(五)计算机取证-制作初始响应工具包

已于 2022-06-01 11:53:08 修改
阅读量951 收藏 3
点赞数 5
文章标签: 安全 系统安全 web安全
于 2022-05-31 21:16:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_47110032/article/details/125059075
版权
本文介绍了如何制作用于快速固定易失性证据的初始响应工具包,包括拷贝必要的工具,编写批处理文件以获取系统信息、网络连接、进程等,并通过添加签名提高可读性。同时,强调了在取证过程中的注意事项,如使用管理员权限、及时取证和证据的完整性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

作用:快速固定易失性证据。

一、拷贝工具(了解对方要调查取证的计算机操作系统的版本,使用相同版本)

1)拷贝干净的cmd到新建的workspace的initialtools中

  1. 拷贝哈希码的生成工具、Fport、Tcpvcon

  1. 解压PSTools到workspace中

  1. 在PSTools中拷贝要使用的工具到initialtools中

二、如何使用工具包

  1. 在工具包中,用管理员方式打开cmd。获取:

1.时间信息:time /t

2.日期信息:date /t

3.系统信息:systemInfo                          #psinfo,点击Agree

4.本地网络连接信息:ipconfig

5.服务信息:psservice

6.所有本地和远程用户的连接信息:psloggedon /t

7.所有监听端口和端口的当前连接:netstat -an      #内部命令

8.打开的TCP/IP端口的所有进程:fportwin7以下使用,如果要调查的计算机是win7以上就只能使用)tcpvcon –an

9.正在运行的所有进程:pslist

10.最近10分钟的NetBIOS连接:nbtstat –c

11.最近通信的MAC地址:arp –a

12.当前用户的SID码信息:psgetsid

13.结束时的时间:time /t

14.结束时的日期:date /t

15. 命令历史通过哪些办法取得:doskey /history

2)拍照、截图获取

问题:不能及时取证

三、快速获取信息:写脚本(放到文本文件中,进行证据固定)批处理文件

  1. 在initialtools中新建evidence文件夹,将剪切到evidence中

最低0.47元/天 解锁文章
彭彭头
关注
2022全国职业技能大赛-网络安全赛题解析总结①(超详细)
Aluxian_的博客
05-11 2万+
2022全国职业技能大赛-网络安全赛题解析总结(自己得思路)模块A 基础设施设置与安全加固(20分)模块B 网络安全事件响应、数字取证调查和应用安全(40分)模块C CTF夺旗-攻击(20分)模块D CTF夺旗-防御(20分) 模块A 基础设施设置与安全加固(20分) 一、项目和任务描述: 假定你是某企业的网络安全工程师,对于企业的服务器系统,根据任务要求确保各服务正常运行,并通过综合运用登录安全加固、数据库安全策略、流量完整性策略、事件监控策略、防火墙策略、IP协议安全配置等多种安全策略来提升服务器系
综合取证工具ProDiscover
07-31
ProDiscover® 系列计算机安全工具使得系统管理员和调查员可以在计算机磁盘中迅速找到所需要的数据。
初始响应工具包
xiongIT的博客
04-20 477
初始响应工具包
响应结果生成工具
帅气Dee海绵宝宝
01-15 501
 响应结果生成工具类 package com.hopson.core; import java.util.HashMap; import java.util.List; import java.util.Map; import com.github.pagehelper.Page; /** * 响应结果生成工具 */ public class ResultBuilder { ...
最强大的windows取证工具
01-09
工具包中所包含的python代码支持对windows不同版本、linux以及android系统的取证分析,功能强大,包罗万象
计算机犯罪取证之 采集易失性证据
weixin_34342578的博客
12-17 1190
 在计算系统遭到***的情况下,用户最关心的是多长时间能使系统恢复正常,因为系统或网络中断是带来损失的主要因素。很多机构的信息传达和通报系统一旦出现突发的信息中断,会导致大部分业务暂时或者长时间无法继续运行,将给整个业务带来无法挽回的损失,“零”时间恢复似乎成了大家追捧的响应策略。根据电子取证的工作目标,保留网络犯罪的现场证据也是必须要完成的工作使命,这就好比在刑事案件的现...
计算机取证必备指南:专家解读四个关键流程(上)
最新发布
m0_68483928的博客
07-21 1324
计算机调查开始时,了解可能适用于调查的法律以及可能存在的任何内部组织政策非常重要。请注意以下重要注意事项和最佳做法: 确定您是否具有进行调查的合法权限。您的组织是否有针对使用您网络的员工、承包商或其他人员的隐私权的政策和程序?是否有任何此类政策和程序规定允许监测的情况?许多组织在其政策和程序中声明,在使用组织的设备、电子邮件、Web 服务、电话或邮件时不期望隐私,并且公司保留监控和搜索这些资源的权利作为雇佣条件。
CHIRP:用Python编写的取证工具
03-25
