技术编程|如何手动提取易失性数据
在本文中 , 我们将运行几个CLI命令 , 这些命令可帮助取证调查人员尽可能多地从系统收集易失性数据 。 注意 , 我们在本文中使用的命令不是完整的命令列表 。
在桌面上创建一个名为"case"的文件夹 , 并在里面创建另一个名为"case01"的子文件夹 , 然后使用一个空文件"volatile.txt" , 以保存将要提取的输出内容 。
在本文的示例中 , 我将所有输出保存在/SKS19/prac/notes.txt中 , 它可以帮助我们创建一个调查报告 。
什么是易失性数据?
计算机取证中收集的数据有两种类型:持久性数据和易失性数据 。 持久性数据是储存在本地硬盘上的数据 , 当电脑关闭时 , 会保存下来 。 易失性数据是储存在内存中的数据 , 当电脑断电或关闭时 , 这些数据会丢失 。
易失性数据驻留在注册表的缓存和随机访问内存(RAM)中 , 这种对易失性数据的调查称为"实时取证" 。
系统信息
它是MicrosoftWindows中包含的一个系统分析器 , 用于显示与操作系统、硬件和软件相关的诊断和故障排除信息 。
我们可以借助命令收集这些易失数据 , 需要的就是输入这个命令 。
systeminfo>>notes.txt
它将所有数据保存在此文本文件中 , 我们检查这个文件是否由[dir]命令创建 , 以比较每次执行每个命令后文件的大小 。
本文插图
现在 , 转到此位置查看此命令的结果 , 它将显示关于我们的系统软件和硬件的所有系统信息 。
本文插图
当前可用的网络连接
在路由器、交换机和网关的帮助下 , 网络连接描述了连接网络的各个部分的广泛过程 。
我们可以通过命令行检查所有当前可用的网络连接 。
netstat-nao>>notes.txt
我们可以在[dir]命令的帮助下检查它是否被创建 , 正如你所看到的 , 现在get的大小增加了 。
本文插图
现在 , 打开该文本文件 , 立即查看系统中的所有活动连接 。 它还将为我们提供一些额外的细节 , 如状态、PID、地址、协议 。
本文插图
路由配置
它指定正确的IP地址和路由器设置 , 主机配置:通过登录默认的网络设置 , 如IP地址、代理、网络名称和ID/密码 , 在主机或笔记本电脑上设置网络连接 。
要了解我们网络中的路由器配置 , 请遵循以下命令 。
routeprint>>notes.txt
我们可以用[dir]命令检查该文件 。
本文插图
打开txt文件以评估此命令的结果 , 比如路由器表及其设置 。
本文插图
日期和时间
要知道系统的日期和时间 , 我们可以遵循这个命令 。 我们还可以通过[dir]命令检查文件是否被创建 。
echo%date%%time%>notes.txtdir
本文插图
打开该文件 , 查看用命令收集的数据 。
本文插图
系统变量
系统变量是一个动态命名值 , 它可以影响运行进程在计算机上的行为方式 。 它们是运行进程的系统的一部分 。 例如 , 正在运行的进程可以查询TEMP环境变量的值 , 以发现存储临时文件的合适位置 。
推荐阅读
- 摄像头|小米截胡中兴屏下摄像头技术,小米研发还是供应链技术?
- Spacex|卫星互联网轨道资源稀缺,中国航天如何与国际卫星界大亨竞争?
- 马斯克|马斯克用活猪演示脑机接口技术:实时读取猪脑信息 心灵感应成真了
- 三防|带你了解三防手持终端的秘密
- 第三|原创 小米发布第三代屏下相机技术,或将在Mix 4上首秀?
- 海信|首个新兴显示技术分标委成立 海信牵头制定国标
- 中年|Python编程语言有什么独特的优势呢?
- iQOO手机|毕业想换5G手机不知如何选?别犹豫了,iQOO Z1x适合你
- |马斯克用活猪演示脑机技术,他希望今年年底前能在人体内植入
- 互联网的放大镜|小米截胡中兴屏下摄像头技术,小米研发还是供应链技术?