Basic Forensic Methodology
イメージの作成とマウント
pageImage Acquisition & Mountマルウェア解析
これはイメージを取得した後に実行する最初のステップではありませんが、ファイル、ファイルシステムイメージ、メモリイメージ、pcapなどがある場合は、これらのマルウェア解析手法を独立して使用できるため、これらのアクションを心に留めておくことが良いでしょう:
pageMalware Analysisイメージの検査
デバイスの法的イメージが与えられた場合、パーティション、使用されているファイルシステムを分析し、潜在的に興味深いファイル(削除されたものさえも)を回復することができます。次の方法で学んでください:
pagePartitions/File Systems/Carving使用されているOSやプラットフォームに応じて、異なる興味深いアーティファクトを検索する必要があります:
pageWindows ArtifactspageLinux ForensicspageDocker Forensics特定のファイルタイプとソフトウェアの詳細な検査
非常に疑わしいファイルがある場合は、ファイルタイプと作成したソフトウェアに応じて、いくつかのトリックが役立つ場合があります。 興味深いトリックを学ぶために、次のページを読んでください:
pageSpecific Software/File-Type Tricks特に以下のページに言及したいと思います:
pageBrowser Artifactsメモリダンプの検査
pageMemory dump analysisPcapの検査
pagePcap Inspection反法的手法
反法的手法の可能性を考慮してください:
pageAnti-Forensic Techniques脅威ハンティング
pageBaseline MonitoringLast updated