CISA搜寻和事件响应程序(CHIRP)是一种工具,用于以单个程序包动态查询主机上的危害指标(IoC),以JSON格式输出数据,以便在SIEM或其他工具中进行进一步分析。 CHIRP不会修改任何系统数据。 初始IoC旨在搜索CISA...
LINReS:Linux系统初始阶段的事件响应脚本
LINReS(Linux Incident Response Script)是专门为了协助事件响应计算机取证团队在面对Linux系统安全事件时能够快速且有效地进行初始响应而设计的开源工具。该工具的使用场景是在一个系统被识别为可能存在安全...
jdk7u17对应eclipse_请在自己电脑上安装Java环境: 安装与设置参考文档: 安装java开发环境.docx jdk和eclipse的版本请自行选择: jdk下载页面: https://w...
weixin_34275113的博客
12-29 346
【简答题】Java程序设计上机实验手册(完稿)_吴娜炯.pdf 完成实验手册实验九编程题3; 编程题4酌情完成。【单选题】正弦交流电的三要素分别是振幅、频率和 。 (1.0分)【简答题】编程实现仿射加解密,加密变换为c=7m+3mod23,明文为Strengthening basic education is the only way for a strong country。【简答题】分别鉴赏这...
网络安全应急响应实施过程
热门推荐
网络安全
10-29 4万+
应急响应准备的工作内容主要有2个:一是对信息系统进行初始化的快照;二是准备应急响应工具包。在检测的时候将保存的快照与信息系统当前状态进行对比,是发现安全事件的一种重要途径。除对比系统初始化快照外,安全事件检测手段还包括部署入侵检测设备、流量监控和防病毒系统集中监控等。网络安全攻击事件可以分为拒绝服务类攻击、系统漏洞及恶意代码类攻击、网络欺骗类攻击、网络窃听类攻击、数据库SQL注入类攻击,针对每一类攻击事件都需制定相应的抑制与根除方法。
22款受欢迎的计算机取证工具
农村的我的专栏
10-16 7188
原文转载于:http://www.freebuf.com/sectool/136921.html 计算机取证是与计算机和网络犯罪有关的,一门非常重要的计算机学科分支。在早前,计算机只用于生成数据,但现在已扩展到与数字数据相关的所有设备。计算机取证的目标是通过使用数字资料的证据来进行犯罪调查,以找出网络相关罪行的主要责任人。 为了更好的用于研究和调查,开发人员创建了多样的计算机取证工具
应急取证window脚本(测试中)
weixin_34144450的博客
05-02 269
测试发现还是有很多问题,继续改进中,欢迎大家提供建议,小白学习中 ::取证应急脚本 v2.0 ::2018年/5/02 del c:\antiy_information.txt del c:\antiy_executablepath.csv del c:\antiy_process.html del c:\antiy_startup.csv chcp 65001 @echo *********...
Windows环境下的易失性数据取证
NFMSR的博客
07-13 2939
易失性数据取证定义:开机状态下,一个目标系统包含能够反映系统状态的关键而短暂的信息。范围: 恶意进程的内存空间,口令,IP地址,安全事件日志条目。概念:事件响应取证,实时响应取证总体思想:建立实时响应工具包确定和记录工具的依赖性:将工具装载到像Dependency Walker或者PEView之中工具标注:修改文件名,用十六进制编辑器将文字加入到文件头领域,这样不会影响工具的使用。同时对每个工具的...
Windows联网状态工具TCPView
微小冷的学习笔记
04-12 1051
TCPView用于显示系统上所有 TCP 和 UDP 终结点的详细列表,包括本地和远程地址以及 TCP 连接的状态,界面如下。
Android快速开发系列 10个常用工具
struggling的专栏
09-11 918
转载请标明出处:http://blog.youkuaiyun.com/lmj623565791/article/details/38965311,本文出自【张鸿洋的博客】 打开大家手上的项目,基本都会有一大批的辅助类,今天特此整理出10个基本每个项目中都会使用的工具类,用于快速开发~~ 在此感谢群里给我发项目中工具类的兄弟/姐妹~ 1、日志工具类L.java [java
【开发工具集】TCPView——TCP和UDP连接状态查看工具
此地无银
03-24 1万+
又一个Windows的工具
Windows抓包与网络分析工具总结
adrninistrat0r的博客
03-02 2万+
1.前言 以下主要对Windows环境、Linux环境及Java程序的网络分析相关工具进行分析,主要包括网络连接查看、网络包捕获等。 相关内容如下: Windows抓包与网络分析工具总结: Linux抓包与网络分析工具总结: Java程序网络连接分析方法总结: iptables模拟网络连接问题并分析: 2.Windows环境 2.1netstat 2.1.1ne...
sysinternals利器系列之——TCPView
weixin_34380948的博客
04-06 411
好久没有更新sysinternals系列了,因为前段时间一直在找实习,大家都懂的,大三的学生是异常的忙啊!趁着清明节处理了一堆事终于有时间来写写博客了。废话也不多说了,直接进入我今天给大家推荐的小工具TCPView。 懂点网络知识的朋友都知道我们的计算机网络是分层的。有什么7层模型啊!5层模型啊!那都不是我要说的主题,我要讲的是TCP协议相信大家都听过,只是有的朋友知道它是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值