信息安全技术报告(1)——信息挖掘和分
析技术
5100369007王昊天
一、存储介质与取证...............................................................................................................2
1、Live vs. Static analysis................................................................................................2
内存分析:.......................................................................................................................2内存转储工具:...............................................................................................................2映像工具:.......................................................................................................................22、取证分析.......................................................................................................................2
分析日志文件:...............................................................................................................2二、Linux取证及相关学习...................................................................................................3
1、Linux学习网站和书籍...............................................................................................32、内存转储工具与操作...................................................................................................33、网络数据分析...............................................................................................................3
i.WireShark、XPlico..................................................................................................3ii.手工分析...................................................................................................................3三、内存取证...........................................................................................................................4
1、内存取证的重要性.......................................................................................................42、内存数据来源...............................................................................................................43、内存转储工具...............................................................................................................44、分析平台.......................................................................................................................4四、互联网相关数据分析.......................................................................................................4
1、网上冲浪 vs.搜索引擎..............................................................................................42、社交网络 vs. Google Hacking....................................................................................43、Metadata分析.............................................................................................................4五、六、
下一阶段学习方向...........................................................................................................4阶段学习笔记...................................................................................................................5
1
一、存储介质与取证1、Live vs. Static analysis
内存分析:
可以获取攻击者发出的存储在内存中的shellcode,减少静态分析时带来的误差,更全面的发现攻击者意图。
内存转储工具:
ddmemdumpfmem/dev/fmemcat/pro/meminfohexeditGhex2
映像工具:
CFLddIximagerGuymagerTruebackEnCase
2、取证分析
分析日志文件:分析日志文件2
数据恢复文件分析浏览记录恢复分析内存转储数据查找系统内恶意软件
分析网络数据注:其中分析日志文件、数据恢复已经进行过学习和尝试,而个人对网络数据分析很感兴趣,准备在接下来的一段时间内学习。
二、Linux取证及相关学习
1、
i.ii.
Linux学习网站和书籍
鸟哥的私房菜。。。
2、内存转储工具与操作
这个基本没试过,就不写了吧。。。
3、
i.ii.
网络数据分析
WireShark、XPlico手工分析
1.最简单的方式:cat/var/log | grep“string”
2.由于Linux的开源特性,可以自己编写属于自己的搜索脚本来完成日志文件分析
3
三、内存取证
1、
i.ii.
内存取证的重要性
对于取证而言,最容易丢失但却往往是最重要的数据内存可以实时记录相关操作信息
2、
i.ii.iii.
内存数据来源
系统运行时的物理内存系统休眠时的存储文件虚拟机内存镜像快照
3、
i.
内存转储工具
也没什么接触。。。不写了
4、
i.ii.iii.
分析平台
Volatility
MandiantMemoryzeHBGary Responder
四、互联网相关数据分析
1、2、3、
i.
网上冲浪 vs.搜索引擎社交网络 vs. Google HackingMetadata分析
Metagoofile
1.开源、免费的Metadata分析工具2.学习如何实现Metagoofile分析
五、下一阶段学习方向
4
注:计算机学科每一个分支都很深,所以下一阶段选取几个方向进行专门学习。学习方向
时间
Linux系统、命令行操作以及脚本一个月的学习
网络数据分析技术
一个月
六、阶段学习笔记
邮箱:cis7all@gmail.com硬盘转储工具:GuyMager:快速LiveView:值得一试AFFLIB:基于C开发的库硬盘数据恢复:网络数据分析:Wireshark
Xplico:分析截到的数据包LiveCD:DeftLinuxBackTrack
Foriana局限于一个特定版本的Linux内核
5
命令行工具经常需要尝试,彻底掌握之前,很多都是不会成功的日志分析:
C:/Windows/Prefetch有趣的文件夹
分析平台:Volatility
(恶意代码钩子跳点技术)
后记:
安装(双)系统Ubuntu
DeftLinux是什么》Xplico》果断学习!Python Volatility强劲的分析工具IDA逆向工具(静态调试)
CommunityDebuger(Python写插件)专向的搜索引擎GoogleHacking
FOCA、Metagoofil社会工程学攻击工具《The Fourth Paradigm》Symantec
案例:
APT(Advanced Persistent Thread)
6