基本取证方法论

Reading time: 2 minutes

创建和挂载镜像

Image Acquisition & Mount

恶意软件分析

这并不是在获得镜像后必须执行的第一步。但是如果你有一个文件、文件系统镜像、内存镜像、pcap...你可以独立使用这些恶意软件分析技术，因此记住这些操作是很好的：

Malware Analysis

检查镜像

如果你获得了设备的取证镜像，你可以开始分析分区、文件系统并恢复潜在的有趣文件（甚至是已删除的文件）。了解如何进行：

Partitions/File Systems/Carving

根据使用的操作系统甚至平台，应该搜索不同的有趣文物：

Windows Artifacts

Linux Forensics

Docker Forensics

深入检查特定文件类型和软件

如果你有非常可疑的****文件，那么根据文件类型和创建它的软件，可能会有几种技巧是有用的。
阅读以下页面以了解一些有趣的技巧：

Specific Software/File-Type Tricks

我想特别提到以下页面：

Browser Artifacts

内存转储检查

Memory dump analysis

Pcap 检查

Pcap Inspection

反取证技术

请记住可能使用反取证技术：

Anti-Forensic Techniques

威胁狩猎

Baseline Monitoring