易失性顺序 (Order of Volatility)
易失性顺序 (Order of Volatility) 是什么?
易失性顺序 (Order of Volatility)由 RFC 3227 定义的采集优先级,要求取证响应人员先收集最易失的证据,以免被覆盖或丢失。
易失性顺序是 DFIR 的基础原则,见于 RFC 3227,按证据消失或改变的速度排序。规范顺序为:CPU 寄存器与缓存、内核与进程内存、网络状态与 ARP 缓存、运行中的进程、临时文件系统、持久化存储、远端日志与监控数据,最后是物理配置和归档介质。响应人员必须在关机或重启之前镜像易失性源,因为 RAM、网络会话和路由状态在关机时会被销毁。在现代 Windows 应急中,这通常意味着使用 WinPmem 或 DumpIt 抓取内存,并在现场关机取证流程之前使用 KAPE 或 Velociraptor 对易失性工件进行分诊。
● 示例
- 01
在拔掉一台正在向 C2 发送 beacon 的主机前,先获取内存转储和 netstat 输出。
- 02
在用户注销前,从 RAM 中收集当前的 TLS 会话密钥。
● 常见问题
易失性顺序 (Order of Volatility) 是什么?
由 RFC 3227 定义的采集优先级,要求取证响应人员先收集最易失的证据,以免被覆盖或丢失。 它属于网络安全的 取证与应急响应 分类。
易失性顺序 (Order of Volatility) 是什么意思?
由 RFC 3227 定义的采集优先级,要求取证响应人员先收集最易失的证据,以免被覆盖或丢失。
易失性顺序 (Order of Volatility) 是如何工作的?
易失性顺序是 DFIR 的基础原则,见于 RFC 3227,按证据消失或改变的速度排序。规范顺序为:CPU 寄存器与缓存、内核与进程内存、网络状态与 ARP 缓存、运行中的进程、临时文件系统、持久化存储、远端日志与监控数据,最后是物理配置和归档介质。响应人员必须在关机或重启之前镜像易失性源,因为 RAM、网络会话和路由状态在关机时会被销毁。在现代 Windows 应急中,这通常意味着使用 WinPmem 或 DumpIt 抓取内存,并在现场关机取证流程之前使用 KAPE 或 Velociraptor 对易失性工件进行分诊。
如何防御 易失性顺序 (Order of Volatility)?
针对 易失性顺序 (Order of Volatility) 的防御通常结合技术控制与运营实践,详见上方完整定义。
易失性顺序 (Order of Volatility) 还有哪些其他名称?
常见的别称包括: 易失性顺序, RFC 3227 顺序。
● 相关术语
- forensics-ir№ 787
pagefile.sys
位于系统卷的 Windows 虚拟内存交换文件,可能包含进程内存片段,包括凭据、密钥、命令行及解密后的载荷。
- forensics-ir№ 474
hiberfil.sys
Windows 的压缩休眠文件,保存系统进入休眠时物理内存的近乎完整快照,使取证人员能从已关机系统访问 RAM 内容。
- forensics-ir№ 043
Amcache.hve
Windows 注册表配置单元,记录系统中执行过或出现过的每个可执行文件的详细元数据(含 SHA-1),在现代 Windows 中是有力的执行证据。
- forensics-ir№ 677
MFT(主文件表)
NTFS 的核心元数据结构,为卷上每个文件或目录保存一条 1024 字节的记录,几乎所有 Windows 文件系统取证都以它为基础。
- forensics-ir№ 001
$UsnJrnl ($J)
NTFS 更新序列号变更日志,记录每一次文件系统操作,为取证人员提供高粒度的文件创建、修改与删除时间线。