Basic Forensic Methodology
Erstellen und Einbinden eines Abbilds
pageImage Acquisition & MountMalware-Analyse
Dies ist nicht unbedingt der erste Schritt, den Sie ausführen sollten, sobald Sie das Abbild haben. Aber Sie können diese Malware-Analysetechniken unabhängig verwenden, wenn Sie eine Datei, ein Dateisystemabbild, ein Speicherabbild, eine Pcap-Datei usw. haben. Daher ist es gut, sich diese Aktionen zu merken:
pageMalware AnalysisInspektion eines Abbilds
Wenn Ihnen ein forensisches Abbild eines Geräts gegeben wird, können Sie mit der Analyse der Partitionen, des Dateisystems und der Wiederherstellung potenziell interessanter Dateien (auch gelöschter Dateien) beginnen. Erfahren Sie, wie dies funktioniert:
pagePartitions/File Systems/CarvingJe nach verwendeten Betriebssystemen und sogar Plattformen sollten verschiedene interessante Artefakte gesucht werden:
pageWindows ArtifactspageLinux ForensicspageDocker ForensicsDetaillierte Untersuchung bestimmter Dateitypen und Software
Wenn Sie eine sehr verdächtige Datei haben, können je nach Dateityp und Software, die sie erstellt hat, verschiedene Tricks nützlich sein. Lesen Sie die folgende Seite, um einige interessante Tricks zu erfahren:
pageSpecific Software/File-Type TricksIch möchte eine besondere Erwähnung der Seite machen:
pageBrowser ArtifactsUntersuchung von Speicherabbildern
pageMemory dump analysisPcap-Inspektion
pagePcap InspectionAnti-Forensik-Techniken
Denken Sie an die mögliche Verwendung von Anti-Forensik-Techniken:
pageAnti-Forensic TechniquesThreat Hunting
pageBaseline MonitoringLast updated