磁盘内存分析

来自gamedev
127.0.0.1留言2023年7月3日 (一) 14:00的版本 (创建页面,内容为“{{Ctf_Wiki}} = 磁盘内存分析 = == 常用工具 == * EasyRecovery * MedAnalyze * FTK * [https://ctf-wiki.github.io/ctf-tools/misc/#_6 Elcomsoft Forensic Disk Decryptor] * Volatility == 磁盘 == 常见的磁盘分区格式有以下几种 <ul> <li><p>Windows: FAT12 -> FAT16 -> FAT32 -> NTFS</p></li> <li><p>Linux: EXT2 -> EXT3 -> EXT4</p></li> <li><p>FAT 主磁盘结构</p> <p>[[File:./figure/forensic-filesys.jpg]]</p></li> <li><p>删除…”)
(差异) ←上一版本 | 最后版本 (差异) | 下一版本→ (差异)
跳转到导航 跳转到搜索

{{#tree:

}}

磁盘内存分析[编辑]

常用工具[编辑]

磁盘[编辑]

常见的磁盘分区格式有以下几种

  • Windows: FAT12 -> FAT16 -> FAT32 -> NTFS

  • Linux: EXT2 -> EXT3 -> EXT4

  • FAT 主磁盘结构

    [[File:./figure/forensic-filesys.jpg]]

  • 删除文件:目录表中文件名第一字节 e5

VMDK[编辑]

VMDK 文件本质上是物理硬盘的虚拟版,也会存在跟物理硬盘的分区和扇区中类似的填充区域,我们可以利用这些填充区域来把我们需要隐藏的数据隐藏到里面去,这样可以避免隐藏的文件增加了 VMDK 文件的大小(如直接附加到文件后端),也可以避免由于 VMDK 文件大小的改变所带来的可能导致的虚拟机错误。而且 VMDK 文件一般比较大,适合用于隐藏大文件。

内存[编辑]

  • 解析 Windows / Linux / Mac OS X 内存结构
  • 分析进程,内存数据
  • 根据题目提示寻找线索和思路,提取分析指定进程的特定内存数据

题目[编辑]

  • Jarvis OJ - MISC - 取证 2

参考[编辑]

检索自“https://game.etao.net/w/index.php?title=磁盘内存分析&oldid=266