● 50 entries
取证与应急响应
- $UsnJrnl ($J)NTFS 更新序列号变更日志,记录每一次文件系统操作,为取证人员提供高粒度的文件创建、修改与删除时间线。
- 磁盘取证对硬盘、SSD、U 盘等非易失性存储介质进行分析,恢复并解释文件系统、应用与操作系统层面的痕迹。
- 恶意软件分析对恶意样本进行结构化研究,以了解其功能、来源、入侵指标以及对受影响系统的影响。
- 反取证攻击者或注重隐私者用于阻碍、延迟或挫败数字取证调查的各种技术。
- 工件分析对操作系统和应用程序在使用过程中遗留的数字痕迹进行检查,以重建用户行为、程序执行和攻击者活动。
- 内存取证获取并分析系统易失性 RAM 的取证学科,用以揭示运行进程、网络连接、注入代码及内存中的痕迹。
- 逆向工程对编译后的软件、固件或硬件进行反汇编与分析,以还原其设计、行为和内部工作原理的过程。
- 取证工具包对数字取证人员所使用的、经过验证的硬件、软件和程序集合的通用术语,用于获取、保全和分析证据。
- 取证哈希验证对取证镜像与原始介质计算并比对加密哈希(通常为 MD5 和 SHA-256),以证明证据完整性的实务做法。
- 取证镜像对存储介质进行逐位复制并以加密哈希校验,用于取证分析与可采纳的法律证据。
- 取证就绪组织在发生事件或法律事项时,能够以最小干扰收集、保全并分析数字证据的预先准备能力。
- 日志分析对系统、应用和安全日志进行系统化审查,以检测、调查和重建与安全相关的事件。
- 时间线分析一种取证技术,通过关联文件、日志和其他工件的时间戳,重建系统上事件的时间顺序。
- 事件响应针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。
- 事件响应计划经过批准的书面剧本,规定组织如何对网络安全事件进行准备、检测、遏制、根除、恢复并总结教训。
- 数字取证以法律可采信的方式对计算机、网络与设备中的数字证据进行识别、保全、分析和报告的科学学科。
- 跳转列表 (Jump Lists)按 Windows AppID 索引的应用程序历史文件,记录用户最近打开的文件和任务,是将文件访问与特定程序关联的有力证据。
- 网络取证对网络流量与元数据进行采集、记录和分析,用于调查安全事件并重建攻击者行为。
- 文件雕刻一种不依赖文件系统元数据,通过识别文件特征码、头部和尾部,从未分配空间或原始数据中恢复文件的取证技术。
- 写保护设备允许对存储设备执行读取但阻止任何可能改变证据的写入操作的硬件或软件工具。
- 移动取证对智能手机、平板和可穿戴设备进行取证采集与分析,提取通讯、应用数据、定位等痕迹。
- 易失性顺序 (Order of Volatility)由 RFC 3227 定义的采集优先级,要求取证响应人员先收集最易失的证据,以免被覆盖或丢失。
- 隐写分析在看似正常的文件中检测——并在可能时提取——通过隐写术嵌入的隐藏信息的取证学科。
- 云取证针对云端基础设施、应用与 SaaS 服务的取证调查,依赖云厂商 API、审计日志与短暂资源。
- 证据保管链对每一份证据从查扣到最终处置过程中,每位经手人、所处地点与所执行操作进行的有序、可追溯的书面记录。
- 证据保全防止数字证据被篡改、丢失或污染,使其在整个调查过程中保持可采性与可靠性的取证学科。
- 证据获取使用取证可靠的工具和流程,从系统、网络和云服务中可辩护地收集数字证据。
- 桌面演练以讨论为主的模拟演练,相关方按既定情景推演假想的网络事件,检验计划、角色、决策与沟通。
- Amcache.hveWindows 注册表配置单元,记录系统中执行过或出现过的每个可执行文件的详细元数据(含 SHA-1),在现代 Windows 中是有力的执行证据。
- Autopsy由 Brian Carrier 与 Basis Technology 主导开发的开源数字取证平台,为 The Sleuth Kit 提供图形界面并附带丰富的分析模块。
- Cellebrite UFED以色列厂商 Cellebrite 推出的移动取证产品系列,可从智能手机、无人机、SIM 卡等设备中提取、解码并分析数据。
- dd (原始磁盘镜像)由 Unix dd 工具 (或兼容工具) 生成的扁平、按位复制的存储设备副本,没有压缩、元数据或块级哈希。
- DFIR(数字取证与事件响应)将数字取证调查与事件响应相结合的综合学科,用于检测、遏制、清除并总结网络安全事件。
- E01 (EnCase) 取证镜像格式由 Guidance Software 为 EnCase 推出的取证磁盘镜像格式,以分段压缩文件保存采集数据,并嵌入元数据与校验值。
- EnCaseEnCase 是 OpenText(原 Guidance Software)推出的商用数字取证产品系列,自上世纪 90 年代末以来广泛应用于执法和企业调查领域。
- Eric Zimmerman 的 EZ Tools由 Eric Zimmerman 维护的免费 Windows DFIR 工具集,包含命令行与 GUI 工具,用于解析常见取证工件并构建时间线。
- FTKForensic Toolkit(FTK)是由 AccessData 开发、现归 Exterro 所有的商用数字取证套件,用于获取、索引和分析计算机证据。
- GrayKeyGrayshift (现归 Magnet Forensics) 推出的专用软硬件取证设备,被执法机构用于解锁并提取已锁定 iOS 与 Android 设备的数据。
- hiberfil.sysWindows 的压缩休眠文件,保存系统进入休眠时物理内存的近乎完整快照,使取证人员能从已关机系统访问 RAM 内容。
- KAPE (Kroll 工件解析与提取器)由 Kroll 推出的 Windows 取证分流工具,可从在线系统或镜像中收集取证工件,并通过解析模块生成可直接审查的结果。
- Magnet AXIOM加拿大 Magnet Forensics 推出的商用 DFIR 平台,可摄取磁盘、移动与云端来源,解析工件并在统一界面中提供给分析师审查。
- MFT(主文件表)NTFS 的核心元数据结构,为卷上每个文件或目录保存一条 1024 字节的记录,几乎所有 Windows 文件系统取证都以它为基础。
- pagefile.sys位于系统卷的 Windows 虚拟内存交换文件,可能包含进程内存片段,包括凭据、密钥、命令行及解密后的载荷。
- Plaso由 Kristinn Gudjonsson 创建的开源 Python 工具,可自动从多种数据源中提取时间戳,构建用于取证分析的"超级时间线"。
- Prefetch 文件存放于 C:\Windows\Prefetch 的 Windows .pf 文件,记录进程启动信息,是证明可执行文件曾在系统上运行的有力取证依据。
- Shellbags保存每个用户在 Windows 资源管理器中文件夹视图设置的注册表键,可作为该用户访问过特定文件夹的取证证据,包括可移动介质和网络路径。
- Shimcache (AppCompatCache)Windows 注册表中的一个值,用于应用兼容性检查时记录可执行文件元数据;历史上常作为执行证据,但在解读时需特别注意若干限制。
- The Sleuth Kit由 Brian Carrier 维护的开源取证库及命令行工具集,用于对磁盘镜像和文件系统进行底层分析。
- Volatility 框架由 Aaron Walters 与 Volatility 基金会主创的开源内存取证框架,用于从易失性内存(RAM)镜像中提取数字痕迹。
- Windows 注册表分析对 Windows 注册表蜂巢进行取证检查,以恢复配置信息、用户活动以及程序执行或持久化的证据。