磁碟內存分析

出自gamedev
於 2023年7月3日 (一) 14:00 由 127.0.0.1留言 所做的修訂 (创建页面,内容为“{{Ctf_Wiki}} = 磁盘内存分析 = == 常用工具 == * EasyRecovery * MedAnalyze * FTK * [https://ctf-wiki.github.io/ctf-tools/misc/#_6 Elcomsoft Forensic Disk Decryptor] * Volatility == 磁盘 == 常见的磁盘分区格式有以下几种 <ul> <li><p>Windows: FAT12 -> FAT16 -> FAT32 -> NTFS</p></li> <li><p>Linux: EXT2 -> EXT3 -> EXT4</p></li> <li><p>FAT 主磁盘结构</p> <p>[[File:./figure/forensic-filesys.jpg]]</p></li> <li><p>删除…”)
(差異) ←上個修訂 | 最新修訂 (差異) | 下個修訂→ (差異)
跳至導覽 跳至搜尋

{{#tree:

}}

磁碟內存分析[編輯]

常用工具[編輯]

磁碟[編輯]

常見的磁碟分區格式有以下幾種

  • Windows: FAT12 -> FAT16 -> FAT32 -> NTFS

  • Linux: EXT2 -> EXT3 -> EXT4

  • FAT 主磁碟結構

    [[File:./figure/forensic-filesys.jpg]]

  • 刪除文件:目錄表中文件名第一字節 e5

VMDK[編輯]

VMDK 文件本質上是物理硬碟的虛擬版,也會存在跟物理硬碟的分區和扇區中類似的填充區域,我們可以利用這些填充區域來把我們需要隱藏的數據隱藏到裡面去,這樣可以避免隱藏的文件增加了 VMDK 文件的大小(如直接附加到文件後端),也可以避免由於 VMDK 文件大小的改變所帶來的可能導致的虛擬機錯誤。而且 VMDK 文件一般比較大,適合用於隱藏大文件。

內存[編輯]

  • 解析 Windows / Linux / Mac OS X 內存結構
  • 分析進程,內存數據
  • 根據題目提示尋找線索和思路,提取分析指定進程的特定內存數據

題目[編輯]

  • Jarvis OJ - MISC - 取證 2

參考[編輯]

取自「https://game.etao.net/w/index.php?title=磁盘内存分析&oldid=266