DFIR,全称 Digital Forensics and Incident Response(数字取证与事件响应),可以拆成两部分来理解:
两者合在一起,就构成了处置安全事件的完整闭环——确定损害范围、还原攻击路径、溯源攻击者身份,并提供防止类似事件再次发生的关键情报。
阅读更多└─# vol -f sample.mem linux.pstree.PsTree
Volatility 3 Framework 2.11.0
Progress: 100.00 Stacking attempts finished
Unsatisfied requirement plugins.PsTree.kernel.layer_name:
Unsatisfied requirement plugins.PsTree.kernel.symbol_table_name:
A translation layer requirement was not fulfilled. Please verify that:
A file was provided to create this layer (by -f, --single-location or by config)
The file exists and is readable
The file is a valid memory image and was acquired cleanly
A symbol table requirement was not fulfilled. Please verify that:
The associated translation layer requirement was fulfilled
You have the correct symbol file for the requirement
The symbol file is under the correct directory or zip file
The symbol file is named appropriately or contains the correct banner
Unable to validate the plugin requirements: ['plugins.PsTree.kernel.layer_name', 'plugins.PsTree.kernel.symbol_table_name']
vol3分析Linux内存通常都会遇到上面的报错,就是缺少对应的系统符号表。但网上介绍Volatility3的文章大部分都是都把工具的命令行翻译成中文,当真的去实操vol分析内存时会发现有太多的坑,因为分析内存是需要当前系统的符号表。
vol3自带的Linux符号表非常少,而Linux的kernel版本又非常众多,大多数情况都需要在对应的机器上手动导出符号表才能开始分析内存。
阅读更多最近遇到的有系统被全盘(ext4)删除的案例,拿到了被删除的系统镜像,该文件系统受损程度是很大的,正好把Linux大部分的数据恢复工具都测评一遍,看看极端场景下的各类数据恢复工具的表现情况。
阅读更多上一篇文章中对PDF文件结构进行分析,那么实战中遇到PDF损坏的情况该如何进行手工或工具修复?
阅读更多PDF(Portable Document Format)文件是一种用于文档传输和显示的文件格式,也是结构性的文件。通过本文的分析,可以清楚PDF的文件结构和对象寻址原理,对于PDF的文件修复思路也能有自己的见解。
阅读更多某客户系统文件被勒索后,通过分析发现文件的头部全0填充了256kb。但是文件的主体内容还在,也就意味着可以通过数据恢复的方式进行文件修复。本文通过对mdf文件进行修复,成功帮客户成功恢复几个G的数据库,最大程度上降低损失。
案例背景
本文以USB设备为例,对磁盘镜像进行数据恢复。
阅读更多