linux、windows系统。
2、windows系统
2.1内存取证
针对虚拟机获取内存,暂停vm并取出.vmem文件即可,很多木在马程序都有较高的隐秘
性,可能会修改系统调用的返回值,但是在内存中的数据是真实存在的,所以在应急的时
候如果无法从系统中找到痕迹,可看看内存中是否有相关字段,尤其是针对一些仅存于内
存中,关机就消失的情况,内存取证是最好的办法。针对内存取证主要介绍两种工具,
dumplt、volatility两种工具。
2.1.1DumpIt提取内存信息
文档评论(0)