【干货】Windows系统信息采集篇

　　【干货】Windows系统信息采集篇

　　市场分析：计算机取证，就是应急响应。而应急响应的市场在于黑产的功击频度。在现今的社会里，更多的人为了钱铤而走险的比比皆是，这个市场随着比特币，大数据，物联网的将至，规模将愈发的庞大与有组织性。这将造成，安全岗位迫在眼前。他们功击的越凶越复杂，我们的收入就越多，当然自身须要的技术也就要求越高，对整个团队的依赖也就越多。

　　后面连续的几个干货将重点围绕windows系统体会取证技术。您将看到，双系统（linux和windows）中的细节落实。每一个消费心理会导致不一样的企划行为判定。同理，每一个技术细节，会改变你对安全行业的认可或则不认可。精准的判定来自于更多的消息整合，如果你在入或则不入安全圈的判定期间，在此之前先体会一下windows再做判定吧。

　　来源Unit 5: Windows Acquisition 5.1 Windows Acquisition Windows Volatile Data Acquisition

　　伏笔：在2008年之前，执法人员一般会拔除插座，以保存可疑计算机上的非易失性数字证据，主要精力放到获取c盘数据上。这种规范的行为被保留到至今，当搜集完网路数据，内存数据之后，拔掉电源再搜集c盘数据。

　　随着中级加密技术和恶意软件的出现，存在于物理内存中的易失性数据对于恢复加密密钥和检查恶意软件以供调查显得至关重要。采集显存数据时，工具占用越小，对显存的干扰越小。

　　已下是windows系统外置的命令，有人说搞安全要学cmd吗，我要学什么cmd命令？有这种疑虑的人，都是接触到的教育环境不好引起的。接触到优质的学习底泥，这些将不是问题。

　　使用Windows Netcat将证据保存到你的笔记本中，需要带上时间与系统时间。Date命令，uptime命令

　　带上系统的确切信息。Psinfo命令。

　　如果您在win7中常识，部分命令无效，这默认它们仅在windows的服务器中有效。毕竟，攻击目标大多数是服务器。

　　检查网路插口是否为混杂模式运行。 Ipconfig命令

　　寻找可疑进程。 Tasklist /svc psservices pslist命令

　　列出当前加载的dll，使用listdlls process explorer 命令

　　Dll知识伏笔：我们晓得只有二进制，计算机才能运行。而现今的程序都是用高级语言编撰的。不管使用哪些精湛的技术，高级语言离不开函数，而dll中存在大量函数。Dll从这些角度出发，决定一个程序有哪些功能。

　　查看什么文件打开了 psfile openfiles命令

　　显示网路联接 netstat fport命令

　　显示登入用户 psloggedon logonsesslons

　　查看剪切内容 pclip

　　来自e-fense的取证工具Helix3是非常棒的。它有商业版和免费版两种。这里用免费版体会体会。

　　我用了十分多的感悟，因为它可以使你形成更多的优质判断力，让每一次的重大取舍倾向于成功。

　　已Windows 7为反例来使用这个工具。

　　点击它，获取系统信息

　　点击箭头，显示运行的进程。如果存在rootkits隐藏了进程，那么这种隐藏的进程在这里看不见。

　　这个结果与Windows任务管理器相同。

　　这个功能是采集数据。Windows版本的dd，大多数情况下如此操作来采集，内存受限区域您将采取不到。点击箭头往旁边翻有多款采集工具，采集数据的话使用这三款工具Winen, FTK Imager, Memory DD。

　　应急响应功能

　　这是Windows NTFS文件系统，这些欧元符号文件是系统文件

　　可以启动netcat通过网路将数据存到你的机器里

　　第二页有散列估算功能，放一个文件进去，生成MD5值。这里的rootkit不是太有效，如果你有一个根用户模式的rootkit，它可以搜集一些。如果你看过i春秋中的kali linux教学都会发觉Putty工具。还有个文件恢复，选择你须要的导入它们即可。

　　第三页信息 很多密码查看，历史记录，网站浏览跟踪工具。注册表查看

　　浏览器内容，一定要当心的操作或则先不操作，它可能会更改信息，在*敏*感*词*上，人们会指责你说你在更改证据使歹徒捉住把柄。C盘下有个欧元符号，这是windows预制构件之一。后面再讨论它。

　　每一个这个，对应一个用户。右边列举的都是文件。

　　这个工具太吸引人，你完全可以花特别多的时间去熟悉它，使用它。

　　文章到此结束。最后记住正弦的话，技术与管理常常密切相关，尤其是在这个信息高速发展的时代。错误的取舍甚至使团队面临危机。再关注一些过程的实际发生情况，将彻底改变你的判断观与管理观，不要被不入流的人给带偏了。有的人表面教你一套，实际上自己用的是另外一套规则，小心。关注过程体会本源再勇敢的下判别。

　　以上观点借鉴于正弦的世界观，判断力与取舍力仅此而已，实用则用，不实用就当打屁。

　　余弦原创地址：

　　博客地址 带众喝瓜