一般針對物證的提取可以分為兩種:現場固定提取、封裝打包後帶回鑑定處固定提取。
易失性的證據,自然屬於必須在現場立刻固定提取的一類,畢竟是」易失性「的,一斷電或者重啟資料就丟失了,或者被覆蓋也沒了。
動態記憶體不僅指電腦ram記憶體,也可以指代許多其他存有動態性易失資料的裝置記憶體,如聯網的路由器等。隨機儲存器(random access memory)可讀可寫,斷電易失。
通常情況下,儲存在記憶體中的證據不會寫入硬碟驅動器,並且可以在pagefile.sys或hiberfil.sys中找到。
在記憶體中包含但不限於以下內容:
記憶體dump檔案生成 非常詳細的操作手冊,其中包括vm、ftk imager、encase、取證大師、開源工具dumpit的參考操作截圖。
生成記憶體dump檔案
dump檔案:程序的記憶體映象。可以把程式的執行狀態通過偵錯程式儲存到dump檔案中。dump檔案是用來給驅動程式編寫人員除錯驅動程式用的,這種檔案必須用專用工具軟體開啟,比如使用windbg開啟。利用vmware生成記憶體dump的特性vmware虛擬機器執行中,在虛擬機器根目錄下.vmem檔案即為記憶體映象檔案。dump還是oracle及sql資料庫中匯出的資料檔案。可以備份資料,並可以實現後期的匯入。
使用第三方軟體抓取記憶體dump
日常取證工作中,還可利用第三方工具來抓取記憶體dump,ftk imager、encase、取證大師、開源工具dumpit都可以用來抓取記憶體dum。
還需注意使用在使用第三方軟體抓取dump 時,將軟體放在u盤等外接裝置內,防止軟體對計算機環境造成不必要的汙染。
[如何固定動態記憶體]qq.com/s/gcvtati6md-ixwrnykqybq)
固定動態記憶體的挑戰
1.一般來說,記憶體固定取證對windows裝置的影響可能有以下三個方面:
這些影響非常小,每一步驟都可以在報告中詳細地寫明,這樣依然能保證在法庭上證據的有效性。因此,獲取ram記憶體映象時,不僅要詳細地記錄在目標裝置上的每步操作,更要保證自己的操作都是合乎法律標準和規範的。電腦處於鎖屏狀態
有時候,現勘中遇到的電腦雖然是開機狀態,但鎖屏了無法進入,那麼這個時候為了獲取到ram的內容,只能採取不重啟繞過密碼登入的方式了。
有的取證人員會選擇使用一些工具如captureguard和phantom probe等繞過密碼來讀取記憶體和加密盤,也有人會用dma攻擊的手段從ram中獲取到密碼從而登入到系統中。
但牢記一點,這種情況下不僅會在ram記憶體中留下痕跡,還有可能會失敗,所以很有必要評估一下風險看是否值得嘗試,最好還是詢問有經驗的專家。
3.管理員許可權
工具ftk imager【memory capture】【pagefile.sys檔案】
belkasoft ram capturer
magnet ram capturer
打破全盤加密之道:如何在記憶體中提取金鑰?
elcomsoft system recovery有助於更快地啟動密碼破解,並通過提取系統的休眠檔案(可能包含保護加密卷的動態加密金鑰)
加密磁碟取證的兩種方法方法
1:提取休眠檔案以找到加密金鑰加密容器旨在抵禦對其密碼的暴力破解。
此外,某些全盤加密方式根本不使用密碼(例如su***ce常用的bitlocker加密)。由於暴力破解可能非常耗時,因此我們開發了實現變通解決方案的工具。所有加密容器都具有相同的功能,同時也是乙個安全漏洞。我們談論的是即時加密金鑰(otfe金鑰)。這些金鑰是系統在正常操作期間用於加密和解密資訊的實際二進位制金鑰。 金鑰儲存在系統的易失性儲存器中,同時安裝加密卷以便於對加密資料的讀/寫訪問。可以直接從裝置的記憶體中提取這些金鑰(elcomsoft forensic disk decryptor),但超出了本文的範圍。
相反,我們來談談休眠狀態。
當使用者將計算機置於休眠狀態(而不是將其關閉)時,windows會將裝置易失性記憶體的副本儲存在計算機的硬碟驅動器或ssd驅動器上,以便儲存的狀態可以在斷電後繼續存在。與此同時,計算機的ram晶元仍然通電以保留資訊。如果在休眠期間沒有切斷電源,計算機將立即恢復。但是,如果斷電(或耗盡電量),windows將從硬碟驅動器載入已儲存的ram內容。儲存計算機記憶體內容的檔案稱為休眠檔案。windows以「hiberfil.sys」的名稱儲存休眠檔案。休眠檔案已加密,但是我們能夠破解這種加密。
相當於——
如果在安裝加密分割槽時計算機處於休眠狀態,則otfe金鑰可以直接儲存在系統的休眠檔案中。如果我們從快閃儲存器驅動器啟動,我們可以獲取休眠檔案並使用它將otfe金鑰定位到計算機進入休眠狀態時仍然掛載的所有加密卷。您需要elcomsoft forensic disk decryptor來提取otfe金鑰並使用它們來即時掛載或解密加密卷。
truecrupt?veracrypt?
由於truecrypt和veracrypt使用類似的格式,因此我們很難區分它們。不幸的是,這兩種工具在破解加密方面有所不同,因此必須先指定正確的工具才能啟動密碼破解。
此外,truecrypt和veracrypt都為使用者提供了一系列加密演算法的選擇。每個演算法可以選擇性地配置不同的迭代次數(從密碼生成otfe金鑰的雜湊操作的數量)。如果使用者指定了非標準數量的雜湊迭代,除非知道該數字(或嘗試所有可能的組合,這會大大增加破解時間),否則將無法破解密碼。
要提取加密元資料,請執行以下操作安裝elcomsoft system recovery 6.0或更新版本到您的計算機(不是嫌疑人的計算機)。建立乙個可啟動的快閃儲存器驅動器。確保指定目標系統的正確配置(bios或uefi、32位或64位)。一般來說,建議使用至少32gb的高速快閃儲存器。從剛剛建立的快閃儲存器驅動器啟動目標系統。一旦啟動序列完成,將啟動elcomsoft system recovery。從以下視窗中,選擇disk tools(磁碟工具)。
記憶體映象
計算機記憶體
1.1 計算機硬體記憶體架構。計算機cpu central processing unit 和記憶體的互動是最頻繁的,記憶體是我們的快取記憶體區。使用者磁碟和cpu的互動,而cpu運轉速度越來越快,磁碟遠遠跟不上cpu的讀寫速度,才設計了記憶體,使用者快取使用者io等待導致cpu的等待成本。但是隨著...
計算機記憶體定址
摘自 1 基本概念 cpu段式管理 段式管理的基本原理是指把乙個程式分成若干個段 segment 進行儲存,每個段都是乙個邏輯實體 logical entity 乙個使用者作業或程序所包含的段對應乙個二維線形虛擬空間,程式通過分段 segmentation 劃分為多個模組,故可以對程式的各個模組分別...
計算機記憶體管理
在計算機中,儲存區域主要分為 他們的執行速率自下而上加快,與之相應的造價越高。其中,硬碟的執行效率最慢,暫存器的效率最快。在c 中,記憶體主要分為五個區,分別是 區是用來儲存程式的所有 以及字串常量等在編譯期間就能確定的值,在程式的整個生命週期內,在常量資料區的資料都是可用的。在這個區域內,所有的資...