127.0.0.1：创建页面，内容为“{{Ctf_Wiki}} = 磁盘内存分析 = == 常用工具 == * EasyRecovery * MedAnalyze * FTK * [https://ctf-wiki.github.io/ctf-tools/misc/#_6 Elcomsoft Forensic Disk Decryptor] * Volatility == 磁盘 == 常见的磁盘分区格式有以下几种

Windows: FAT12 -> FAT16 -> FAT32 -> NTFS

Linux: EXT2 -> EXT3 -> EXT4

FAT 主磁盘结构

File:./figure/forensic-filesys.jpg

删除…”

2023-07-03T06:00:51Z

创建页面，内容为“{{Ctf_Wiki}} = 磁盘内存分析 = == 常用工具 == * EasyRecovery * MedAnalyze * FTK * [https://ctf-wiki.github.io/ctf-tools/misc/#_6 Elcomsoft Forensic Disk Decryptor] * Volatility == 磁盘 == 常见的磁盘分区格式有以下几种 <ul> <li>Windows: FAT12 -> FAT16 -> FAT32 -> NTFS</li> <li>Linux: EXT2 -> EXT3 -> EXT4</li> <li>FAT 主磁盘结构 [[File:./figure/forensic-filesys.jpg]]</li> <li>删除…”

新页面

{{Ctf_Wiki}}
= 磁盘内存分析 =

== 常用工具 ==

* EasyRecovery
* MedAnalyze
* FTK
* [https://ctf-wiki.github.io/ctf-tools/misc/#_6 Elcomsoft Forensic Disk Decryptor]
* Volatility

== 磁盘 ==

常见的磁盘分区格式有以下几种

<ul>
<li>Windows: FAT12 -> FAT16 -> FAT32 -> NTFS</li>
<li>Linux: EXT2 -> EXT3 -> EXT4</li>
<li>FAT 主磁盘结构
[[File:./figure/forensic-filesys.jpg]]</li>
<li>删除文件：目录表中文件名第一字节 <code>e5</code>。</li></ul>


== VMDK ==

VMDK 文件本质上是物理硬盘的虚拟版，也会存在跟物理硬盘的分区和扇区中类似的填充区域，我们可以利用这些填充区域来把我们需要隐藏的数据隐藏到里面去，这样可以避免隐藏的文件增加了 VMDK 文件的大小（如直接附加到文件后端），也可以避免由于 VMDK 文件大小的改变所带来的可能导致的虚拟机错误。而且 VMDK 文件一般比较大，适合用于隐藏大文件。

== 内存 ==

* 解析 Windows / Linux / Mac OS X 内存结构
* 分析进程，内存数据
* 根据题目提示寻找线索和思路，提取分析指定进程的特定内存数据

== 题目 ==

* Jarvis OJ - MISC - 取证 2

== 参考 ==

* [http://wooyun.jozxing.cc/static/drops/tips-12614.html 数据隐藏技术]

磁盘内存分析 - 版本历史