首先要有數位鑑識工具。目前SANS出了一套SIFT工具(要先申請SANS的帳號),非常方便。此工具可以自動分析電腦中的OFFICE檔案、資源回收桶檔案、IE HISTORY、還原點檔案、FIREFOX歷史檔案、捷徑、IIS的LOG檔、ISA的LOG檔、安裝程式的LOG檔、EVENT LOG、FLASH的COOKIE檔、個人防火牆的LOG檔。這樣是不是很全面呢?只要你懂LINUX,手邊有VM就可以來嘗試。
有了SIFT之後,登入系統(帳號在該網頁),接下來參考Digital Forensic SIFTing: How to perform a read-only mount of filesystem evidence來把對象硬碟MOUNT成唯讀(否則證物就不是證物了!)。再來,把該硬碟掃毒一下,先有個心理準備。
將IMAGE檔用TIMESCANNER掃過一遍建立基本時間線;再用FLS加入檔案系統時間;再將REGISTRY也加入時間線,使用REGTIME;最後把時間線轉換成EXCEL可讀的CSV檔。
這樣分析就簡單了。
沒有留言:
張貼留言