Basic Forensic Methodology
イメージの作成とマウント
Image Acquisition & Mountマルウェア分析
これはイメージを取得した後に実行する最初のステップではありません。しかし、ファイル、ファイルシステムイメージ、メモリイメージ、pcapなどがある場合は、このマルウェア分析技術を独立して使用できますので、これらのアクションを念頭に置いておくことが重要です:
Malware Analysisイメージの検査
デバイスのフォレンジックイメージが提供された場合、パーティションや使用されているファイルシステムを分析し、潜在的に興味深いファイル(削除されたものも含む)を回復することができます。方法を学ぶには:
Partitions/File Systems/Carving使用されるOSやプラットフォームによって、異なる興味深いアーティファクトを検索する必要があります:
Windows ArtifactsLinux ForensicsDocker Forensics特定のファイルタイプとソフトウェアの深い検査
非常に疑わしい****ファイルがある場合、ファイルタイプやそれを作成したソフトウェアに応じて、いくつかのトリックが役立つかもしれません。 興味深いトリックを学ぶには、次のページをお読みください:
Specific Software/File-Type Tricks特に言及したいページがあります:
Browser Artifactsメモリダンプの検査
Memory dump analysisPcapの検査
Pcap Inspectionアンチフォレンジック技術
アンチフォレンジック技術の使用の可能性を念頭に置いてください:
Anti-Forensic Techniques脅威ハンティング
Baseline MonitoringLast updated
