iT邦幫忙

2022 iThome 鐵人賽

DAY 22
0
Security

none系列 第 22

1-22 掛載採證檔案

  • 分享至 

  • xImage
  •  

收到了採證硬碟

鑑識人員: 來掛載起來看看,誒誒怎麼打不開,
採證人員不要只有算完Hash,要檢查看看啊,現場萬一覺得採證完就格式化就 啪! 沒了!

實作

用FTK掛載
Add evidence item 或是點圖示,選擇要採證的硬碟類型
https://ithelp.ithome.com.tw/upload/images/20221006/20077752I3qQC0m2m2.png

用Autopsy掛載
Autopsy有社區版可以下載,其很大的優勢在於自動產生時間軸

  1. 一開始要建立專案區,同一個案子可以放在同一個專案方便製作報告

  2. 選擇New case -> 建立project
    https://ithelp.ithome.com.tw/upload/images/20221007/20077752LUBJXlfCT1.png

  3. Add data source 選擇映像檔的格式
    https://ithelp.ithome.com.tw/upload/images/20221007/20077752BwodbaArAl.png

  4. 分析檔案數據並分類,方便之後調查 (選越多越慢)
    https://ithelp.ithome.com.tw/upload/images/20221007/20077752pfXQXu8Oj5.png

REF

https://samsclass.info/152/152_F22.shtml


上一篇
1-21 主機採證
下一篇
2-1 堵上那個洞! 哪個洞?
系列文
none36
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言