Basic Forensic Methodology
Створення та монтування образу
Image Acquisition & MountАналіз Шкідливого ПЗ
Це не обов'язково перший крок, який потрібно виконати, коли у вас є образ. Але ви можете використовувати ці техніки аналізу шкідливого ПЗ незалежно, якщо у вас є файл, образ файлової системи, образ пам'яті, pcap... тому добре тримати ці дії в пам'яті:
Malware AnalysisІнспекція образу
Якщо вам надано судово-медичний образ пристрою, ви можете почати аналізувати розділи, файлову систему та відновлювати потенційно цікаві файли (навіть видалені). Дізнайтеся як у:
Partitions/File Systems/CarvingЗалежно від використовуваних ОС та навіть платформи, слід шукати різні цікаві артефакти:
Windows ArtifactsLinux ForensicsDocker ForensicsГлибока інспекція специфічних типів файлів та програмного забезпечення
Якщо у вас є дуже підозрілий файл, тоді в залежності від типу файлу та програмного забезпечення, яке його створило, можуть бути корисні кілька трюків. Прочитайте наступну сторінку, щоб дізнатися деякі цікаві трюки:
Specific Software/File-Type TricksЯ хочу зробити особливе посилання на сторінку:
Browser ArtifactsІнспекція дампу пам'яті
Memory dump analysisІнспекція Pcap
Pcap InspectionАнти-судово-медичні техніки
Майте на увазі можливе використання анти-судово-медичних технік:
Anti-Forensic TechniquesПолювання на загрози
Baseline MonitoringLast updated
